Web3'te Siber Güvenlik: Kendinizi (Ve Maymun JPEG'inizi) Korumak

Rağmen Web3 Evanjelistler uzun zamandır blockchain'in doğal güvenlik özelliklerini övüyorlar, sektöre akan para akışı onu bilgisayar korsanları için cazip bir fırsat haline getiriyor. Dolandırıcılar ve hırsızlar.

Kötü aktörlerin Web3 siber güvenliğini ihlal etmeyi başarması, teknolojideki kusurlardan ziyade genellikle kullanıcıların açgözlülük, FOMO ve cehalet gibi en yaygın tehditleri gözden kaçırmasından kaynaklanmaktadır.

Çoğu dolandırıcılık büyük kazançlar, yatırımlar veya ayrıcalıklı ayrıcalıklar vaat eder; FTC bunları para kazanma fırsatları ve yatırım olarak adlandırıyor dolandırıcılığı.

Dolandırıcılıkta büyük para

2022 Haziran'a göre rapor Federal Ticaret Komisyonu tarafından 1'den bu yana 2021 milyar doların üzerinde kripto para birimi çalındı. Bilgisayar korsanlarının avlanma alanları da insanların internette toplandığı yer.

FTC, "2021'den bu yana kripto paralarını bir dolandırıcılığa kaptırdıklarını bildiren kişilerin neredeyse yarısı, bunun bir sosyal medya platformundaki reklam, gönderi veya mesajla başladığını söyledi" dedi.

Her ne kadar dolandırıcılık olayları gerçek olamayacak kadar iyi görünse de, kripto pazarındaki yoğun değişkenlik göz önüne alındığında potansiyel kurbanlar inanmayı bir kenara bırakabilir; insanlar bir sonraki büyük şeyi kaçırmak istemezler.

NFT'leri hedef alan saldırganlar

Kripto para birimleri ile birlikte, NFT'lerveya değiştirilemez tokenlar, bir hale geldi giderek daha popüler dolandırıcıların hedefi; Web3 siber güvenlik firmasına göre TRM LaboratuvarlarıMayıs 2022'yi takip eden iki ayda NFT topluluğu dolandırıcılık ve kimlik avı saldırıları nedeniyle tahmini olarak 22 milyon dolar kaybetti.

"Mavi çip" koleksiyonları gibi Fored Ape Yat Kulübü (BAYC) özellikle değerli bir hedeftir. Nisan 2022'de BAYC Instagram hesabı üreticilerinin Kurbanları, Ethereum cüzdanlarındaki kripto ve NFT'leri boşaltan bir siteye yönlendiren dolandırıcılar tarafından. Toplam değeri 91 milyon doların üzerinde olan yaklaşık 2.8 NFT çalındı. Aylar sonra bir Discord'dan yararlanma kullanıcılardan 200 ETH değerinde NFT'nin çalındığını gördü.

Yüksek profilli BAYC sahipleri de dolandırıcılığın kurbanı oldu. 17 Mayıs'ta oyuncu ve yapımcı Seth Green Bored Ape #8398 de dahil olmak üzere dört NFT'nin çalınmasıyla sonuçlanan bir kimlik avı dolandırıcılığının kurbanı olduğunu tweetledi. Kimlik avı saldırılarının oluşturduğu tehdidi vurgulamanın yanı sıra, Green tarafından planlanan NFT temalı bir televizyon/yayın programı olan "White Horse Tavern"i raydan çıkarabilirdi. BAYC NFT'leri, NFT'nin ticari amaçlarla kullanılmasına ilişkin lisans haklarını içerir. sıkılmış ve aç Long Beach, CA'da fast food restoranı.

9 Haziran'daki Twitter Spaces oturumu sırasında, Yeşil Çalındıktan sonra NFT'yi satın alan bir kişiye 165 ETH (o sırada 295,000 dolardan fazla) ödedikten sonra çalınan JPEG'i kurtardığını söyledi.

Web3 siber güvenlik firmasında güvenlik mühendisi olan Luis Lubeck, "Kimlik avı hâlâ saldırıların ilk vektörü" diyor. halbornSöyledim, azalmak.

Lubeck, kullanıcıların cüzdan kimlik bilgilerini isteyen sahte web sitelerine, klonlanmış bağlantılara ve sahte projelere karşı dikkatli olması gerektiğini söylüyor.

Lubeck'e göre kimlik avı dolandırıcılığı, kullanıcıya erken bir token lansmanı yapılacağını veya parasının 100 katına çıkacağını, düşük bir API'ye sahip olacağını veya hesabının ihlal edildiğini ve şifre değişikliği gerektirdiğini söyleyen sosyal mühendislikle başlayabilir. Bu mesajlar genellikle sınırlı bir eylem süresiyle birlikte gelir ve bu da kullanıcının FOMO olarak da bilinen bir fırsatı kaçırma korkusunu daha da artırır.

Green'in durumunda kimlik avı saldırısı klonlanmış bir bağlantı yoluyla gerçekleşti.

Klon kimlik avı, bir dolandırıcının bir web sitesini, e-postayı veya hatta basit bir bağlantıyı alıp meşru görünen, mükemmele yakın bir kopya oluşturduğu bir saldırıdır. Green, kimlik avı sitesi olduğu ortaya çıkan bir siteyi kullanarak "GutterCat" klonlarını bastığını düşünüyordu.

Green, cüzdanını kimlik avı web sitesine bağlayıp NFT'yi basmak için işlemi imzaladığında, bilgisayar korsanlarına kendi özel anahtarlarına ve dolayısıyla Bored Apes'e erişim izni verdi.

Siber Saldırı Türleri

Güvenlik ihlalleri hem şirketleri hem de bireyleri etkileyebilir. Tam bir liste olmasa da Web3'ü hedef alan siber saldırılar genellikle aşağıdaki kategorilere ayrılır:

• ? Phishing: Siber saldırıların en eski ama en yaygın biçimlerinden biri olan kimlik avı saldırıları genellikle e-posta biçiminde gerçekleşir ve saygın bir kaynaktan geliyormuş gibi görünen metinler ve mesajlar gibi sahte iletişimlerin sosyal medyaya gönderilmesini içerir. Bu Siber suç Ayrıca, bir kripto cüzdanı bağlandığında bağlı tarayıcı tabanlı cüzdandan kripto veya NFT'yi boşaltabilen, güvenliği ihlal edilmiş veya kötü amaçlı olarak kodlanmış bir web sitesi biçimini de alabilir.
• ?‍☠️ Malware: Kötü amaçlı yazılımların kısaltması olan bu şemsiye terim, sistemlere zararlı her türlü programı veya kodu kapsar. Kötü amaçlı yazılım, kimlik avı e-postaları, metinleri ve mesajları yoluyla bir sisteme girebilir.
• ? Güvenliği ihlal edilmiş Web Siteleri: Bu meşru web siteleri suçlular tarafından ele geçirilir ve şüphelenmeyen kullanıcıların bir bağlantıya, resme veya dosyaya tıkladıklarında indirdiği kötü amaçlı yazılımları depolamak için kullanılır.
• ? URL Sahteciliği: Güvenliği ihlal edilmiş web sitelerinin bağlantısını kaldırın; Sahte web siteleri, meşru web sitelerinin kopyaları olan kötü amaçlı sitelerdir. URL Kimlik Avı olarak da bilinen bu siteler, kullanıcı adlarını, şifreleri, kredi kartlarını, kripto para birimini ve diğer kişisel bilgileri toplayabilir.
• ? Sahte Tarayıcı Uzantıları: Adından da anlaşılacağı gibi, bu istismarlar, kripto kullanıcılarını kandırarak kimlik bilgilerini veya anahtarlarını siber suçluların verilere erişmesini sağlayan bir uzantıya girmeleri için sahte tarayıcı uzantıları kullanıyor.

Bu saldırılar genellikle hassas bilgilere veya Green'in durumunda Bored Ape NFT'ye erişmeyi, bunları çalmayı ve yok etmeyi amaçlar.

Kendinizi korumak için ne yapabilirsiniz?

Lubeck, kendinizi kimlik avından korumanın en iyi yolunun, bilinmeyen bir kişi, şirket veya hesaptan gelen e-postaya, SMS mesajına, Telegram'a, Discord'a veya WhatsApp mesajına asla yanıt vermemek olduğunu söylüyor. Lubeck, "Bundan daha da ileri gideceğim" diye ekledi. “Kullanıcı iletişimi başlatmadıysa asla kimlik bilgilerini veya kişisel bilgileri girmeyin.”

Lubeck, halka açık veya paylaşılan WiFi veya ağları kullanırken kimlik bilgilerinizi veya kişisel bilgilerinizi girmemenizi önerir. Ayrıca Lubeck şunları söylüyor: azalmak İnsanların belirli bir işletim sistemi veya telefon türü kullandıkları için yanlış bir güvenlik duygusuna kapılmamaları gerektiğini düşünüyorum.

"Bu tür dolandırıcılıklardan (kimlik avı, web sayfası kimliğine bürünme) bahsettiğimizde iPhone, Linux, Mac, iOS, Windows veya Chromebook kullanmanız önemli değil" diyor. “Cihaza isim verin; sorun sitede, cihazınızda değil."

Kriptolarınızı ve NFT'lerinizi güvende tutun

Daha “Web3” eylem planına bakalım.

Mümkün olduğunda donanım veya hava boşluklu kullanın cüzdan dijital varlıkları saklamak için. Bazen "soğuk depolama" olarak tanımlanan bu cihazlar, siz kullanmaya hazır olana kadar kriptonuzu internetten kaldırır. Gibi tarayıcı tabanlı cüzdanları kullanmak yaygın ve kullanışlı olsa da MetaMaskUnutmayın, internete bağlı her şeyin saldırıya uğrama potansiyeli vardır.

Sıcak cüzdan olarak da bilinen bir mobil, tarayıcı veya masaüstü cüzdan kullanıyorsanız bunları Google Play Store, Apple App Store gibi resmi platformlardan veya doğrulanmış web sitelerinden indirin. Asla metin veya e-posta yoluyla gönderilen bağlantılardan indirme yapmayın. Kötü amaçlı uygulamalar resmi mağazalara girebilse de bu, bağlantıları kullanmaktan daha güvenlidir.

İşleminizi tamamladıktan sonra cüzdanın web sitesinden bağlantısını kesin.

Özel anahtarlarınızı, tohum ifadelerinizi ve şifrelerinizi gizli tuttuğunuzdan emin olun. Bir yatırıma veya para basımına katılmak için bu bilgiyi paylaşmanız istenirse bu bir dolandırıcılıktır.

Yalnızca anladığınız projelere yatırım yapın. Planın nasıl çalıştığı belli değilse durun ve daha fazla araştırma yapın.

Yüksek baskı taktiklerini ve sıkı teslim tarihlerini göz ardı edin. Çoğu zaman dolandırıcılar bunu FOMO'yu çağırmak ve potansiyel kurbanların kendilerine söylenenler hakkında düşünmemesini veya araştırma yapmamasını sağlamak için kullanırlar.

Son olarak, eğer gerçek olamayacak kadar iyi geliyorsa, muhtemelen bir dolandırıcılıktır.