حتی اگر Web3 بشارتگران مدتهاست که ویژگیهای امنیتی بومی بلاک چین را تبلیغ میکنند، سیل پولی که به این صنعت سرازیر میشود، آن را به چشماندازی وسوسهانگیز برای هکرها تبدیل میکند. کلاهبرداران و دزدها
وقتی بازیگران بد موفق به نقض امنیت سایبری Web3 میشوند، اغلب به دلیل نادیده گرفتن شایعترین تهدیدات حرص و آز انسان، FOMO، و نادانی، به جای نقص فناوری است.
بسیاری از کلاهبرداریها نوید پرداختهای بزرگ، سرمایهگذاری یا امتیازات انحصاری را میدهند. FTC اینها را فرصت های پول سازی و سرمایه گذاری می نامد کلاهبرداری.
پول کلان در کلاهبرداری
طبق یک 2022 ژوئن گزارش توسط کمیسیون تجارت فدرال، بیش از 1 میلیارد دلار ارز دیجیتال از سال 2021 به سرقت رفته است. و مکان های شکار هکرها جایی است که مردم به صورت آنلاین جمع می شوند.
FTC گفت: «نزدیک به نیمی از افرادی که از سال 2021 گزارش از دست دادن رمزارز در اثر کلاهبرداری داشتند، گفتند که این کار با یک تبلیغ، پست یا پیام در یک پلت فرم رسانه اجتماعی آغاز شده است.
اگرچه ورودهای تقلبی برای واقعی بودن خیلی خوب به نظر می رسد، قربانیان احتمالی ممکن است با توجه به نوسان شدید بازار ارزهای دیجیتال، ناباوری را متوقف کنند. مردم نمی خواهند چیز بزرگ بعدی را از دست بدهند.
مهاجمانی که NFT ها را هدف قرار می دهند
همراه با ارزهای دیجیتال، NFT، یا توکن های غیر قابل تعویض، تبدیل به یک به طور روزافزون محبوب هدف کلاهبرداران؛ به گفته شرکت امنیت سایبری Web3 آزمایشگاه های TRM، در دو ماه پس از می 2022، جامعه NFT حدود 22 میلیون دلار به دلیل کلاهبرداری و حملات فیشینگ از دست داد.
مجموعه های “Blue-chip” مانند Bored Ape Yacht Club (BAYC) یک هدف ویژه هستند. در آوریل 2022، حساب اینستاگرام BAYC بود هک توسط کلاهبردارانی که قربانیان را به سایتی هدایت میکردند که کیف پول اتریوم آنها را از ارزهای دیجیتال و NFT تخلیه میکرد. حدود 91 NFT با ارزش مجموع بیش از 2.8 میلیون دلار به سرقت رفت. ماه ها بعد، الف سوء استفاده از اختلاف NFTهایی به ارزش 200 ETH از کاربران به سرقت رفتند.
دارندگان برجسته BAYC نیز قربانی کلاهبرداری شدهاند. در 17 می، بازیگر و تهیه کننده ست سبز توییت کرد که قربانی یک کلاهبرداری فیشینگ شد که منجر به سرقت چهار NFT از جمله Bored Ape #8398 شد. علاوه بر برجسته کردن تهدید ناشی از حملات فیشینگ، میتوانست یک برنامه تلویزیونی/استریم با موضوع NFT را که توسط گرین، «میخانه اسب سفید» برنامهریزی شده بود، از مسیر خارج کند. NFTهای BAYC شامل حقوق صدور مجوز برای استفاده از NFT برای مقاصد تجاری است، مانند مورد بی حوصله و گرسنه رستوران فست فود در لانگ بیچ، کالیفرنیا.
فکر می کردم دارم شبیه سازی GutterCat را می سازم - پیوند فیشینگ تمیز به نظر می رسید
- ست گرین (@SethGreen) ممکن است 17، 2022
در طول جلسه فضایی توییتر در 9 ژوئن، سبز گفت که JPEG سرقت شده را پس از پرداخت 165 ETH (بیش از 295,000 دلار در آن زمان) به شخصی که NFT را پس از سرقت آن خریداری کرده بود، بازیابی کرده است.
لوئیس لوبک، مهندس امنیت در شرکت امنیت سایبری Web3، "فیشینگ هنوز اولین عامل حمله است." هالبورن، گفت رمزگشایی کنید.
لوبک می گوید که کاربران باید از وب سایت های جعلی که اعتبار کیف پول، لینک های شبیه سازی شده و پروژه های جعلی را درخواست می کنند، آگاه باشند.
به گفته لوبک، یک کلاهبرداری فیشینگ ممکن است با مهندسی اجتماعی شروع شود و به کاربر در مورد راهاندازی زودهنگام توکن یا اینکه او ۱۰۰ برابر پول خود، API پایین، یا اینکه حسابش نقض شده است و نیاز به تغییر رمز عبور دارد، میگوید. این پیامها معمولاً با زمان محدودی برای عمل ارسال میشوند، که باعث ترس کاربر از از دست دادن آن میشود که به نام FOMO نیز شناخته میشود.
در مورد گرین، حمله فیشینگ از طریق یک پیوند شبیه سازی شده انجام شد.
فکر می کردم دارم شبیه سازی GutterCat را می سازم - پیوند فیشینگ تمیز به نظر می رسید
- ست گرین (@SethGreen) ممکن است 17، 2022
کلون فیشینگ حمله ای است که در آن یک کلاهبردار یک وب سایت، ایمیل یا حتی یک لینک ساده را می گیرد و یک کپی تقریباً کامل ایجاد می کند که قانونی به نظر می رسد. گرین فکر میکرد که در حال ساخت کلونهای «GutterCat» با استفاده از وبسایت فیشینگ است.
وقتی گرین کیف پول خود را به وبسایت فیشینگ متصل کرد و معامله را برای ضرب NFT امضا کرد، به هکرها اجازه داد به کلیدهای خصوصی خود و به نوبه خود به Bored Apes خود دسترسی داشته باشند.
انواع حملات سایبری
نقض های امنیتی می تواند بر شرکت ها و افراد تأثیر بگذارد. حملات سایبری که Web3 را هدف قرار می دهند، در حالی که فهرست کاملی نیست، معمولاً در دسته های زیر قرار می گیرند:
- ? فیشینگ: یکی از قدیمیترین و در عین حال رایجترین اشکال حملات سایبری، حملات فیشینگ است که معمولاً به شکل ایمیل انجام میشود و شامل ارسال ارتباطات جعلی مانند متنها و پیامها در رسانههای اجتماعی است که به نظر میرسد از یک منبع معتبر میآیند. این جرایم اینترنتی همچنین میتواند به شکل یک وبسایت در معرض خطر یا کدگذاری مخرب باشد که میتواند پس از اتصال کیف پول رمزنگاری، رمزنگاری یا NFT را از کیف پول مبتنی بر مرورگر متصل تخلیه کند.
- ?☠️ نرم افزارهای مخرب: مخفف نرم افزارهای مخرب، این اصطلاح کلی هر برنامه یا کد مضر برای سیستم ها را پوشش می دهد. بدافزارها می توانند از طریق ایمیل های فیشینگ، پیامک ها و پیام ها وارد سیستم شوند.
- ? وب سایت های در معرض خطر: این وبسایتهای قانونی توسط مجرمان ربوده میشوند و برای ذخیره بدافزار استفاده میشوند که کاربران ناآگاه پس از کلیک بر روی یک پیوند، تصویر یا فایل دانلود میکنند.
- ? جعل URL: لغو پیوند وب سایت های در معرض خطر؛ وب سایت های جعلی سایت های مخربی هستند که شبیه سازی وب سایت های قانونی هستند. این سایتها همچنین به عنوان URL Phishing شناخته میشوند، میتوانند نامهای کاربری، رمز عبور، کارتهای اعتباری، ارزهای دیجیتال و سایر اطلاعات شخصی را جمعآوری کنند.
- ? افزونه های جعلی مرورگر: همانطور که از نام آن پیداست، این اکسپلویت ها از پسوندهای جعلی مرورگر استفاده می کنند تا کاربران رمزنگاری را فریب دهند تا اطلاعات کاربری یا کلیدهای خود را در افزونه ای وارد کنند که به مجرمان سایبری امکان دسترسی به داده ها را می دهد.
هدف این حملات معمولاً دسترسی، سرقت و از بین بردن اطلاعات حساس یا در مورد گرین، Bored Ape NFT است.
برای محافظت از خودت چهکاری میتوانی انجام دهی؟
لوبک میگوید بهترین راه برای محافظت از خود در برابر فیشینگ این است که هرگز به ایمیل، پیامک، پیام تلگرام، Discord یا واتساپ از یک شخص، شرکت یا حساب کاربری ناشناس پاسخ ندهید. لوبک افزود: «من فراتر از آن خواهم رفت. "اگر کاربر ارتباط را شروع نکرده است، هرگز اعتبار یا اطلاعات شخصی را وارد نکنید."
لوبک توصیه میکند هنگام استفاده از وایفای یا شبکههای عمومی یا مشترک، اطلاعات کاربری یا اطلاعات شخصی خود را وارد نکنید. علاوه بر این، لوبک می گوید رمزگشایی کنید افراد نباید احساس امنیت کاذب داشته باشند زیرا از سیستم عامل یا نوع تلفن خاصی استفاده می کنند.
او میگوید: «وقتی در مورد این نوع کلاهبرداریها صحبت میکنیم: فیشینگ، جعل هویت در صفحه وب، مهم نیست که از iPhone، Linux، Mac، iOS، Windows یا Chromebook استفاده میکنید. «دستگاه را نام ببرید؛ مشکل سایت است، نه دستگاه شما.»
رمزارزها و NFT های خود را ایمن نگه دارید
بیایید به یک برنامه اقدام بیشتر "Web3" نگاه کنیم.
در صورت امکان، از سخت افزار یا دارای شکاف هوا استفاده کنید کیف پول برای ذخیره دارایی های دیجیتال این دستگاهها که گاهی اوقات به عنوان «ذخیرهی سرد» توصیف میشوند، رمزارز شما را از اینترنت حذف میکنند تا زمانی که آماده استفاده از آن شوید. در حالی که استفاده از کیف پول های مبتنی بر مرورگر معمول و راحت است MetaMask، به یاد داشته باشید، هر چیزی که به اینترنت متصل باشد پتانسیل هک شدن را دارد.
اگر از کیف پول موبایل، مرورگر یا دسکتاپ استفاده میکنید که به عنوان کیف پول داغ نیز شناخته میشود، آنها را از پلتفرمهای رسمی مانند فروشگاه Google Play، اپ استور اپل یا وبسایتهای تأیید شده دانلود کنید. هرگز از لینک های ارسال شده از طریق متن یا ایمیل دانلود نکنید. اگرچه برنامههای مخرب میتوانند راه خود را به فروشگاههای رسمی بیابند، اما امنیت بیشتری نسبت به استفاده از پیوندها دارند.
پس از تکمیل تراکنش، کیف پول را از وب سایت جدا کنید.
حتماً کلیدهای خصوصی، عبارات اولیه و رمزهای عبور خود را خصوصی نگه دارید. اگر از شما خواسته شود که این اطلاعات را برای شرکت در یک سرمایه گذاری یا ضربکاری به اشتراک بگذارید، این یک کلاهبرداری است.
فقط روی پروژه هایی سرمایه گذاری کنید که درک می کنید. اگر نحوه عملکرد این طرح نامشخص است، متوقف شوید و تحقیقات بیشتری انجام دهید.
تاکتیک های پرفشار و ضرب الاجل های سخت را نادیده بگیرید. اغلب، کلاهبرداران از این برای استفاده از FOMO استفاده میکنند و قربانیان احتمالی را مجبور میکنند که درباره آنچه به آنها گفته میشود فکر یا تحقیق نکنند.
آخرین اما نه کم اهمیت، اگر خیلی خوب به نظر می رسد که درست باشد، احتمالاً یک کلاهبرداری است.
از اخبار ارزهای دیجیتال مطلع باشید، بهروزرسانیهای روزانه را در صندوق ورودی خود دریافت کنید.
منبع: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg