Cybersikkerhed i Web3: Protecting Yourself (And Your Ape JPEG)

Selvom Web3 evangelister har længe udråbt de indfødte sikkerhedsfunktioner i blockchain, den strøm af penge, der strømmer ind i industrien, gør den til en fristende udsigt for hackere, svindlere og tyve.

Når dårlige aktører lykkes med at bryde Web3-cybersikkerheden, er det ofte ned til, at brugerne overser de mest almindelige trusler om menneskelig grådighed, FOMO og uvidenhed, snarere end på grund af fejl i teknologien.

Mange scams lover store gevinster, investeringer eller eksklusive frynsegoder; FTC kalder disse muligheder for at tjene penge og investeringer svindel.

Store penge i svindel

Ifølge en 2022. juni indberette af Federal Trade Commission er der stjålet over 1 milliard dollars i kryptovaluta siden 2021. Og hackernes jagtmarker er, hvor folk samles online.

"Næsten halvdelen af ​​de mennesker, der har rapporteret at miste krypto til en fidus siden 2021, sagde, at det startede med en annonce, et opslag eller en besked på en social medieplatform," sagde FTC.

Selvom svigagtige come-ons lyder for godt til at være sandt, kan potentielle ofre suspendere vantro på grund af den intense volatilitet på kryptomarkedet; folk vil ikke gå glip af den næste store ting.

Angribere rettet mod NFT'er

Sammen med kryptovalutaer, NFT'er, eller ikke-fungible tokens, er blevet til en stadig mere populær mål for svindlere; ifølge Web3 cybersikkerhedsfirmaet TRM Labs, i de to måneder efter maj 2022 mistede NFT-fællesskabet anslået 22 millioner dollars på grund af svindel og phishing-angreb.

“Blue-chip” kollektioner som f.eks Bored Ape Yacht Club (BAYC) er et særligt værdsat mål. I april 2022 var BAYC Instagram-kontoen hacket af svindlere, der omdirigerede ofre til et websted, der drænede deres Ethereum-punge for krypto og NFT'er. Omkring 91 NFT'er med en samlet værdi på over 2.8 millioner dollars blev stjålet. Måneder senere, en Discord udnyttelse så NFT'er til en værdi af 200 ETH stjålet fra brugere.

Højprofilerede BAYC-indehavere er også blevet ofre for svindel. Den 17. maj skuespiller og producer Seth Green tweetede, at han var offer for et phishing-svindel, der resulterede i tyveri af fire NFT'er, inklusive Bored Ape #8398. Ud over at fremhæve truslen fra phishing-angreb, kunne det have afsporet et TV/streaming-show med NFT-tema, planlagt af Green, "White Horse Tavern." BAYC NFT'er inkluderer licensrettigheder til at bruge NFT til kommercielle formål, som i tilfældet med Keder sig og sulter fastfoodrestaurant i Long Beach, Californien.

Under en Twitter Spaces-session den 9. juni, Grøn sagde, at han havde genvundet den stjålne JPEG efter at have betalt 165 ETH (mere end $295,000 på det tidspunkt) til en person, der havde købt NFT'en, efter at den blev stjålet.

"Phishing er stadig den første angrebsvektor," Luis Lubeck, sikkerhedsingeniør hos Web3 cybersikkerhedsfirmaet, Halborn, Fortalte Dekryptér.

Lubeck siger, at brugere skal være opmærksomme på falske websteder, der beder om pung-legitimationsoplysninger, klonede links og falske projekter.

Ifølge Lubeck kan et phishing-svindel begynde med social engineering, der fortæller brugeren om en tidlig token-lancering, eller at de vil 100 gange deres penge, en lav API, eller at deres konto er blevet brudt og kræver en adgangskodeændring. Disse beskeder kommer normalt med en begrænset tid til at handle, hvilket yderligere driver en brugers frygt for at gå glip af noget, også kendt som FOMO.

I Greens tilfælde kom phishing-angrebet via et klonet link.

Klon-phishing er et angreb, hvor en svindler tager et websted, en e-mail eller endda et simpelt link og skaber en næsten perfekt kopi, der ser legitim ud. Green troede, at han prægede "GutterCat"-kloner ved hjælp af, hvad der viste sig at være et phishing-websted.

Da Green sluttede sin pung til phishing-webstedet og underskrev transaktionen for at præge NFT, gav han hackerne adgang til sine private nøgler og til gengæld sine Bored Apes.

Typer af cyberangreb

Sikkerhedsbrud kan ramme både virksomheder og enkeltpersoner. Selvom det ikke er en komplet liste, falder cyberangreb rettet mod Web3 typisk i følgende kategorier:

• ? Phishing: En af de ældste, men mest almindelige former for cyberangreb, phishing-angreb kommer almindeligvis i form af e-mail og inkluderer afsendelse af svigagtig kommunikation som tekster og beskeder på sociale medier, der ser ud til at komme fra en velrenommeret kilde. Dette cyberkriminalitet kan også tage form af et kompromitteret eller ondsindet kodet websted, der kan dræne kryptoen eller NFT fra en tilknyttet browserbaseret tegnebog, når en kryptopung er tilsluttet.
• ?‍☠️ malware: Forkortelse for ondsindet software dækker dette paraplyudtryk ethvert program eller kode, der er skadelig for systemer. Malware kan komme ind i et system gennem phishing-e-mails, tekstbeskeder og beskeder.
• ? Kompromitterede websteder: Disse legitime websteder er kapret af kriminelle og bruges til at gemme malware, som intetanende brugere downloader, når de klikker på et link, et billede eller en fil.
• ? URL-spoofing: Fjern linket til kompromitterede websteder; forfalskede websteder er ondsindede websteder, der er kloner af legitime websteder. Også kendt som URL-phishing, kan disse websteder høste brugernavne, adgangskoder, kreditkort, kryptovaluta og andre personlige oplysninger.
• ? Falske browserudvidelser: Som navnet antyder, bruger disse udnyttelser falske browserudvidelser til at narre kryptobrugere til at indtaste deres legitimationsoplysninger eller nøgler i en udvidelse, der giver cyberkriminelle adgang til dataene.

Disse angreb sigter normalt mod at få adgang til, stjæle og ødelægge følsom information eller, i Greens tilfælde, en Bored Ape NFT.

Hvad kan du gøre for at beskytte dig selv?

Lubeck siger, at den bedste måde at beskytte dig selv mod phishing er aldrig at svare på en e-mail, SMS-tekst, Telegram, Discord eller WhatsApp-besked fra en ukendt person, virksomhed eller konto. "Jeg vil gå længere end det," tilføjede Lubeck. "Indtast aldrig legitimationsoplysninger eller personlige oplysninger, hvis brugeren ikke startede kommunikationen."

Lubeck anbefaler ikke at indtaste dine legitimationsoplysninger eller personlige oplysninger, når du bruger offentligt eller delt WiFi eller netværk. Derudover fortæller Lubeck Dekryptér at folk ikke skal have en falsk følelse af sikkerhed, fordi de bruger et bestemt styresystem eller telefontype.

"Når vi taler om denne slags svindel: phishing, websideefterligning, er det lige meget, om du bruger en iPhone, Linux, Mac, iOS, Windows eller Chromebook," siger han. "Navngiv enheden; problemet er webstedet, ikke din enhed."

Hold din krypto og NFT'er sikker

Lad os se på en mere "Web3" handlingsplan.

Når det er muligt, skal du bruge hardware eller luftgap tegnebøger at opbevare digitale aktiver. Disse enheder, nogle gange beskrevet som "kold opbevaring", fjerner din krypto fra internettet, indtil du er klar til at bruge den. Selvom det er almindeligt og praktisk at bruge browserbaserede tegnebøger som MetaMask, husk, alt, der er forbundet til internettet, har potentiale til at blive hacket.

Hvis du bruger en mobil-, browser- eller desktop-pung, også kendt som en hot wallet, skal du downloade dem fra officielle platforme som Google Play Butik, Apples App Store eller bekræftede websteder. Download aldrig fra links sendt via tekst eller e-mail. Selvom ondsindede apps kan finde vej til officielle butikker, er det mere sikkert end at bruge links.

Når du har gennemført din transaktion, skal du frakoble tegnebogen fra webstedet.

Sørg for at holde dine private nøgler, frøsætninger og adgangskoder private. Hvis du bliver bedt om at dele disse oplysninger for at deltage i en investering eller udmøntning, er det en fidus.

Invester kun i projekter, du forstår. Hvis det er uklart, hvordan ordningen fungerer, så stop og foretag mere forskning.

Ignorer højtrykstaktik og stramme deadlines. Ofte vil svindlere bruge dette til at forsøge at påkalde FOMO og få potentielle ofre til ikke at tænke på eller undersøge, hvad de får at vide.

Sidst men ikke mindst, hvis det lyder for godt til at være sandt, er det sandsynligvis et fupnummer.