Siguria kibernetike në Web3: Mbroni veten (dhe majmunin tuaj JPEG)

Megjithëse Web3 ungjilltarët kanë mbrojtur prej kohësh tiparet vendase të sigurisë së blockchain, përrua e parave që rrjedh në industri e bën atë një perspektivë joshëse për hakerat, të përhershme dhe hajdutët.

Kur aktorët e këqij arrijnë të shkelin sigurinë kibernetike të Web3, kjo është shpesh për shkak të përdoruesve që shpërfillin kërcënimet më të zakonshme të lakmisë njerëzore, FOMO dhe injorancës, dhe jo për shkak të të metave në teknologji.

Shumë mashtrime premtojnë fitime të mëdha, investime ose përfitime ekskluzive; FTC i quan këto mundësi për të fituar para dhe investime mashtrimet.

Para të mëdha në mashtrime

Sipas një 2022 qershori raportojnë nga Komisioni Federal i Tregtisë, mbi 1 miliard dollarë kriptovaluta është vjedhur që nga viti 2021. Dhe terrenet e gjuetisë së hakerëve janë aty ku njerëzit mblidhen në internet.

“Pothuajse gjysma e njerëzve që raportuan se kishin humbur kriptomën nga një mashtrim që nga viti 2021 thanë se ajo filloi me një reklamë, postim ose mesazh në një platformë të mediave sociale,” tha FTC.

Megjithëse paraqitjet mashtruese duken shumë të mira për të qenë të vërteta, viktimat e mundshme mund të pezullojnë mosbesimin duke pasur parasysh paqëndrueshmërinë intensive të tregut të kriptove; njerëzit nuk duan të humbasin gjënë tjetër të madhe.

Sulmuesit që synojnë NFT-të

Së bashku me kriptovalutat, NFT, ose tokenat jo të këmbyeshëm, janë bërë një gjithnjë e më popullore objektiv për mashtruesit; sipas firmës së sigurisë kibernetike Web3 Laboratorët e TRM, në dy muajt pas majit 2022, komuniteti NFT humbi rreth 22 milionë dollarë nga mashtrimet dhe sulmet e phishing.

Koleksionet “Blue-chip” si p.sh Klubi i jahteve të mërzitur të majmunëve (BAYC) janë një objektiv veçanërisht i çmuar. Në prill 2022, llogaria në Instagram BAYC ishte hacked nga mashtruesit që i devijuan viktimat në një faqe që mbaronte kuletat e tyre Ethereum të kriptove dhe NFT-ve. Rreth 91 NFT, me një vlerë të kombinuar prej mbi 2.8 milionë dollarë, u vodhën. Muaj më vonë, a Shfrytëzimi i mosmarrëveshjeve panë NFT me vlerë 200 ETH të vjedhura nga përdoruesit.

Mbajtësit e profilit të lartë të BAYC kanë rënë gjithashtu viktima të mashtrimeve. Më 17 maj, aktor dhe producent Seth jeshile postoi në Twitter se ai ishte viktimë e një mashtrimi phishing që rezultoi në vjedhjen e katër NFT-ve, duke përfshirë Bored Ape #8398. Si dhe nënvizimi i kërcënimit të paraqitur nga sulmet e phishing, ai mund të kishte prishur një shfaqje televizive/transmetuese me temë NFT e planifikuar nga Green, "White Horse Tavern". BAYC NFT-të përfshijnë të drejtat e licencimit për të përdorur NFT-në për qëllime komerciale, si në rastin e I mërzitur dhe i uritur restorant i ushqimit të shpejtë në Long Beach, CA.

Gjatë një sesioni të Twitter Spaces më 9 qershor, e gjelbër tha se ai kishte rimarrë JPEG-në e vjedhur pasi i kishte paguar 165 ETH (më shumë se 295,000 dollarë në atë kohë) një personi që kishte blerë NFT pasi ishte vjedhur.

"Phishing është ende vektori i parë i sulmit," Luis Lubeck, një inxhinier sigurie në firmën e sigurisë kibernetike Web3, Halornal, tha decrypt.

Lubeck thotë se përdoruesit duhet të jenë të vetëdijshëm për faqet e internetit të rreme që kërkojnë kredencialet e portofolit, lidhjet e klonuara dhe projektet e rreme.

Sipas Lubeck, një mashtrim phishing mund të fillojë me inxhinierinë sociale, duke i treguar përdoruesit për një lëshim të hershëm të tokenit ose se ata do të 100 herë paratë e tyre, një API të ulët ose që llogaria e tyre është shkelur dhe kërkon një ndryshim fjalëkalimi. Këto mesazhe zakonisht vijnë me një kohë të kufizuar për të vepruar, duke nxitur më tej frikën e përdoruesit për të humbur, e njohur edhe si FOMO.

Në rastin e Green, sulmi i phishing erdhi nëpërmjet një lidhjeje të klonuar.

Klon phishing është një sulm ku një mashtrues merr një faqe interneti, email, apo edhe një lidhje të thjeshtë dhe krijon një kopje pothuajse perfekte që duket e ligjshme. Green mendoi se po krijonte klone "GutterCat" duke përdorur atë që doli të ishte një faqe interneti phishing.

Kur Green lidhi portofolin e tij me faqen e internetit të phishing dhe nënshkroi transaksionin për të krijuar NFT, ai u dha hakerëve akses në çelësat e tij privatë dhe, nga ana tjetër, majmunët e tij të mërzitur.

Llojet e sulmeve kibernetike

Shkeljet e sigurisë mund të prekin si kompanitë ashtu edhe individët. Megjithëse nuk është një listë e plotë, sulmet kibernetike që synojnë Web3 zakonisht bien në kategoritë e mëposhtme:

• ? phishing: Një nga format më të vjetra por më të zakonshme të sulmeve kibernetike, sulmet e phishing zakonisht vijnë në formën e emailit dhe përfshijnë dërgimin e komunikimeve mashtruese si tekste dhe mesazhe në mediat sociale që duket se vijnë nga një burim me reputacion. Kjo krimi në internet mund të marrë gjithashtu formën e një uebsajti të komprometuar ose të koduar me qëllim të keq që mund të shkarkojë kripto-n ose NFT-në nga një portofol i bashkangjitur i bazuar në shfletues pasi të lidhet një portofol kripto.
• ?‍☠️ malware: Shkurtim i softuerit me qëllim të keq, ky term ombrellë mbulon çdo program ose kod të dëmshëm për sistemet. Malware mund të hyjë në një sistem përmes emaileve phishing, teksteve dhe mesazheve.
• ? Faqet e internetit të komprometuara: Këto faqe interneti legjitime rrëmbehen nga kriminelët dhe përdoren për të ruajtur malware që përdoruesit e paditur shkarkojnë pasi të klikojnë në një lidhje, imazh ose skedar.
• ? Mashtrimi i URL-ve: Shkëputni faqet e internetit të komprometuara; faqet e internetit të falsifikuara janë sajte me qëllim të keq që janë klone të faqeve të internetit legjitime. Të njohura edhe si URL Phishing, këto sajte mund të mbledhin emra përdoruesish, fjalëkalime, karta krediti, kriptomonedha dhe informacione të tjera personale.
• ? Zgjerime të rreme të shfletuesit: Siç sugjeron emri, këto shfrytëzime përdorin shtesa të rreme të shfletuesit për të mashtruar përdoruesit e kriptove që të futin kredencialet ose çelësat e tyre në një shtesë që i jep kriminelëve kibernetikë akses në të dhëna.

Këto sulme zakonisht synojnë aksesin, vjedhjen dhe shkatërrimin e informacionit të ndjeshëm ose, në rastin e Green, një Bored Ape NFT.

Çfarë mund të bëni për të mbrojtur veten?

Lubeck thotë se mënyra më e mirë për t'u mbrojtur nga phishing është të mos i përgjigjeni kurrë një emaili, mesazhi SMS, Telegram, Discord ose WhatsApp nga një person, kompani ose llogari e panjohur. "Unë do të shkoj më tej se kaq," shtoi Lubeck. "Asnjëherë mos vendosni kredencialet ose informacionin personal nëse përdoruesi nuk e ka nisur komunikimin."

Lubeck rekomandon të mos futni kredencialet ose informacionin tuaj personal kur përdorni WiFi ose rrjete publike ose të përbashkëta. Përveç kësaj, tregon Lubeck decrypt se njerëzit nuk duhet të kenë një ndjenjë të rreme sigurie sepse përdorin një sistem të caktuar operativ ose lloj telefoni.

“Kur flasim për këto lloje mashtrimesh: phishing, imitim të faqeve në internet, nuk ka rëndësi nëse jeni duke përdorur një iPhone, Linux, Mac, iOS, Windows ose Chromebook,” thotë ai. "Emërtoni pajisjen; problemi është faqja, jo pajisja juaj.”

Mbani të sigurta kriptomat tuaja dhe NFT-të

Le të shohim një plan veprimi më "Web3".

Kur është e mundur, përdorni harduer ose me boshllëk ajri kuletat për të ruajtur asetet dixhitale. Këto pajisje, të përshkruara ndonjëherë si "ruajtje e ftohtë", heqin kripto-n tuaj nga interneti derisa të jeni gati për ta përdorur atë. Ndërsa është e zakonshme dhe e përshtatshme për të përdorur kuletat e bazuara në shfletues si p.sh MetaMask, mbani mend, çdo gjë e lidhur me internetin ka potencialin për t'u hakuar.

Nëse përdorni një portofol celular, shfletues ose desktop, i njohur gjithashtu si një portofol i nxehtë, shkarkojini ato nga platformat zyrtare si Google Play Store, App Store i Apple ose faqet e internetit të verifikuara. Asnjëherë mos shkarkoni nga lidhjet e dërguara me tekst ose email. Edhe pse aplikacionet me qëllim të keq mund të gjejnë rrugën e tyre në dyqanet zyrtare, është më e sigurt se përdorimi i lidhjeve.

Pas përfundimit të transaksionit tuaj, shkëputni portofolin nga faqja e internetit.

Sigurohuni që t'i mbani private çelësat tuaj privatë, frazat fillestare dhe fjalëkalimet. Nëse ju kërkohet të ndani këtë informacion për të marrë pjesë në një investim ose prodhim, është një mashtrim.

Investoni vetëm në projekte që kuptoni. Nëse është e paqartë se si funksionon skema, ndaloni dhe bëni më shumë kërkime.

Injoroni taktikat e presionit të lartë dhe afatet e ngushta. Shpesh, mashtruesit do ta përdorin këtë për të provuar të thërrasin FOMO dhe t'i bëjnë viktimat e mundshme të mos mendojnë ose të bëjnë kërkime për atë që u thuhet.

E fundit, por jo më pak e rëndësishme, nëse tingëllon shumë mirë për të qenë e vërtetë, ndoshta është një mashtrim.