Në botën me ritme të shpejta dhe gjithnjë në zhvillim të kriptomonedhave, ku shkëmbehen asetet dixhitale dhe mund të bëhen pasuri, një rrezik i fshehur kërcënon sigurinë si të investitorëve me përvojë ashtu edhe të të ardhurve: mashtrimet e phishing kriptove.
Këto skema janë krijuar për të shfrytëzuar besimin dhe cenueshmërinë e individëve, duke synuar t'i mashtrojnë ata për të zbuluar informacionin e tyre të ndjeshëm apo edhe për t'u ndarë me zotërimet e tyre të kriptove të fituara me vështirësi.
Ndërsa popullariteti i kriptomonedhave vazhdon të rritet, po ashtu rritet edhe sofistikimi i teknikave të phishing të përdorura nga kriminelët kibernetikë. Nga imitimi i shkëmbimeve legjitime dhe kuletave te krijimi i taktikave imponuese të inxhinierisë sociale, këta mashtrues nuk ndalojnë asgjë për të fituar akses të paautorizuar në asetet tuaja dixhitale.
Aktorët keqdashës përdorin metoda të ndryshme të inxhinierisë sociale për të synuar viktimat e tyre. Me taktikat e inxhinierisë sociale, mashtruesit manipulojnë emocionet e përdoruesve dhe krijojnë një ndjenjë besimi dhe urgjence.
Eric Parker, CEO dhe bashkëthemelues i Giddy – një portofol inteligjent i portofolit jo-kujdestar – i tha Cointelegraph: “A ju kontaktoi dikush pa e pyetur ju? Ky është një nga rregullat më të mëdha që mund të përdorni. Shërbimi ndaj klientit rrallë, nëse ndonjëherë, ju kontakton në mënyrë proaktive, kështu që duhet të jeni gjithmonë dyshues ndaj mesazheve që thonë se duhet të merrni masa në llogarinë tuaj."
“E njëjta ide me paratë falas: Nëse dikush po ju dërgon mesazhe sepse dëshiron t'ju japë para falas, ka të ngjarë, jo reale. Jini të kujdesshëm ndaj çdo mesazhi që ndihet shumë i mirë për të qenë i vërtetë ose që ju jep një ndjenjë të menjëhershme urgjence ose frikë për t'ju bërë të veproni shpejt."
Mashtrimet me email dhe mesazhe
Një teknikë e zakonshme e përdorur në mashtrimet me kripto phishing është imitimi i entiteteve të besuara, të tilla si shkëmbimet e kriptomonedhave ose ofruesit e portofolit. Mashtruesit dërgojnë email ose mesazhe që duket se janë nga këto organizata legjitime, duke përdorur marka të ngjashme, logot dhe adresat e emailit. Ata synojnë të mashtrojnë marrësit që të besojnë se komunikimi është nga një burim i besueshëm.
Për ta arritur këtë, mashtruesit mund të përdorin teknika si mashtrimi i emailit, ku falsifikojnë adresën e emailit të dërguesit për ta bërë atë të duket sikur vjen nga një organizatë legjitime. Ata gjithashtu mund të përdorin taktika të inxhinierisë sociale për të personalizuar mesazhet dhe për t'i bërë ato të duken më autentike. Duke imituar entitete të besuara, mashtruesit shfrytëzojnë besimin dhe besueshmërinë e lidhur me këto organizata për të mashtruar përdoruesit për të ndërmarrë veprime që komprometojnë sigurinë e tyre.
Kërkesa të rreme për mbështetje
Mashtruesit e phishing të kriptove shpesh paraqiten si përfaqësues të mbështetjes së klientit të shkëmbimeve legjitime të kriptomonedhave ose ofruesve të portofolit. Ata u dërgojnë email ose mesazhe përdoruesve që nuk dyshojnë, duke pretenduar një problem me llogarinë e tyre ose një transaksion në pritje që kërkon vëmendje të menjëhershme.
Mashtruesit ofrojnë një metodë kontakti ose një lidhje me një faqe interneti të rreme mbështetëse ku përdoruesve u kërkohet të fusin kredencialet e tyre të hyrjes ose informacione të tjera të ndjeshme.
Omri Lahav, CEO dhe bashkëthemelues i Blockfence – një shtesë e shfletuesit të kripto-sigurisë – tha për Cointelegraph, “Është e rëndësishme të mbani mend se nëse dikush ju dërgon një mesazh ose email të pakërkuar, ai ka të ngjarë të dëshirojë diçka nga ju. Këto lidhje dhe bashkëngjitje mund të përmbajnë malware të krijuar për të vjedhur çelësat tuaj ose për të fituar akses në sistemet tuaja, "duke vazhduar:
“Për më tepër, ata mund t'ju ridrejtojnë në faqet e internetit të phishing. Gjithmonë verifikoni identitetin e dërguesit dhe legjitimitetin e emailit për të garantuar sigurinë. Shmangni klikimin direkt në lidhje; kopjoni dhe ngjisni URL-në në shfletuesin tuaj, duke kontrolluar me kujdes për çdo mospërputhje drejtshkrimore në emrin e domenit.”
Duke imituar personelin mbështetës, mashtruesit shfrytëzojnë besimin e përdoruesve në kanalet legjitime të mbështetjes së klientit. Përveç kësaj, ata prenë dëshirën për të zgjidhur problemet shpejt, duke i bërë përdoruesit të zbulojnë me dëshirë informacionin e tyre privat, të cilin mashtruesit mund t'i përdorin për qëllime keqdashëse më vonë.
Uebfaqe të rreme dhe platforma të klonuara
Aktorët keqdashës gjithashtu mund të ndërtojnë faqe interneti dhe platforma të rreme për të joshur përdoruesit që nuk dyshojnë.
Mashtrimi i emrave të domenit është një teknikë ku mashtruesit regjistrojnë emra domenesh që ngjajnë shumë me emrat e shkëmbimeve legjitime të kriptomonedhave ose ofruesve të portofolit. Për shembull, ata mund të regjistrojnë një domen si "exchnage.com" në vend të "exchange.com" ose "myethwallet" në vend të "myetherwallet". Fatkeqësisht, këto ndryshime të vogla mund të anashkalohen lehtësisht nga përdoruesit që nuk dyshojnë.
Lahav tha se përdoruesit duhet “të verifikojnë nëse faqja e internetit në fjalë është me reputacion dhe e njohur”.
E fundit: Bitcoin është në një kurs përplasjeje me premtimet 'Net Zero'
“Kontrollimi i drejtshkrimit të saktë të URL-së është gjithashtu thelbësor, pasi aktorët keqdashës shpesh krijojnë URL që ngjajnë shumë me ato të faqeve legjitime. Përdoruesit duhet të jenë gjithashtu të kujdesshëm me faqet e internetit që zbulojnë përmes reklamave të Google, pasi ato mund të mos renditen organikisht lart në rezultatet e kërkimit, "tha ai.
Mashtruesit i përdorin këta emra domain-i të falsifikuar për të krijuar faqe interneti që imitojnë platforma legjitime. Ata shpesh dërgojnë email phishing ose mesazhe që përmbajnë lidhje me këto faqe interneti të rreme, duke i mashtruar përdoruesit që të besojnë se po hyjnë në platformën e vërtetë. Sapo përdoruesit të futin kredencialet e tyre të hyrjes ose të kryejnë transaksione në këto faqe interneti, mashtruesit kapin informacionin e ndjeshëm dhe e shfrytëzojnë atë për përfitimin e tyre.
Softuer keqdashës dhe aplikacione celulare
Hakerët gjithashtu mund të përdorin softuer me qëllim të keq për të synuar përdoruesit. Keyloggers dhe rrëmbimi i clipboard-it janë teknika që përdorin mashtruesit e phishing të kriptove për të vjedhur informacione të ndjeshme nga pajisjet e përdoruesve.
Keylogger-ët janë programe softuerësh me qëllim të keq që regjistrojnë çdo goditje që një përdorues bën në pajisjen e tij. Kur përdoruesit futin kredencialet e tyre të hyrjes ose çelësat privatë, keylogger e kap këtë informacion dhe ia dërgon përsëri mashtruesve. Rrëmbimi i clipboard përfshin përgjimin e përmbajtjes së kopjuar në kujtesën e pajisjes.
Transaksionet e kriptomonedhave shpesh përfshijnë kopjimin dhe ngjitjen e adresave të portofolit ose informacioneve të tjera të ndjeshme. Mashtruesit përdorin softuer me qëllim të keq për të monitoruar tabelën e fragmenteve dhe për të zëvendësuar adresat e ligjshme të portofolit me adresat e tyre. Kur përdoruesit ngjisin informacionin në fushën e synuar, ata pa e ditur i dërgojnë fondet e tyre në portofolin e mashtruesit.
Si përdoruesit mund të qëndrojnë të mbrojtur nga mashtrimet e phishing të kriptove
Ekzistojnë hapa që përdoruesit mund të ndërmarrin për të mbrojtur veten gjatë lundrimit në hapësirën e kriptove.
Aktivizimi i vërtetimit me dy faktorë (2FA) është një mjet që mund të ndihmojë në sigurimin e llogarive të lidhura me kriptografinë nga mashtrimet e phishing.
2FA shton një shtresë shtesë mbrojtjeje duke u kërkuar përdoruesve të ofrojnë një formë të dytë verifikimi, zakonisht një kod unik të krijuar në pajisjen e tyre celulare, përveç fjalëkalimit të tyre. Kjo siguron që edhe nëse sulmuesit marrin kredencialet e hyrjes së përdoruesit përmes përpjekjeve për phishing, ata ende kanë nevojë për faktorin e dytë (siç është një fjalëkalim një herë i bazuar në kohë) për të fituar akses.
Përdorimi i autentifikuesve të bazuar në harduer ose softuer
Kur konfiguroni 2FA, përdoruesit duhet të konsiderojnë përdorimin e vërtetuesve të bazuar në harduer ose softuer në vend që të mbështeten vetëm në vërtetimin e bazuar në SMS. 2FA i bazuar në SMS mund të jetë i prekshëm ndaj sulmeve të shkëmbimit të kartës SIM, ku sulmuesit marrin kontrollin me mashtrim të numrit të telefonit të përdoruesit.
Autentifikuesit e harduerit, të tillë si YubiKey ose çelësat e sigurisë, janë pajisje fizike që gjenerojnë fjalëkalime një herë dhe ofrojnë një shtresë shtesë sigurie. Autentifikuesit e bazuar në softuer, të tillë si Google Authenticator ose Authy, gjenerojnë kode të bazuara në kohë në telefonat inteligjentë të përdoruesve. Këto metoda janë më të sigurta se vërtetimi i bazuar në SMS, sepse ato nuk janë të ndjeshme ndaj sulmeve të shkëmbimit të kartës SIM.
Verifikoni vërtetësinë e faqes në internet
Për t'u mbrojtur nga mashtrimet e phishing, përdoruesit duhet të shmangin klikimin në lidhjet e dhëna në email, mesazhe ose burime të tjera të paverifikuara. Në vend të kësaj, ata duhet të fusin manualisht URL-të e faqeve të internetit të shkëmbimeve të tyre të kriptomonedhave, kuletave ose çdo platforme tjetër që dëshirojnë të përdorin.
Duke futur manualisht URL-në e faqes së internetit, përdoruesit sigurojnë që ata të hyjnë drejtpërdrejt në uebsajtin legjitim në vend që të ridrejtohen në një faqe interneti të rreme ose të klonuar duke klikuar në një lidhje phishing.
Jini të kujdesshëm me lidhjet dhe bashkëngjitjet
Përpara se të klikojnë në ndonjë lidhje, përdoruesit duhet të vendosin kursorin e miut mbi to për të parë URL-në e destinacionit në shiritin e statusit të shfletuesit ose këshillën e veglave. Kjo i lejon përdoruesit të verifikojnë destinacionin aktual të lidhjes dhe të sigurohen që ajo përputhet me uebsajtin e pritur.
Mashtruesit e phishing shpesh maskojnë lidhjet duke shfaqur një tekst URL të ndryshëm nga destinacioni. Duke qëndruar pezull mbi lidhjen, përdoruesit mund të zbulojnë mospërputhje dhe URL të dyshimta që mund të tregojnë një përpjekje phishing.
Parker shpjegoi për Cointelegraph, “Është shumë e lehtë të falsifikosh lidhjen në themel në një email. Një mashtrues mund t'ju tregojë një lidhje në tekstin e emailit, por ta bëjë hiperlinkin themelor diçka tjetër."
“Një mashtrim i preferuar mes kripto phishers është kopjimi i UI-së së një faqeje interneti me reputacion, por vendosja e kodit të tyre keqdashës për hyrjen ose pjesën e Wallet Connect, gjë që rezulton në fjalëkalime të vjedhura, ose më keq, fraza fillestare të vjedhura. Pra, gjithmonë kontrolloni dy herë URL-në e faqes së internetit në të cilën jeni duke hyrë ose duke lidhur portofolin tuaj kripto."
Skanimi i bashkëngjitjeve me softuer antivirus
Përdoruesit duhet të tregojnë kujdes kur shkarkojnë dhe hapin bashkëngjitjet, veçanërisht nga burime të pabesueshme ose të dyshimta. Bashkëngjitjet mund të përmbajnë malware, duke përfshirë keyloggers ose trojans, të cilët mund të rrezikojnë sigurinë e pajisjes së përdoruesit dhe llogaritë e kriptomonedhave.
Për të zbutur këtë rrezik, përdoruesit duhet të skanojnë të gjitha bashkëngjitjet me softuer antivirus me reputacion përpara se t'i hapin ato. Kjo ndihmon në zbulimin dhe heqjen e çdo kërcënimi të mundshëm malware, duke reduktuar shanset për të rënë viktimë e një sulmi phishing.
Mbani të përditësuar softuerin dhe aplikacionet
Mbajtja e përditësuar e sistemeve operative, shfletuesve të internetit, pajisjeve dhe programeve të tjera është thelbësore për ruajtjen e sigurisë së pajisjeve të përdoruesit. Përditësimet mund të përfshijnë arna sigurie që adresojnë dobësitë e njohura dhe mbrojnë kundër kërcënimeve në zhvillim.
Përdorimi i softuerit me reputacion të sigurisë
Për të shtuar një shtresë shtesë mbrojtjeje kundër mashtrimeve të phishing dhe malware, përdoruesit duhet të konsiderojnë instalimin e softuerit me reputacion të sigurisë në pajisjet e tyre.
Softueri antivirus, anti-malware dhe anti-phishing mund të ndihmojë në zbulimin dhe bllokimin e kërcënimeve me qëllim të keq, duke përfshirë emailet e phishing, faqet e internetit të rreme dhe skedarët e infektuar me malware.
Duke përditësuar dhe ekzekutuar rregullisht skanime sigurie duke përdorur softuer me reputacion, përdoruesit mund të minimizojnë rrezikun e të qenit viktimë e mashtrimeve të phishing dhe të sigurojnë sigurinë e përgjithshme të pajisjeve të tyre dhe aktiviteteve të lidhura me kriptovalutat.
Edukoni veten dhe qëndroni të informuar
Mashtrimet Crypto phishing evoluojnë vazhdimisht dhe taktika të reja shfaqen rregullisht. Përdoruesit duhet të marrin iniciativën për të edukuar veten rreth teknikave më të fundit të phishing dhe mashtrimeve që synojnë komunitetin e kriptomonedhave. Për më tepër, qëndroni të informuar duke hulumtuar dhe lexuar në lidhje me incidentet e fundit të phishing dhe praktikat më të mira të sigurisë.
E fundit: Çfarë është përdorimi i drejtë? Gjykata e Lartë e SHBA peshon mbi dilemën e të drejtave të autorit të AI
Për të qëndruar të përditësuar mbi lajmet e lidhura me sigurinë dhe për të marrë paralajmërime në kohë për mashtrimet e phishing, përdoruesit duhet të ndjekin burime të besuara në komunitetin e kriptomonedhave. Kjo mund të përfshijë njoftimet zyrtare dhe llogaritë e mediave sociale të shkëmbimeve të kriptomonedhave, ofruesve të portofolit dhe organizatave me reputacion të sigurisë kibernetike.
Duke ndjekur burime të besueshme, përdoruesit mund të marrin informacione dhe sinjalizime të sakta në lidhje me mashtrimet e reja të phishing, dobësitë e sigurisë dhe praktikat më të mira për mbrojtjen e aseteve të tyre kripto.
Burimi: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected