Blockchain güvenlik şirketi CertiK, kripto topluluğuna, ilk olarak bu yılın başlarında Microsoft tarafından tanımlanan, Web3 kullanıcılarını hedefleyen benzersiz bir kimlik avı dolandırıcılığı türü olan "buzdan kimlik avı" dolandırıcılığına karşı tetikte olmalarını hatırlattı.
20 Aralık analiz raporunda, CertiK tarif edilen Web3 kullanıcılarını kandırarak imza izinleri alan ve sonunda bir dolandırıcının jetonlarını harcamasına izin veren bir saldırı olarak ice phishing dolandırıcılığı.
Bu, yardımcı olduğu iddia edilen sahte web siteleri gibi özel anahtarlar veya parolalar gibi gizli bilgilere erişmeye çalışan geleneksel kimlik avı saldırılarından farklıdır. FTX yatırımcıları fonları geri kazanıyor borsada kaybetti.
1/ Buzla kimlik avı, Web3 topluluğu için önemli bir tehdittir
Dolandırıcılar, özel anahtarınıza erişim elde etmek yerine, varlıklarınızı harcamak için sizi kandırarak imzalama izinleri verir.
Nelere dikkat etmeniz gerektiğini ve kendinizi nasıl koruyacağınızı aşağıda özetleyeceğiz!
— CertiK Uyarısı (@CertiKAlert) 20 Aralık 2022
17 Aralık dolandırıcılığı nerede 14 Sıkılmış Maymun çalındı ayrıntılı bir ice phishing dolandırıcılığına bir örnektir. Bir yatırımcı, bir film sözleşmesi kılığında bir işlem talebi imzalamaya ikna edildi ve bu, dolandırıcının nihayetinde kullanıcının tüm maymunlarını ihmal edilebilir bir meblağ karşılığında kendilerine satmasına olanak sağladı.
Şirket, bu tür bir dolandırıcılığın yalnızca Web3 dünyasında bulunan "önemli bir tehdit" olduğunu, çünkü yatırımcıların etkileşime girdikleri merkezi olmayan finans (DeFi) protokolleri için kolayca sahte olabilecek izinleri imzalamaları gerektiğini belirtti.
"Bilgisayar korsanının tek yapması gereken, bir kullanıcıyı, onay verdiği kötü niyetli adresin yasal olduğuna inandırmak. Bir kullanıcı, dolandırıcının jeton harcaması için izinleri onayladığında, varlıkların tükenme riski vardır.”
Bir dolandırıcı onay aldıktan sonra varlıkları kendi seçtikleri bir adrese aktarabilir.
CertiK, kendilerini buzdan kimlik avından korumak için, yatırımcılara bir belirteç onay aracı kullanarak Etherscan gibi blockchain gezgini sitelerinde tanımadıkları adreslerin izinlerini iptal etmelerini tavsiye etti.
Ek olarak, kullanıcıların etkileşim kurmayı planladıkları adresler, şüpheli etkinlik için bu blok zinciri kaşiflerinde aranmalıdır. CertiK, analizinde şüpheli faaliyet örneği olarak Tornado Cash çekimleriyle finanse edilen bir adresi gösteriyor.
CertiK ayrıca, kullanıcıların yalnızca doğrulayabildikleri resmi sitelerle etkileşimde bulunmalarını ve özellikle Twitter gibi sosyal medya sitelerine karşı dikkatli olmalarını önerdi ve örnek olarak sahte bir Optimism Twitter hesabını vurguladı.
Firma ayrıca kullanıcılara CoinMarketCap veya Coingecko gibi güvenilir bir siteyi kontrol etmeleri için birkaç dakika ayırmalarını tavsiye etti, kullanıcılar bağlantılı URL'nin meşru bir site olmadığını ve kaçınılması gerektiğini görebileceklerdi.
Teknoloji devi Microsoft, bu uygulamayı 16 Şubat'ta yayınladığı bir blogda ilk vurgulayan oldu. Facebook post, o sırada Web2 dünyasında kimlik bilgileriyle kimlik avının çok baskın olmasına rağmen, buzla kimlik avının bireysel dolandırıcılara "neredeyse tamamen anonimliği" korurken kripto endüstrisinin bir bölümünü çalma yeteneği verdiğini söylüyordu.
Web3 projelerinin ve cüzdan sağlayıcılarının, yalnızca son kullanıcıya yüklenen buz kimlik avı saldırılarından kaçınma yükünü önlemek için hizmetlerinin güvenliğini yazılım düzeyinde artırmalarını tavsiye ettiler.
Kaynak: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik