אף על פי Web3 אוונגליסטים הציגו זה מכבר את תכונות האבטחה המקוריות של בלוקצ'יין, שטף הכסף שזורם לתעשייה הופך אותה לפוטנציאל מפתה עבור האקרים, רמאים וגנבים.
כאשר שחקנים רעים מצליחים לפרוץ את אבטחת הסייבר של Web3, לרוב זה נובע מכך שמשתמשים מתעלמים מהאיומים הנפוצים ביותר של חמדנות אנושית, FOMO ובורות, ולא בגלל פגמים בטכנולוגיה.
הונאות רבות מבטיחות תמורה גדולה, השקעות או הטבות בלעדיות; ה-FTC מכנה הזדמנויות והשקעות להרוויח כסף הונאות.
כסף גדול בהונאות
לפי יוני 2022 לדווח על ידי ועדת הסחר הפדרלית, יותר ממיליארד דולר במטבעות קריפטוגרפיים נגנב מאז 1. ושטחי הציד של ההאקרים הם המקום שבו אנשים מתאספים באינטרנט.
"כמעט מחצית מהאנשים שדיווחו על איבוד קריפטו בגלל הונאה מאז 2021 אמרו שזה התחיל במודעה, פוסט או הודעה בפלטפורמת מדיה חברתית", אמר ה-FTC.
למרות שפרסומים הונאה נשמעים טוב מכדי להיות אמיתיים, קורבנות פוטנציאליים עשויים להשעות את חוסר האמון בהתחשב בתנודתיות העזה של שוק הקריפטו; אנשים לא רוצים לפספס את הדבר הגדול הבא.
תוקפים המכוונים ל-NFT
יחד עם מטבעות קריפטוגרפיים, NFTs, או אסימונים שאינם ניתנים לשינוי, הפכו ל-an פופולרי יותר ויותר מטרה לרמאים; לפי חברת אבטחת סייבר Web3 מעבדות TRM, בחודשיים שלאחר מאי 2022, קהילת ה-NFT הפסידה כ-22 מיליון דולר על ידי הונאות והתקפות דיוג.
אוספי "Blue-chip" כגון מועדון יאכטות קופים משועממים (BAYC) הם יעד מוערך במיוחד. באפריל 2022, חשבון האינסטגרם של BAYC היה פרוצים על ידי רמאים שהפנו קורבנות לאתר שרוקן את ארנקי ה-Ethereum שלהם מהקריפטו ו-NFT. כ-91 מכשירי NFT, בשווי כולל של למעלה מ-2.8 מיליון דולר, נגנבו. חודשים לאחר מכן, א ניצול דיסקורד ראה NFT בשווי 200 ETH נגנב ממשתמשים.
גם מחזיקי BAYC בעלי פרופיל גבוה נפלו קורבן להונאות. ב-17 במאי, שחקן ומפיק סט ירוק צייץ בטוויטר שהוא היה קורבן להונאת פישינג שגרמה לגניבה של ארבעה NFTs, כולל Bored Ape #8398. בנוסף להדגיש את האיום הנשקף מהתקפות דיוג, זה יכול היה להוריד מהפסים תוכנית טלוויזיה/סטרימינג בנושא NFT שתוכנן על ידי גרין, "White Horse Tavern". BAYC NFTs כוללים זכויות רישוי להשתמש ב-NFT למטרות מסחריות, כמו במקרה של משועמם ורעב מסעדת מזון מהיר בלונג ביץ', קליפורניה.
חשבתי שטבעתי שיבוטים של GutterCat- קישור הדיוג נראה נקי
- סת' גרין (@SethGreen) מאי 17, 2022
במהלך סשן של Twitter Spaces ב-9 ביוני, ירוק אמר שהוא שחזר את ה-JPEG הגנוב לאחר ששילם 165 ETH (יותר מ-$295,000 בזמנו) לאדם שקנה את ה-NFT לאחר גניבתו.
"דיוג הוא עדיין הווקטור הראשון להתקפה", לואיס לובק, מהנדס אבטחה בחברת אבטחת הסייבר Web3, הלבורן, אמר לי פענוח.
לובק אומר שמשתמשים צריכים להיות מודעים לאתרים מזויפים שמבקשים אישורי ארנק, קישורים משובטים ופרויקטים מזויפים.
על פי לובק, הונאת דיוג עשויה להתחיל בהנדסה חברתית, לספר למשתמש על השקה מוקדמת של אסימון או שהוא יפיק פי 100 את הכסף שלו, API נמוך, או שהחשבון שלו נפרץ ודורש שינוי סיסמה. הודעות אלו מגיעות בדרך כלל עם זמן מוגבל לפעולה, מה שמוביל עוד יותר את החשש של המשתמש להחמיץ, הידוע גם בשם FOMO.
במקרה של גרין, מתקפת ההתחזות הגיעה דרך קישור משובט.
חשבתי שטבעתי שיבוטים של GutterCat- קישור הדיוג נראה נקי
- סת' גרין (@SethGreen) מאי 17, 2022
דיוג שיבוט הוא התקפה שבה רמאי לוקח אתר אינטרנט, אימייל או אפילו קישור פשוט ויוצר עותק כמעט מושלם שנראה לגיטימי. גרין חשב שהוא טבע שיבוטים של "GutterCat" באמצעות מה שהתברר כאתר דיוג.
כשגרין חיבר את הארנק שלו לאתר הדיוג וחתם על העסקה כדי להטביע את ה-NFT, הוא נתן להאקרים גישה למפתחות הפרטיים שלו, ובתמורה, לקופים המשועממים שלו.
סוגי התקפות סייבר
פרצות אבטחה יכולות להשפיע הן על חברות והן על אנשים פרטיים. למרות שאינה רשימה מלאה, התקפות סייבר המכוונות ל-Web3 מתחלקות בדרך כלל לקטגוריות הבאות:
- ? דיוג: אחת הצורות הוותיקות אך הנפוצות ביותר של התקפות סייבר, התקפות דיוג מגיעות בדרך כלל בצורה של דואר אלקטרוני וכוללות שליחת תקשורת הונאה כמו טקסטים והודעות ברשתות חברתיות שנראה כי מגיעות ממקור בעל מוניטין. זֶה פשעי אינטרנט יכול גם ללבוש צורה של אתר אינטרנט שנפגע או מקודד בזדון שיכול לנקז את הקריפטו או ה-NFT מארנק מבוסס דפדפן מצורף לאחר חיבור ארנק קריפטו.
- ?☠️ תוכנות זדוניות: קיצור של תוכנה זדונית, מונח גג זה מכסה כל תוכנית או קוד שמזיק למערכות. תוכנה זדונית יכולה להיכנס למערכת באמצעות מיילים, טקסטים והודעות דיוג.
- ? אתרים שנפגעו: אתרים לגיטימיים אלו נחטפים על ידי פושעים ומשמשים לאחסון תוכנות זדוניות שמשתמשים תמימים מורידים ברגע שהם לוחצים על קישור, תמונה או קובץ.
- ? זיוף כתובות אתרים: ביטול קישור לאתרים שנפגעו; אתרים מזויפים הם אתרים זדוניים שהם שיבוטים של אתרים לגיטימיים. אתרים אלה, הידועים גם כ-URL Phishing, יכולים לאסוף שמות משתמש, סיסמאות, כרטיסי אשראי, מטבעות קריפטוגרפיים ומידע אישי אחר.
- ? הרחבות דפדפן מזויפות: כפי שהשם מרמז, ניצול זה משתמש בתוספי דפדפן מזויפים כדי לרמות משתמשי קריפטו להזין את האישורים או המפתחות שלהם בתוסף המעניק לפושעי הסייבר גישה לנתונים.
התקפות אלו מכוונות בדרך כלל לגשת, לגנוב ולהשמיד מידע רגיש או, במקרה של גרין, ל-Bod Ape NFT.
מה אתה יכול לעשות כדי להגן על עצמך?
לובק אומר שהדרך הטובה ביותר להגן על עצמך מפני פישינג היא לעולם לא להשיב לאימייל, טקסט SMS, טלגרם, דיסקורד או הודעת וואטסאפ מאדם, חברה או חשבון לא ידועים. "אני אלך רחוק יותר מזה", הוסיף לובק. "לעולם אל תזין אישורים או מידע אישי אם המשתמש לא התחיל את התקשורת."
Lubeck ממליצה לא להזין את האישורים או המידע האישי שלך בעת שימוש ב-WiFi או רשתות ציבוריות או משותפות. בנוסף, מספר לובק פענוח שלאנשים לא תהיה תחושת ביטחון מזויפת מכיוון שהם משתמשים במערכת הפעלה או סוג טלפון מסוים.
"כשאנחנו מדברים על סוגים אלה של הונאות: דיוג, התחזות לדפי אינטרנט, זה לא משנה אם אתה משתמש באייפון, לינוקס, מק, iOS, Windows או Chromebook", הוא אומר. "שם המכשיר; הבעיה היא באתר, לא במכשיר שלך."
שמור על מכשירי הקריפטו וה-NFT שלך בטוחים
בואו נסתכל על תוכנית פעולה "Web3" יותר.
במידת האפשר, השתמש בחומרה או ברווח אוויר ארנקים לאחסון נכסים דיגיטליים. מכשירים אלה, המתוארים לעתים כ"אחסון קר", מסירים את הקריפטו שלך מהאינטרנט עד שתהיה מוכן להשתמש בו. אמנם נפוץ ונוח להשתמש בארנקים מבוססי דפדפן כמו מטאמאסק, זכרו, לכל דבר המחובר לאינטרנט יש פוטנציאל להיפרץ.
אם אתה משתמש בארנק נייד, דפדפן או שולחני, הידוע גם בשם ארנק חם, הורד אותם מפלטפורמות רשמיות כמו חנות Google Play, App Store של אפל או אתרים מאומתים. לעולם אל תוריד מקישורים שנשלחו באמצעות טקסט או דואר אלקטרוני. למרות שאפליקציות זדוניות יכולות למצוא את דרכן לחנויות רשמיות, זה בטוח יותר משימוש בקישורים.
לאחר השלמת העסקה, נתק את הארנק מהאתר.
הקפד לשמור על פרטיות המפתחות הפרטיים, ביטויי המקור והסיסמאות שלך. אם תתבקש לשתף מידע זה כדי להשתתף בהשקעה או טביעה, זו הונאה.
השקיעו רק בפרויקטים שאתם מבינים. אם לא ברור איך התוכנית פועלת, עצור וערוך מחקר נוסף.
התעלם מטקטיקות לחץ גבוה ומלוחים זמנים צפופים. לעתים קרובות, רמאים ישתמשו בזה כדי לנסות להפעיל את FOMO ולגרום לקורבנות פוטנציאליים לא לחשוב או לחקור את מה שאומרים להם.
אחרון חביב, אם זה נשמע טוב מכדי להיות אמיתי, כנראה שזו הונאה.
הישאר מעודכן בחדשות הקריפטו, קבל עדכונים יומיים בתיבת הדואר הנכנס שלך.
מקור: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg