فن آوری

امنیت سایبری در Web3: محافظت از خود (و میمون JPEG)

08/03/2022
اخبار بیت کوین اتریوم

حتی اگر Web3 بشارتگران مدت‌هاست که ویژگی‌های امنیتی بومی بلاک چین را تبلیغ می‌کنند، سیل پولی که به این صنعت سرازیر می‌شود، آن را به چشم‌اندازی وسوسه‌انگیز برای هکرها تبدیل می‌کند. کلاهبرداران و دزدها

وقتی بازیگران بد موفق به نقض امنیت سایبری Web3 می‌شوند، اغلب به دلیل نادیده گرفتن شایع‌ترین تهدیدات حرص و آز انسان، FOMO، و نادانی، به جای نقص فناوری است.

بسیاری از کلاهبرداری‌ها نوید پرداخت‌های بزرگ، سرمایه‌گذاری یا امتیازات انحصاری را می‌دهند. FTC اینها را فرصت های پول سازی و سرمایه گذاری می نامد کلاهبرداری.

پول کلان در کلاهبرداری

طبق یک 2022 ژوئن گزارش توسط کمیسیون تجارت فدرال، بیش از 1 میلیارد دلار ارز دیجیتال از سال 2021 به سرقت رفته است. و مکان های شکار هکرها جایی است که مردم به صورت آنلاین جمع می شوند.

FTC گفت: «نزدیک به نیمی از افرادی که از سال 2021 گزارش از دست دادن رمزارز در اثر کلاهبرداری داشتند، گفتند که این کار با یک تبلیغ، پست یا پیام در یک پلت فرم رسانه اجتماعی آغاز شده است.

اگرچه ورودهای تقلبی برای واقعی بودن خیلی خوب به نظر می رسد، قربانیان احتمالی ممکن است با توجه به نوسان شدید بازار ارزهای دیجیتال، ناباوری را متوقف کنند. مردم نمی خواهند چیز بزرگ بعدی را از دست بدهند.

مهاجمانی که NFT ها را هدف قرار می دهند

همراه با ارزهای دیجیتال، NFT، یا توکن های غیر قابل تعویض، تبدیل به یک به طور روزافزون محبوب هدف کلاهبرداران؛ به گفته شرکت امنیت سایبری Web3 آزمایشگاه های TRM، در دو ماه پس از می 2022، جامعه NFT حدود 22 میلیون دلار به دلیل کلاهبرداری و حملات فیشینگ از دست داد.

مجموعه های “Blue-chip” مانند Bored Ape Yacht Club (BAYC) یک هدف ویژه هستند. در آوریل 2022، حساب اینستاگرام BAYC بود هک توسط کلاهبردارانی که قربانیان را به سایتی هدایت می‌کردند که کیف پول اتریوم آنها را از ارزهای دیجیتال و NFT تخلیه می‌کرد. حدود 91 NFT با ارزش مجموع بیش از 2.8 میلیون دلار به سرقت رفت. ماه ها بعد، الف سوء استفاده از اختلاف NFTهایی به ارزش 200 ETH از کاربران به سرقت رفتند.

دارندگان برجسته BAYC نیز قربانی کلاهبرداری شده‌اند. در 17 می، بازیگر و تهیه کننده ست سبز توییت کرد که قربانی یک کلاهبرداری فیشینگ شد که منجر به سرقت چهار NFT از جمله Bored Ape #8398 شد. علاوه بر برجسته کردن تهدید ناشی از حملات فیشینگ، می‌توانست یک برنامه تلویزیونی/استریم با موضوع NFT را که توسط گرین، «میخانه اسب سفید» برنامه‌ریزی شده بود، از مسیر خارج کند. NFTهای BAYC شامل حقوق صدور مجوز برای استفاده از NFT برای مقاصد تجاری است، مانند مورد بی حوصله و گرسنه رستوران فست فود در لانگ بیچ، کالیفرنیا.

در طول جلسه فضایی توییتر در 9 ژوئن، سبز گفت که JPEG سرقت شده را پس از پرداخت 165 ETH (بیش از 295,000 دلار در آن زمان) به شخصی که NFT را پس از سرقت آن خریداری کرده بود، بازیابی کرده است.

لوئیس لوبک، مهندس امنیت در شرکت امنیت سایبری Web3، "فیشینگ هنوز اولین عامل حمله است." هالبورن، گفت رمزگشایی کنید.

لوبک می گوید که کاربران باید از وب سایت های جعلی که اعتبار کیف پول، لینک های شبیه سازی شده و پروژه های جعلی را درخواست می کنند، آگاه باشند.

به گفته لوبک، یک کلاهبرداری فیشینگ ممکن است با مهندسی اجتماعی شروع شود و به کاربر در مورد راه‌اندازی زودهنگام توکن یا اینکه او ۱۰۰ برابر پول خود، API پایین، یا اینکه حسابش نقض شده است و نیاز به تغییر رمز عبور دارد، می‌گوید. این پیام‌ها معمولاً با زمان محدودی برای عمل ارسال می‌شوند، که باعث ترس کاربر از از دست دادن آن می‌شود که به نام FOMO نیز شناخته می‌شود.

در مورد گرین، حمله فیشینگ از طریق یک پیوند شبیه سازی شده انجام شد.

کلون فیشینگ حمله ای است که در آن یک کلاهبردار یک وب سایت، ایمیل یا حتی یک لینک ساده را می گیرد و یک کپی تقریباً کامل ایجاد می کند که قانونی به نظر می رسد. گرین فکر می‌کرد که در حال ساخت کلون‌های «GutterCat» با استفاده از وب‌سایت فیشینگ است.

وقتی گرین کیف پول خود را به وب‌سایت فیشینگ متصل کرد و معامله را برای ضرب NFT امضا کرد، به هکرها اجازه داد به کلیدهای خصوصی خود و به نوبه خود به Bored Apes خود دسترسی داشته باشند.

انواع حملات سایبری

نقض های امنیتی می تواند بر شرکت ها و افراد تأثیر بگذارد. حملات سایبری که Web3 را هدف قرار می دهند، در حالی که فهرست کاملی نیست، معمولاً در دسته های زیر قرار می گیرند:

  • ? فیشینگ: یکی از قدیمی‌ترین و در عین حال رایج‌ترین اشکال حملات سایبری، حملات فیشینگ است که معمولاً به شکل ایمیل انجام می‌شود و شامل ارسال ارتباطات جعلی مانند متن‌ها و پیام‌ها در رسانه‌های اجتماعی است که به نظر می‌رسد از یک منبع معتبر می‌آیند. این جرایم اینترنتی همچنین می‌تواند به شکل یک وب‌سایت در معرض خطر یا کدگذاری مخرب باشد که می‌تواند پس از اتصال کیف پول رمزنگاری، رمزنگاری یا NFT را از کیف پول مبتنی بر مرورگر متصل تخلیه کند.
  • ?‍☠️ نرم افزارهای مخرب: مخفف نرم افزارهای مخرب، این اصطلاح کلی هر برنامه یا کد مضر برای سیستم ها را پوشش می دهد. بدافزارها می توانند از طریق ایمیل های فیشینگ، پیامک ها و پیام ها وارد سیستم شوند.
  • ? وب سایت های در معرض خطر: این وب‌سایت‌های قانونی توسط مجرمان ربوده می‌شوند و برای ذخیره بدافزار استفاده می‌شوند که کاربران ناآگاه پس از کلیک بر روی یک پیوند، تصویر یا فایل دانلود می‌کنند.
  • ? جعل URL: لغو پیوند وب سایت های در معرض خطر؛ وب سایت های جعلی سایت های مخربی هستند که شبیه سازی وب سایت های قانونی هستند. این سایت‌ها همچنین به عنوان URL Phishing شناخته می‌شوند، می‌توانند نام‌های کاربری، رمز عبور، کارت‌های اعتباری، ارزهای دیجیتال و سایر اطلاعات شخصی را جمع‌آوری کنند.
  • ? افزونه های جعلی مرورگر: همانطور که از نام آن پیداست، این اکسپلویت ها از پسوندهای جعلی مرورگر استفاده می کنند تا کاربران رمزنگاری را فریب دهند تا اطلاعات کاربری یا کلیدهای خود را در افزونه ای وارد کنند که به مجرمان سایبری امکان دسترسی به داده ها را می دهد.

هدف این حملات معمولاً دسترسی، سرقت و از بین بردن اطلاعات حساس یا در مورد گرین، Bored Ape NFT است.

برای محافظت از خودت چهکاری میتوانی انجام دهی؟

لوبک می‌گوید بهترین راه برای محافظت از خود در برابر فیشینگ این است که هرگز به ایمیل، پیامک، پیام تلگرام، Discord یا واتس‌اپ از یک شخص، شرکت یا حساب کاربری ناشناس پاسخ ندهید. لوبک افزود: «من فراتر از آن خواهم رفت. "اگر کاربر ارتباط را شروع نکرده است، هرگز اعتبار یا اطلاعات شخصی را وارد نکنید."

لوبک توصیه می‌کند هنگام استفاده از وای‌فای یا شبکه‌های عمومی یا مشترک، اطلاعات کاربری یا اطلاعات شخصی خود را وارد نکنید. علاوه بر این، لوبک می گوید رمزگشایی کنید افراد نباید احساس امنیت کاذب داشته باشند زیرا از سیستم عامل یا نوع تلفن خاصی استفاده می کنند.

او می‌گوید: «وقتی در مورد این نوع کلاهبرداری‌ها صحبت می‌کنیم: فیشینگ، جعل هویت در صفحه وب، مهم نیست که از iPhone، Linux، Mac، iOS، Windows یا Chromebook استفاده می‌کنید. «دستگاه را نام ببرید؛ مشکل سایت است، نه دستگاه شما.»

رمزارزها و NFT های خود را ایمن نگه دارید

بیایید به یک برنامه اقدام بیشتر "Web3" نگاه کنیم.

در صورت امکان، از سخت افزار یا دارای شکاف هوا استفاده کنید کیف پول برای ذخیره دارایی های دیجیتال این دستگاه‌ها که گاهی اوقات به عنوان «ذخیره‌ی سرد» توصیف می‌شوند، رمزارز شما را از اینترنت حذف می‌کنند تا زمانی که آماده استفاده از آن شوید. در حالی که استفاده از کیف پول های مبتنی بر مرورگر معمول و راحت است MetaMask، به یاد داشته باشید، هر چیزی که به اینترنت متصل باشد پتانسیل هک شدن را دارد.

اگر از کیف پول موبایل، مرورگر یا دسکتاپ استفاده می‌کنید که به عنوان کیف پول داغ نیز شناخته می‌شود، آن‌ها را از پلتفرم‌های رسمی مانند فروشگاه Google Play، اپ استور اپل یا وب‌سایت‌های تأیید شده دانلود کنید. هرگز از لینک های ارسال شده از طریق متن یا ایمیل دانلود نکنید. اگرچه برنامه‌های مخرب می‌توانند راه خود را به فروشگاه‌های رسمی بیابند، اما امنیت بیشتری نسبت به استفاده از پیوندها دارند.

پس از تکمیل تراکنش، کیف پول را از وب سایت جدا کنید.

حتماً کلیدهای خصوصی، عبارات اولیه و رمزهای عبور خود را خصوصی نگه دارید. اگر از شما خواسته شود که این اطلاعات را برای شرکت در یک سرمایه گذاری یا ضرب‌کاری به اشتراک بگذارید، این یک کلاهبرداری است.

فقط روی پروژه هایی سرمایه گذاری کنید که درک می کنید. اگر نحوه عملکرد این طرح نامشخص است، متوقف شوید و تحقیقات بیشتری انجام دهید.

تاکتیک های پرفشار و ضرب الاجل های سخت را نادیده بگیرید. اغلب، کلاهبرداران از این برای استفاده از FOMO استفاده می‌کنند و قربانیان احتمالی را مجبور می‌کنند که درباره آنچه به آنها گفته می‌شود فکر یا تحقیق نکنند.

آخرین اما نه کم اهمیت، اگر خیلی خوب به نظر می رسد که درست باشد، احتمالاً یک کلاهبرداری است.

 

از اخبار ارزهای دیجیتال مطلع باشید، به‌روزرسانی‌های روزانه را در صندوق ورودی خود دریافت کنید.

منبع: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg