איך משתמשים יכולים להישאר מוגנים

בעולם המהיר והמתפתח של מטבעות קריפטוגרפיים, שבו מחליפים נכסים דיגיטליים, וניתן לעשות הון, סכנה אורבת מאיימת על ביטחונם של משקיעים ותיקים ועולים חדשים כאחד: הונאות קריפטו פישינג. 

תוכניות אלה נועדו לנצל את האמון והפגיעות של אנשים, במטרה להערים עליהם לחשוף את המידע הרגיש שלהם או אפילו להיפרד מהחזקות הקריפטו שהרוויחו קשה.

ככל שהפופולריות של מטבעות קריפטוגרפיים ממשיכה לעלות, כך עולה התחכום של טכניקות הדיוג המופעלות על ידי פושעי סייבר. מהתחזות לבורסות וארנקים לגיטימיים ועד ליצירת טקטיקות משכנעות של הנדסה חברתית, הרמאים האלה לא עוצרים כלום כדי להשיג גישה לא מורשית לנכסים הדיגיטליים שלך.

שחקנים זדוניים משתמשים בשיטות שונות של הנדסה חברתית כדי למקד את הקורבנות שלהם. בעזרת טקטיקות של הנדסה חברתית, הרמאים מתמרנים את רגשות המשתמשים ויוצרים תחושה של אמון ודחיפות.

אריק פרקר, מנכ"ל ומייסד שותף של Giddy - ארנק חכם לא משמורת - אמר ל-Cointelegraph, "מישהו פנה אליך מבלי שביקשת? זה אחד מכללי האצבע הגדולים שבהם אתה יכול להשתמש. שירות לקוחות רק לעתים רחוקות, אם בכלל, פונה אליכם באופן יזום, אז אתה תמיד צריך לחשוד בהודעות שאומרות שעליך לנקוט פעולה בחשבונך."

"אותו רעיון עם כסף חינם: אם מישהו שולח לך הודעות כי הוא רוצה לתת לך כסף בחינם, סביר להניח שזה לא אמיתי. היזהר מכל מסר שמרגיש טוב מכדי להיות אמיתי או נותן לך תחושה מיידית של דחיפות או פחד כדי לגרום לך לפעול במהירות."

הונאות דוא"ל והודעות

טכניקה נפוצה אחת המשמשת בהונאות דיוג קריפטו היא התחזות לישויות מהימנות, כגון בורסות מטבעות קריפטוגרפיים או ספקי ארנק. הרמאים שולחים מיילים או הודעות שנראה כאילו הם מארגונים לגיטימיים אלה, תוך שימוש במיתוג, לוגו וכתובות דוא"ל דומים. הם שואפים להונות את הנמענים להאמין שהתקשורת היא ממקור אמין.

כדי להשיג זאת, הרמאים עשויים להשתמש בטכניקות כמו זיוף דוא"ל, שבו הם מזייפים את כתובת הדוא"ל של השולח כדי לגרום לה להיראות כאילו היא מגיעה מארגון לגיטימי. הם עשויים גם להשתמש בטקטיקות של הנדסה חברתית כדי להתאים אישית את ההודעות ולגרום להן להיראות אותנטיות יותר. על ידי התחזות לישויות מהימנות, הרמאים מנצלים את האמון והאמינות הקשורים לארגונים אלה כדי להערים על משתמשים לבצע פעולות הפוגעות באבטחתם.

בקשות תמיכה מזויפות

נוכלי דיוג קריפטו מתחזה לעתים קרובות כנציגי תמיכת לקוחות של בורסות לגיטימיות של מטבעות קריפטוגרפיים או של ספקי ארנק. הם שולחים מיילים או הודעות למשתמשים תמימים, טוענים לבעיה בחשבון שלהם או לעסקה ממתינה הדורשת טיפול מיידי.

הרמאים מספקים שיטת יצירת קשר או קישור לאתר תמיכה מזויף שבו משתמשים מתבקשים להזין את אישורי הכניסה שלהם או מידע רגיש אחר.

עומרי להב, מנכ"ל ומייסד שותף של Blockfence - תוסף דפדפן קריפטו-אבטחה - אמר ל-Cointelegraph, "חשוב לזכור שאם מישהו שולח לך הודעה או דוא"ל ללא הזמנה, סביר להניח שהוא רוצה ממך משהו. קישורים וקבצים מצורפים אלה יכולים להכיל תוכנות זדוניות שנועדו לגנוב את המפתחות שלך או לקבל גישה למערכות שלך", ממשיך:

"יתר על כן, הם יכולים להפנות אותך לאתרי פישינג. אמת תמיד את זהות השולח ואת הלגיטימיות של האימייל כדי להבטיח בטיחות. הימנע מלחיצה על קישורים ישירות; העתק והדבק את כתובת האתר בדפדפן שלך, בדוק היטב אם יש אי התאמה באיות בשם הדומיין."

על ידי התחזות לאנשי תמיכה, הרמאים מנצלים את אמון המשתמשים בערוצי תמיכת לקוחות לגיטימיים. בנוסף, הם טורפים את הרצון לפתור בעיות במהירות, מה שמוביל משתמשים לחשוף ברצון את המידע הפרטי שלהם, שבו הרמאים יכולים להשתמש למטרות זדוניות מאוחר יותר.

אתרים מזויפים ופלטפורמות משובלות

שחקנים זדוניים יכולים גם לבנות אתרים ופלטפורמות מזויפות כדי למשוך משתמשים תמימים.

זיוף שמות דומיין היא טכניקה שבה רמאים רושמים שמות דומיינים הדומים מאוד לשמות של בורסות קריפטוגרפיות לגיטימיות או ספקי ארנק. לדוגמה, הם עשויים לרשום דומיין כמו "exchnage.com" במקום "exchange.com" או "myethwallet" במקום "myetherwallet". למרבה הצער, וריאציות קלות אלו יכולות להתעלם בקלות על ידי משתמשים תמימים.

להב אמר כי על המשתמשים "לוודא האם האתר המדובר הוא מכובד ומוכר".

לאחרונה: ביטקוין נמצא במסלול התנגשות עם הבטחות 'נטו אפס'

"בדיקת האיות הנכונה של כתובת האתר היא גם חיונית, שכן שחקנים זדוניים יוצרים לעתים קרובות כתובות URL הדומות מאוד לאלו של אתרים לגיטימיים. משתמשים צריכים גם להיות זהירים עם אתרים שהם מגלים באמצעות מודעות גוגל, מכיוון שהם עשויים שלא להיות מדורגים גבוהים בתוצאות החיפוש באופן אורגני", אמר.

רמאים משתמשים בשמות הדומיינים המזויפים האלה כדי ליצור אתרים שמחקים פלטפורמות לגיטימיות. לעתים קרובות הם שולחים מיילים או הודעות דיוג המכילות קישורים לאתרי האינטרנט המזויפים הללו, ומרמה את המשתמשים להאמין שהם ניגשים לפלטפורמה האמיתית. ברגע שמשתמשים מכניסים את פרטי הכניסה שלהם או מבצעים עסקאות באתרים אלה, הרמאים לוכדים את המידע הרגיש ומנצלים אותו לרווחתם.

תוכנות זדוניות ואפליקציות לנייד

האקרים יכולים גם להשתמש בתוכנה זדונית כדי למקד משתמשים. Keyloggers וחטיפת לוח הם טכניקות הרמאים בהתחזות קריפטו כדי לגנוב מידע רגיש ממכשירי המשתמשים.

Keyloggers הן תוכנות זדוניות שמתעדות כל הקשה שמשתמש מבצע במכשיר שלו. כאשר משתמשים מכניסים את אישורי הכניסה או המפתחות הפרטיים שלהם, ה-keylogger לוכד את המידע הזה ושולח אותו בחזרה לרמאים. חטיפת לוח הלוח כרוכה ביירוט התוכן שהועתק ללוח של המכשיר. 

עסקאות מטבעות קריפטו כוללות לעתים קרובות העתקה והדבקה של כתובות ארנק או מידע רגיש אחר. רמאים משתמשים בתוכנה זדונית כדי לפקח על הלוח ולהחליף כתובות ארנק לגיטימיות בכתובות שלהם. כאשר משתמשים מדביקים את המידע בשדה המיועד, הם שולחים ללא ידיעתו את הכספים שלהם לארנק של הרמאי במקום זאת.

כיצד משתמשים יכולים להישאר מוגנים מפני הונאות דיוג קריפטו

ישנם צעדים שמשתמשים יכולים לנקוט כדי להגן על עצמם בזמן ניווט בחלל הקריפטו.

הפעלת אימות דו-גורמי (2FA) הוא כלי אחד שיכול לעזור לאבטח חשבונות הקשורים לקריפטו מפני הונאות דיוג.

2FA מוסיף שכבת הגנה נוספת על ידי דרישה מהמשתמשים לספק צורה שנייה של אימות, בדרך כלל קוד ייחודי שנוצר במכשיר הנייד שלהם, בנוסף לסיסמה שלהם. זה מבטיח שגם אם תוקפים משיגים את אישורי הכניסה של המשתמש באמצעות ניסיונות דיוג, הם עדיין צריכים את הגורם השני (כגון סיסמה חד פעמית מבוססת זמן) כדי לקבל גישה.

שימוש במאמתים מבוססי חומרה או תוכנה

בעת הגדרת 2FA, על המשתמשים לשקול להשתמש במאמתים מבוססי חומרה או תוכנה במקום להסתמך רק על אימות מבוסס SMS. 2FA מבוסס SMS יכול להיות פגיע להתקפות החלפת SIM, שבהן תוקפים משתלטים במרמה על מספר הטלפון של המשתמש.

מאמת חומרה, כגון YubiKey או מפתחות אבטחה, הם מכשירים פיזיים שמייצרים סיסמאות חד פעמיות ומספקים שכבת אבטחה נוספת. מאמתים מבוססי תוכנה, כגון Google Authenticator או Authy, יוצרים קודים מבוססי זמן בסמארטפונים של המשתמשים. שיטות אלו מאובטחות יותר מאימות מבוסס SMS מכיוון שהן אינן רגישות להתקפות החלפת SIM.

ודא את מקוריות האתר

כדי להגן מפני הונאות דיוג, על המשתמשים להימנע מלחיצה על קישורים המסופקים בהודעות דוא"ל, הודעות או מקורות לא מאומתים אחרים. במקום זאת, עליהם להזין ידנית את כתובות האתר של בורסות המטבעות הקריפטוגרפיים, הארנקים או כל פלטפורמה אחרת שאליהם הם רוצים לגשת.

על ידי הזנה ידנית של כתובת האתר, המשתמשים מבטיחים שהם ניגשים ישירות לאתר החוקי במקום להיות מופנים לאתר מזויף או משובט על ידי לחיצה על קישור דיוג.

היזהר עם קישורים וקבצים מצורפים

לפני לחיצה על קישורים כלשהם, המשתמשים צריכים לרחף מעליהם עם סמן העכבר כדי להציג את כתובת אתר היעד בשורת המצב של הדפדפן או בהסבר הכלי. זה מאפשר למשתמשים לאמת את היעד האמיתי של הקישור ולוודא שהוא תואם לאתר הצפוי.

נוכלי פישינג מסווים לעתים קרובות קישורים על ידי הצגת טקסט כתובת אתר שונה מהיעד. על ידי ריחוף מעל הקישור, משתמשים יכולים לזהות חוסר עקביות וכתובות URL חשודות שעשויות להצביע על ניסיון דיוג.

פרקר הסביר לקוינטלגרף, "קל מאוד לזייף את הקישור הבסיסי במייל. רמאי יכול להראות לך קישור אחד בטקסט של האימייל אבל להפוך את ההיפר-קישור הבסיסי למשהו אחר."

"תרמית מועדפת בקרב phishers קריפטו היא להעתיק את ממשק המשתמש של אתר מכובד, אבל להציב את הקוד הזדוני שלהם עבור חלק ההתחברות או Wallet Connect, מה שגורם לגניבת סיסמאות, או גרוע מכך, ביטויים ראשוניים גנובים. לכן, בדוק תמיד את כתובת האתר שאתה מתחבר אליו או שאתה מחבר את ארנק הקריפטו שלך."

סריקת קבצים מצורפים עם תוכנת אנטי וירוס

על המשתמשים לנקוט משנה זהירות בעת הורדה ופתיחה של קבצים מצורפים, במיוחד ממקורות לא מהימנים או חשודים. קבצים מצורפים יכולים להכיל תוכנות זדוניות, כולל Keyloggers או סוסים טרויאניים, שעלולים לסכן את האבטחה של מכשיר המשתמש וחשבונות ה-cryptocurrency של המשתמש.

כדי להפחית את הסיכון הזה, על המשתמשים לסרוק את כל הקבצים המצורפים עם תוכנת אנטי-וירוס מוכרת לפני פתיחתם. זה עוזר לזהות ולהסיר כל איומים פוטנציאליים של תוכנות זדוניות, ומקטין את הסיכויים ליפול קורבן להתקפת דיוג.

שמור על עדכון תוכנות ואפליקציות

שמירה על עדכון מערכות הפעלה, דפדפני אינטרנט, מכשירים ותוכנות אחרות חיונית לשמירה על אבטחת מכשירי המשתמש. עדכונים יכולים לכלול תיקוני אבטחה המטפלים בפגיעויות ידועות ומגנים מפני איומים מתעוררים.

שימוש בתוכנת אבטחה מוכרת

כדי להוסיף שכבת הגנה נוספת מפני הונאות דיוג ותוכנות זדוניות, על המשתמשים לשקול התקנת תוכנת אבטחה מכובדת במכשירים שלהם.

תוכנות אנטי-וירוס, אנטי-תוכנות זדוניות ואנטי-פישינג יכולות לסייע באיתור ובחסימה של איומים זדוניים, כולל הודעות דיוג, אתרי אינטרנט מזויפים וקבצים נגועים בתוכנה זדונית.

על ידי עדכון והפעלת סריקות אבטחה באופן קבוע באמצעות תוכנה מוכרת, משתמשים יכולים למזער את הסיכון ליפול קורבן להונאות דיוג ולהבטיח את האבטחה הכוללת של המכשירים והפעילויות הקשורות למטבעות קריפטוגרפיים.

למדו את עצמכם והישארו מעודכנים

הונאות דיוג קריפטו מתפתחות כל הזמן, וטקטיקות חדשות צצות באופן קבוע. על המשתמשים לנקוט יוזמה כדי לחנך את עצמם לגבי טכניקות הדיוג העדכניות ביותר והונאות המכוונות לקהילת מטבעות הקריפטו. בנוסף, הישאר מעודכן על ידי מחקר וקריאה על אירועי פישינג אחרונים ושיטות אבטחה מומלצות.

לאחרונה: מהו שימוש הוגן? בית המשפט העליון של ארה"ב שוקל את דילמת זכויות היוצרים של AI

כדי להישאר מעודכן בחדשות הקשורות לאבטחה ולקבל אזהרות בזמן על הונאות דיוג, על המשתמשים לעקוב אחר מקורות מהימנים בקהילת מטבעות הקריפטו. זה יכול לכלול הודעות רשמיות וחשבונות מדיה חברתית של בורסות מטבעות קריפטוגרפיים, ספקי ארנק וארגוני אבטחת סייבר נחשבים.

על ידי מעקב אחר מקורות אמינים, משתמשים יכולים לקבל מידע מדויק והתראות לגבי הונאות דיוג, פרצות אבטחה ושיטות עבודה מומלצות להגנה על נכסי הקריפטו שלהם.