Kripto para birimleri, merkezi olmayan finans (defi) ve Web3 dünyasında airdroplar sektörde sıradan hale geldi. Bununla birlikte, airdroplar bedava para gibi görünse de, sözde 'ücretsiz' kripto varlıklarını almaya çalışan insanların parasını çalan airdrop kimlik avı dolandırıcılıklarında giderek artan bir eğilim var. Aşağıda, saldırganların para çalmak için airdrop kimlik avı dolandırıcılıklarını kullandığı iki farklı yönteme ve kendinizi nasıl koruyabileceğinize bir bakış yer almaktadır.
Airdroplar Her Zaman 'Ücretsiz Kripto' Anlamına Gelmez — Birçok Airdrop Hediye Promosyonu Sizi Soymak İstiyor
Airdrop'lar, ücretsiz kripto fonlarıyla eş anlamlı hale geldi; öyle ki, airdrop kimlik avı adı verilen ve giderek artan bir kripto dolandırıcılığı yaygınlaştı. Kripto topluluğunun bir katılımcısıysanız ve Twitter veya Facebook gibi sosyal medya platformlarını kullanıyorsanız, muhtemelen her türden airdrop reklamı yapan çok sayıda spam gönderi görmüşsünüzdür.
Genellikle, popüler bir Twitter kripto hesabı bir tweet atar ve bunu, airdrop kimlik avı girişimlerinin reklamını yapan bir grup dolandırıcı ve bedava para aldıklarını söyleyen çok sayıda hesap takip eder. Çoğu kişi bu airdrop dolandırıcılıklarına kanmayacaktır ancak airdroplar ücretsiz kripto olarak kabul edildiğinden, bu tür saldırıların kurbanı olarak para kaybeden bir grup insan var.
İlk saldırı, sosyal medyada aynı reklam yöntemini kullanıyor; birçok kişi veya bot, airdrop kimlik avı dolandırıcılığı web sayfasına yönlendiren bir bağlantıyı sallıyor. Şüpheli web sitesi çok meşru görünebilir ve hatta popüler Web3 projelerinden bazı öğeleri kopyalayabilir, ancak sonuçta dolandırıcılar fon çalmanın peşindedir. Ücretsiz airdrop dolandırıcılığı, bilinmeyen bir kripto tokeni olabileceği gibi, mevcut popüler bir dijital varlık da olabilir. BTC, ETH, SHIB, DOGE ve daha fazlası.
İlk saldırı genellikle airdrop'un alınabileceğini ancak kişinin sözde 'ücretsiz' fonları almak için uyumlu bir Web3 cüzdanı kullanması gerektiğini gösterir. Web sitesi, Metamask ve diğerleri gibi tüm popüler Web3 cüzdanlarını gösteren bir sayfaya yönlendirecektir, ancak bu sefer cüzdanın bağlantısına tıklandığında bir hata ortaya çıkacak ve site, kullanıcıdan çekirdek ifadeyi isteyecektir.
Destek almak için MetaMask'ı açın ve açılır menüdeki "Destek" veya "Yardım Alın" seçeneğine gidin. Size doğrudan mesaj gönderen kimseye güvenmeyin. HİÇBİR KOŞUL ALTINDA, Gizli Kurtarma İfadenizi kimseye vermemeli veya onu herhangi bir siteye girmemelisiniz!
— MetaMask Desteği (@MetaMaskSupport) 29 Nisan 2022
İşlerin karanlıklaştığı nokta burasıdır çünkü Web3 cüzdanı, kullanıcı aktif olarak bir cüzdanı geri yüklemediği sürece asla tohum veya 12-24 anımsatıcı ifade istemez. Bununla birlikte, airdrop kimlik avı dolandırıcılığından şüphelenmeyen kullanıcılar, hatanın meşru olduğunu düşünebilir ve tohumlarını web sayfasına girebilir ve bu da sonuçta cüzdanda depolanan tüm fonların kaybına yol açabilir.
Temel olarak kullanıcı, anımsatıcı bir ifade isteyen Web3 cüzdan hata sayfasına kanarak saldırganlara özel anahtarları verdi. Bir kişi, bilinmeyen bir kaynak tarafından istendiğinde tohum veya 12-24 anımsatıcı cümleyi asla girmemelidir ve bir cüzdanı geri yüklemeye ihtiyaç olmadığı sürece, çevrimiçi olarak bir tohum cümlesi girmeye asla gerek yoktur.
Şüpheli Bir Dapp İzinleri Vermek En İyi Fikir Değil
İkinci saldırı biraz daha çetindir ve saldırgan, Web3 cüzdan kullanıcısını soymak için kodun teknik özelliklerini kullanır. Benzer şekilde, airdrop kimlik avı dolandırıcılığının da sosyal medyada reklamı yapılacak ancak bu sefer kişi web portalını ziyaret ettiğinde siteye "bağlanmak" için Web3 cüzdanını kullanabilir.
Ancak saldırgan kodu, siteye bakiyelere okuma erişimi vermek yerine, kullanıcının sonuçta siteye Web3 cüzdanındaki fonları çalması için tam izin verecek şekilde yazmıştır. Bu, bir Web3 cüzdanını bir dolandırıcılık sitesine bağlayıp ona izinler vererek gerçekleşebilir. Saldırı, siteye bağlanmayarak ve siteden uzaklaşarak önlenebilir, ancak bu kimlik avı saldırısına kapılan çok sayıda insan var.
İşte en son kimlik avı dolandırıcılığı
1️⃣ Bir jeton Airdrop'la
2️⃣ Kolayca bulunabilmesi için aynı adı taşıyan bir web sitesi oluşturun
3️⃣ Bu token için neyin stake edildiğini bulduğunuzda, Approve txn diğer tokenlar için sınırsız harcama sağlar (örn. SNX)Daha sonra cüzdanınızdaki tokeni boşaltırlar. pic.twitter.com/vICIeC5rGk
- DeFi Baba ⟠ defidad.eth (@DeFi_Dad) 20 Aralık 2021
Bir cüzdanı güvence altına almanın başka bir yolu da, cüzdanın Web3 izinlerinin kullanıcının güvendiği sitelere bağlı olduğundan emin olmaktır. Şüpheli görünen merkezi olmayan uygulamalar (dapp'ler) varsa, kullanıcılar 'ücretsiz' kripto dolandırıcılığına kanarak yanlışlıkla dapp'e bağlanırlarsa izinleri kaldırmalıdır. Ancak genellikle artık çok geçtir ve dapp, cüzdan fonlarına erişim iznine sahip olduğunda, kripto, dapp'e uygulanan kötü amaçlı kodlama yoluyla kullanıcıdan çalınır.
Kendinizi yukarıda bahsedilen iki saldırıya karşı korumanın en iyi yolu, kasıtlı olarak bir cüzdanı geri yüklemediğiniz sürece tohum ifadenizi asla çevrimiçi girmemektir. Bunun yanı sıra, kullanmaya aşina olmadığınız şüpheli Web3 web sitelerine ve dapp'lere asla bağlanmamak veya Web3 cüzdan izinleri vermemek de iyi bir yöntemdir. Bu iki saldırı, mevcut airdrop kimlik avı eğilimine dikkat edilmemesi halinde, şüphelenmeyen yatırımcılar için büyük kayıplara neden olabilir.
Bu tür kimlik avı dolandırıcılığının kurbanı olan birini tanıyor musunuz? Kripto kimlik avı girişimlerini nasıl tespit edersiniz? Yorumlarınız ile düşüncelerinizi öğrenmemize izin verin.
Resim Kredileri: Shutterstock, Pixabay, Wiki Müşterekler
Feragatname: Bu makale bilgilendirme amaçlıdır. Satın alma veya satma teklifinin doğrudan bir teklifi veya talebi ya da herhangi bir ürün, hizmet veya şirketin tavsiyesi veya onayı değildir. Bitcoin.com yatırım, vergi, yasal veya muhasebe danışmanlığı sağlamaz. Ne şirket ne de yazar, doğrudan veya dolaylı olarak, bu maddede belirtilen içerik, mal veya hizmetlerin kullanımından veya bunlara güvenilmesinden kaynaklanan veya bunlarla bağlantılı olduğu iddia edilen hasar veya kayıplardan doğrudan veya dolaylı olarak sorumlu değildir.
Kaynak: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/