Δημοσίευση επισκεπτών HodlX Υποβάλετε την ανάρτησή σας
Παρά τη σημαντική αύξηση των τιμών Bitcoin και άλλων κρυπτονομισμάτων το 2020, το ποσό των κλεμμένων κρυπτονομισμάτων ως αποτέλεσμα παραβιάσεων είναι στην πραγματικότητα μικρότερο από το 2019. Σύμφωνα με ένα Αναφορά Ciphertrace,Το συνολικό ποσό των κλεμμένων κεφαλαίων ήταν περίπου 468 εκατομμύρια δολάρια.
Οι περισσότερες από τις επιθέσεις το 2020 έγιναν σε έργα DeFi, τα οποία μιλούν για την ανωριμότητα αυτού του ταχέως αναπτυσσόμενου τμήματος. Ωστόσο, ο αριθμός των κλεμμένων κρυπτονομισμάτων από κεντρικές υπηρεσίες είναι ακόμα πολύ υψηλότερος. Για παράδειγμα, ως αποτέλεσμα τουKucoin hack,Το κρυπτονομίσμα κλέφθηκε στο ισοδύναμο των 275 εκατομμυρίων δολαρίων. Οι εισβολές DeFi αποτελούν περίπου το 21% του όγκου κλοπής και κλοπής 2020.
Ωστόσο, οι χάκερ επιτίθενται όχι μόνο σε πλατφόρμες κρυπτογράφησης, αλλά και σε χρήστες. Κάθε μέρα, δημοσιεύονται ιστορίες στο Διαδίκτυο σχετικά με τον τρόπο με τον οποίο οι χάκερ έκλεψαν την κρυπτογράφηση ενός χρήστη αποκτώντας πρόσβαση στο πορτοφόλι ή στον λογαριασμό ανταλλαγής τους. Ορισμένοι χρήστες δεν έχουν ιδέα πόσο υψηλός είναι ο κίνδυνος παραβίασης του λογαριασμού ή του πορτοφολιού τους.
Περιγράφονται σε αυτό το άρθρο είναι οι πέντε πιο δημοφιλείς τρόποι με τους οποίους οι χρήστες μπορούν να χάσουν την κρυπτογράφηση τους.
Ψεύτικες ιστοσελίδες ηλεκτρονικού ψαρέματος
Το ηλεκτρονικό ψάρεμα (phishing) είναι ένας τύπος επίθεσης κοινωνικής μηχανικής που χρησιμοποιείται συχνά για κλοπή δεδομένων χρηστών, συμπεριλαμβανομένων μνημονικών φράσεων, ιδιωτικών κλειδιών και διαπιστευτηρίων σύνδεσης πλατφόρμας κρυπτογράφησης. Συνήθως, οι επιθέσεις ηλεκτρονικού “ψαρέματος” χρησιμοποιούν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που πείθουν τον χρήστη να εισάγει ευαίσθητες πληροφορίες σε έναν ψεύτικο ιστότοπο. Ο παραλήπτης εξαπατείται στη συνέχεια να κάνει κλικ σε έναν κακόβουλο σύνδεσμο, ο οποίος μπορεί να οδηγήσει σε έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing) ή την εγκατάσταση κακόβουλου λογισμικού.
Το απλούστερο παράδειγμα μιας επιτυχημένης επίθεσης ηλεκτρονικού ψαρέματος ήταν η θήκη MyEtherWallet από το 2017. Οι εγκληματίες στον κυβερνοχώρο έστειλαν ένα email στη δυνητική πελατειακή βάση των χρηστών του MyEtherWallet και ανακοίνωσαν ότι έπρεπε να συγχρονίσουν το πορτοφόλι τους για να συμμορφωθούν με το σκληρό πιρούνι Ethereum. Αφού έκανε κλικ στον σύνδεσμο, ο χρήστης μεταφέρθηκε σε έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing) που φαινόταν νόμιμος, αλλά περιείχε έναν επιπλέον, σχεδόν αισθητό χαρακτήρα στη διεύθυνση URL. Οι απρόσεκτοι χρήστες εισήγαγαν τις μυστικές τους φράσεις, τα ιδιωτικά κλειδιά και τους κωδικούς πρόσβασης πορτοφολιού, παρέχοντας έτσι τα δεδομένα τους σε εισβολείς και χάνοντας την κρυπτογράφηση τους.
Το τελευταίο παράδειγμα ήταν επιτυχέςεπίθεση στο Ledger χρήστες πορτοφολιών. Η απάτη χρησιμοποίησε ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing), κατευθύνοντας τους χρήστες σε μια ψεύτικη έκδοση του ιστότοπου Ledger που αντικατέστησε ένα ομοιόμορφο στη διεύθυνση URL όπως στην προηγούμενη περίπτωση με το MyEtherWallet. Στον ψεύτικο ιστότοπο, οι ανυποψίαστοι χρήστες ξεγελάστηκαν για τη λήψη κακόβουλου λογισμικού που ποζάρει ως ενημέρωση ασφαλείας, η οποία στη συνέχεια εξόφλησε το υπόλοιπο από το πορτοφόλι Ledger. Από αυτό το παράδειγμα ακολουθεί το συμπέρασμα ότι ακόμη και οι χρήστες πορτοφολιών υλικού δεν προστατεύονται από επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
Παρόμοιες επιθέσεις πραγματοποιήθηκαν σε χρήστες ανταλλαγής κρυπτονομισμάτων. Δηλαδή, οι χρήστες θα λαμβάνουν ένα γράμμα με το σύνδεσμο προς έναν ιστότοπο που είναι πανομοιότυπος με τον αρχικό, αλλά με μια ελαφρώς τροποποιημένη διεύθυνση URL. Έτσι, οι εισβολείς κλέβουν ονόματα χρηστών και κωδικούς πρόσβασης, και υπό ορισμένες προϋποθέσεις, μπορούν να κλέψουν κρυπτογράφηση από ένα πορτοφόλι ανταλλαγής. Ωστόσο, οι χρήστες έχουν την ευκαιρία να υπερασπιστούν τον εαυτό τους ακόμη και σε μια επιτυχημένη περίπτωση επίθεσης, καθώς οι ανταλλαγές προσφέρουν πρόσθετα εργαλεία προστασίας.
Κλοπή κλειδιού API
Μερικοί έμποροι χρησιμοποιούν εργαλεία αυτοματισμού εμπορίου που ονομάζονται “bots συναλλαγών”. Με αυτόν τον τύπο λογισμικού, ένας χρήστης πρέπει να δημιουργήσει κλειδιά API και να επιτρέψει συγκεκριμένα δικαιώματα ώστε το bot να μπορεί να αλληλεπιδράσει με τα χρήματά του.
Συνήθως όταν ένας χρήστης δημιουργεί ένα κλειδί API, η ανταλλαγή ζητά τα ακόλουθα δικαιώματα.
- Προβολή – επιτρέπει την προβολή δεδομένων που σχετίζονται με λογαριασμό χρήστη, όπως ιστορικό συναλλαγών, ιστορικό παραγγελιών, ιστορικό αναλήψεων, υπόλοιπο, ορισμένα δεδομένα χρήστη κ.λπ..
- Συναλλαγές – επιτρέπει την τοποθέτηση και ακύρωση παραγγελιών.
- Ανάληψη – επιτρέπει την ανάληψη χρημάτων.
- Λίστα επιτρεπόμενων IP – επιτρέπει την εκτέλεση οποιωνδήποτε λειτουργιών μόνο από καθορισμένες διευθύνσεις IP.
Για κλειδιά συναλλαγών bot API, η ανταλλαγή πρέπει να έχει δικαιώματα προβολής, συναλλαγών και μερικές φορές ανάληψης.
Υπάρχουν διαφορετικοί τρόποι για τους hackers να κλέψουν τα κλειδιά API των χρηστών. Για παράδειγμα, οι εγκληματίες του κυβερνοχώρου δημιουργούν συχνά κακόβουλα bot «υψηλού κέρδους», διαθέσιμα δωρεάν, για να παρασύρουν έναν χρήστη να εισάγει τα κλειδιά του API. Εάν το κλειδί API έχει το δικαίωμα ανάληψης χωρίς περιορισμό IP, οι εισβολείς ενδέχεται να αποσύρουν αμέσως όλα τα κρυπτονομίσματα από το υπόλοιπο του χρήστη.
Σύμφωνα με τοΥπάλληλος Binance σχολιασμός, 7.000 παραβιάσεις Bitcoin έγιναν δυνατές αφού οι χάκερ συγκέντρωσαν κλειδιά API, 2FA και άλλα δεδομένα.
Ακόμη και χωρίς άδεια ανάληψης, οι χάκερ μπορούν να κλέψουν την κρυπτογράφηση χρηστών με μια στρατηγική αντλίας, ένα συγκεκριμένο ζεύγος συναλλαγών κρυπτογράφησης χαμηλής ρευστότητας. Τα πιο συνηθισμένα παραδείγματα τέτοιων επιθέσεων είναι Η αντλία Viacoin και η αντλία Syscoin. Οι χάκερ έχουν συσσωρεύσει αυτά τα κρυπτονομίσματα και τα πούλησαν σε σημαντικά υπερτιμημένα ποσοστά κατά τη διάρκεια μιας αντλίας με χρήση χρημάτων χρηστών.
Λήψεις εκμεταλλεύσεων αρχείων
Υπάρχουν πολλά πλεονεκτήματα μηδενικής και μίας ημέρας για προϊόντα Microsoft Word, Microsoft Excel και Adobe που εγγυώνται ότι τα προϊόντα προστασίας από ιούς δεν θα εντοπίσουν κακόβουλα προγράμματα και θα παραχωρήσουν σε κακόβουλους φορείς πλήρη πρόσβαση σε σταθμούς εργασίας και εσωτερική υποδομή θυμάτων.
Το Zero-day είναι ένα ελάττωμα στο λογισμικό, το υλικό ή το υλικολογισμικό που είναι άγνωστο στο συμβαλλόμενο μέρος ή στα μέρη που είναι υπεύθυνα για την επιδιόρθωση ή τη διόρθωση του ελαττώματος. Ο όρος «μηδέν-ημέρα» μπορεί να αναφέρεται στην ίδια την ευπάθεια, ή μια επίθεση που έχει μηδέν ημέρες μεταξύ του χρόνου κατά τον οποίο ανακαλύπτεται η ευπάθεια και της πρώτης επίθεσης. Μόλις μια ευπάθεια μηδενικής ημέρας δημοσιοποιηθεί, είναι γνωστή ως ευπάθεια “n-day” ή “one-day”. Αφού εντοπιστεί μια ευπάθεια στο λογισμικό, ξεκινά η διαδικασία ανάπτυξης κακόβουλου κώδικα, χρησιμοποιώντας την εντοπισμένη ευπάθεια για να μολύνει μεμονωμένους υπολογιστές ή δίκτυα υπολογιστών. Το πιο γνωστό κακόβουλο λογισμικό που εκμεταλλεύεται την ευπάθεια μηδενικής ημέρας στο λογισμικό είναι τοWannaCry ransomwareWorm, ένας ιός που εκβίασε bitcoin για αποκρυπτογράφηση.
Ωστόσο, υπάρχουν πολλά άλλα προγράμματα κακόβουλου λογισμικού που ενδέχεται να αποκτήσουν πρόσβαση στα πορτοφόλια κρυπτογράφησης των χρηστών, καθώς και σε εφαρμογές ανταλλαγής κρυπτονομισμάτων χρησιμοποιώντας εκμεταλλεύσεις μηδενικής ημέρας. Η πιο γνωστή περίπτωση μιας τέτοιας επίθεσης τα τελευταία χρόνια ήταν ηΕκμετάλλευση WhatsApp; Ως αποτέλεσμα, οι εισβολείς μπόρεσαν να συλλέξουν δεδομένα από τα πορτοφόλια κρυπτογράφησης των χρηστών.
Κακόβουλες πλατφόρμες
Λόγω της ενεργού ανάπτυξης της αγοράς, οι απατεώνες DeFi ξεκινούν συνεχώς νέα έργα που είναι σχεδόν ακριβείς κλώνοι των υπαρχόντων έργων. Αφού οι χρήστες επενδύσουν σε αυτά τα έργα, οι απατεώνες μεταφέρουν απλώς τα χρήματα των χρηστών στα δικά τους πορτοφόλια. Η μεγαλύτερη απάτη εξόδου αυτού του είδους μέχρι σήμερα είναι t θήκη YFDEX Κατά την οποία οι εισβολείς έκλεψαν 20 εκατομμύρια δολάρια χρημάτων χρηστών δύο ημέρες μετά την έναρξη του έργου. Τέτοιες απάτες είναι κοινές, καθώς στις περισσότερες περιπτώσεις, τα μέλη της ομάδας του έργου είναι ανώνυμα και δεν υπάρχουν νομικές υποχρεώσεις, επειδή οι πλατφόρμες δεν είναι καταχωρημένες οντότητες. Προηγουμένως, μια τέτοια απάτη συνδέεται κυρίως με έργα ICO.
Ωστόσο, παρόμοιες περιπτώσεις εμφανίστηκαν σε κεντρικές πλατφόρμες. Για παράδειγμα, η υπόθεση QuadrigaCX, όταν πέθανε ο ιδρυτής της κεντρικής ανταλλαγής, αφήνοντας την πλατφόρμα αδύνατη να αποκτήσει πρόσβαση στα πορτοφόλια της και διεκπεραιώσει αιτήματα ανάληψης χρημάτων άνω των 171 εκατομμυρίων δολαρίων. Ως αποτέλεσμα, μόνο30 εκατομμύρια δολάρια χαμένων χρημάτων μπορούν να επιστραφούν.
Τέτοιες περιπτώσεις προκύπτουν συνεχώς, επομένως πρέπει να εξετάσετε προσεκτικά την πλατφόρμα πριν μεταφέρετε τα χρήματά σας.
Ψεύτικες εφαρμογές
Από την ύπαρξη κρυπτονομισμάτων, έχουν δημιουργηθεί πολλές πλαστές εφαρμογές συγκεκριμένων πλατφορμών ή πορτοφολιών – ένας χρήστης ολοκληρώνει μια κατάθεση σε μια τέτοια εφαρμογή και διαπιστώνει ότι τα χρήματα έχουν εξαφανιστεί. Οι εισβολείς ενδέχεται να δημιουργήσουν ένα αντίγραφο μιας υπάρχουσας εφαρμογής με κακόβουλο κώδικα ή μια νέα εφαρμογή για μια πλατφόρμα που δεν διαθέτει εφαρμογή – για παράδειγμα, τοΘήκη Poloniex f rom 2017.
Δεδομένου ότι τα περισσότερα πορτοφόλια κρυπτογράφησης είναι ανοιχτού κώδικα, ο καθένας μπορεί να δημιουργήσει το δικό του αντίγραφο του πορτοφολιού και να εισάγει έναν κακόβουλο κώδικα εκεί. Θέματα σχετικά με τέτοια πορτοφόλια εμφανίζονται συχνά σε φόρουμ κρυπτογράφησης, για παράδειγμα, ψεύτικες εφαρμογές που παρουσιάζονται ως Εμπιστευτικό πορτοφόλι.
Πώς να προστατευτείτε από τους εισβολείς
Όπως εξηγήθηκε παραπάνω, οι εγκληματίες έχουν διάφορους τρόπους για να κλέψουν χρήματα χρηστών και δεδομένα. Σας συνιστούμε να ακολουθήσετε τα ακόλουθα προκειμένου να προστατευτείτε καλύτερα από τους εισβολείς.
- Ελέγχετε πάντα τον τομέα από τον οποίο λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου.
- Ρυθμίστε τον κώδικα anti-phishing, εάν οι πλατφόρμες που χρησιμοποιείτε προσφέρουν τέτοιες δυνατότητες.
- Κατάθεση μόνο σε ανταλλαγές με καλή φήμη. Μπορείτε να ελέγξετε τις αξιολογήσεις της ανταλλαγής χρησιμοποιώντας τις ακόλουθες υπηρεσίες – CoinGecko, CER. ζωντανή,CoinMarketCap, CryptoCompare,Κλπ.
- Ρυθμίστε τη λίστα επιτρεπόμενων IP σύνδεσης, εάν οι πλατφόρμες που χρησιμοποιείτε προσφέρουν τέτοιες δυνατότητες.
- Πάντα να ψάχνετε ένα πορτοφόλι κρυπτογράφησης πριν αποφασίσετε να το εγκαταστήσετε στο τηλέφωνό σας, ακόμα κι αν κατατάσσεται σε υψηλή θέση στη λίστα καταστημάτων εφαρμογών σας.
- Ρύθμιση περιορισμών IP για κλειδιά API.
- Μην επενδύετε σε έργα που κυκλοφόρησαν πρόσφατα και δεν έχουν ακόμη πληροφορίες σχετικά με την ομάδα, τους επενδυτές κ.λπ. Κατά τη διάρκεια της διαφημιστικής εκστρατείας DeFi, οι απατεώνες ξεκίνησαν δεκάδες έργα απάτης για να κλέψουν κρυπτογράφηση από επενδυτές.
- Βεβαιωθείτε ότι έχετε κατεβάσει έγγραφα και άλλα αρχεία από μια αξιόπιστη πηγή.
- Πάντα να πραγματοποιείτε τακτικές ενημερώσεις ασφαλείας του λειτουργικού σας συστήματος.
- Λήψη εφαρμογών και αντίστοιχων ενημερώσεων μόνο από επίσημους ιστότοπους.
συμπέρασμα
Μαζί με την ανάπτυξη της αγοράς κρυπτογράφησης, νέα σχήματα συνεχίζουν να εμφανίζονται με την ελπίδα να κλέψουν χρήματα χρηστών και δεδομένων. Οι χρήστες πρέπει να είναι πολύ προσεκτικοί σχετικά με τα email και άλλες ειδοποιήσεις που λαμβάνουν.
Σε αυτό το άρθρο, έχουμε περιγράψει 10 σημεία σχετικά με το πώς οι χρήστες μπορούν να προστατευθούν από τους εισβολείς. Εάν ακολουθήσετε αυτά τα μέτρα, θα είναι δύσκολο για τους χάκερ να κλέψουν τα δεδομένα ή τα χρήματά σας.
Αυτό το άρθρο αρχικά εμφανίστηκε στις Χάκεν.
Η Zlata Parasochka είναι συγγραφέας τεχνολογίας και κρυπτογράφος. Έχει επίσης το δικό της ιστολόγιο στον ιστότοπο του Hacker Noon. Μπορείτε να βρείτε το πιο πρόσφατο άρθρο της εδώ.
Προτεινόμενη εικόνα: Shutterstock / Alex Volot
