Bitcoin-indehavere Pas på: Fra phishing til forfalskninger, her er de 5 bedste måder, som kriminelle kan stjæle din krypto

HodlX gæstepost  Send dit indlæg

På trods af den betydelige vækst i Bitcoin og andre kryptokurrencypriser i 2020 er mængden af ​​stjålet kryptokurrency som følge af hacks faktisk mindre end i 2019. Ifølge en Ciphertrace-rapport,Det samlede beløb af stjålne midler svarede til anslået 468 millioner dollars.

De fleste af angrebene i 2020 blev foretaget på DeFi-projekter, hvilket taler om umodenheden i dette hurtigt voksende segment. Ikke desto mindre er antallet af stjålne kryptokurver fra centraliserede tjenester stadig meget højere. For eksempel som et resultat afKucoin hack,Kryptovaluta blev stjålet svarende til $ 275 millioner. DeFi-hacks udgør ca. 21% af 2020-kryptokurrencyhack- og tyverimængden.

Ikke desto mindre angriber hackere ikke kun kryptovaluta-platforme, men også brugere. Hver dag offentliggøres historier på internettet om, hvordan hackere stjal en brugers kryptokurrency ved at få adgang til deres tegnebog eller udvekslingskonto. Nogle brugere har ingen idé om, hvor stor risikoen for at hacke deres konto eller tegnebog kan være.

Beskrevet i denne artikel er de fem mest populære måder, som brugere kan miste deres krypto på.

Falske phishing-websteder

Phishing er en type social engineering-angreb, der ofte bruges til at stjæle brugerdata, herunder mnemoniske sætninger, private nøgler og kryptovaluta-platformers loginoplysninger. Typisk bruger phishing-angreb falske e-mails, der overbeviser brugeren om at indtaste følsomme oplysninger på et svigagtigt websted. Modtageren nares derefter til at klikke på et ondsindet link, som kan føre til et phishing-websted eller installation af malware.

Det enkleste eksempel på et vellykket phishing-angreb var MyEtherWallet-sagen fra 2017. Cyberkriminelle sendte en e-mail til den potentielle kundebase for MyEtherWallet-brugere og meddelte, at de var nødt til at synkronisere deres tegnebog for at overholde Ethereums hårde gaffel. Efter at have klikket på linket blev brugeren ført til et phishing-websted, der så legitimt ud, men indeholdt en yderligere, næppe mærkbar karakter i URL’en. Uopmærksomme brugere indtastede deres hemmelige sætninger, private nøgler og tegnebogskoder, hvorved de leverede deres data til angribere og mistede deres kryptovaluta.

Det seneste eksempel på dette var en succesangreb på Ledger brugere af tegnebogen. Svindlen brugte en phishing-mail, der førte brugerne til en falsk version af Ledger-webstedet, der erstattede en homoglyph i URL’en som i det foregående tilfælde med MyEtherWallet. På det falske websted blev intetanende brugere narre for at downloade malware, der udgjorde en sikkerhedsopdatering, som derefter drænede balancen fra deres Ledger-tegnebog. Fra dette eksempel følger konklusionen, at selv hardware-wallet-brugere ikke er beskyttet mod phishing-angreb.

Lignende angreb blev udført på brugere af cryptocurrency-udveksling. Det vil sige, brugere vil modtage et brev med linket til et websted, der er identisk med det oprindelige, men med en let modificeret URL. Således stjæler angribere brugernavne og adgangskoder, og under visse betingelser kan de stjæle kryptokurrency fra en børs. Ikke desto mindre har brugere mulighed for at forsvare sig selv i en vellykket angrebssag, da børser tilbyder yderligere beskyttelsesværktøjer.

API-nøgletyveri

Nogle handlende bruger handelsautomationsværktøjer kaldet “handelsbots”. Med denne type software skal en bruger oprette API-nøgler og tillade visse tilladelser, så bot kan interagere med deres midler.

Normalt når en bruger opretter en API-nøgle, beder udvekslingen om følgende tilladelser.

• Vis – tillader visning af data relateret til en brugerkonto, såsom handelshistorik, ordrehistorik, tilbagetrækningshistorik, saldo, bestemte brugerdata osv..
• Handel – tillader placering og annullering af ordrer.
• Tilbagetrækning – tillader tilbagetrækning af midler.
• IP-hvidliste – tillader kun udførelse af enhver handling fra specificerede IP-adresser.

For handel med bot API-nøgler skal børsen have visning, handel og undertiden tilbagetrækningstilladelser.

Der er forskellige måder for hackere at stjæle brugernes API-nøgler på. For eksempel opretter cyberkriminelle ofte ondsindede “high-profit” handelsbots, der er tilgængelige gratis, for at lokke en bruger til at indtaste deres API-nøgler. Hvis API-nøglen har ret til at trække sig tilbage uden IP-begrænsning, kan hackere straks trække al kryptokurrency tilbage fra brugerens balance.

I henhold tilBinance-embedsmand kommentar, 7.000 Bitcoin-hacks blev mulige, efter at hackere samlede API-nøgler, 2FA og andre data.

Selv uden tilladelse til tilbagetrækning kan hackere stjæle brugernes kryptokurrency med en pumpestrategi, et bestemt kryptokurrencyhandelspar med lav likviditet. De mest almindelige eksempler på sådanne angreb er Viacoin-pumpen og Syscoin-pumpen. Hackere har akkumuleret disse kryptovalutaer og solgt dem til betydeligt for dyre priser under en pumpe ved hjælp af brugerfonde.

Downloadede filudnyttelser

Der er en masse nul-dag og en-dags udnyttelse af Microsoft Word-, Microsoft Excel- og Adobe-produkter, der garanterer, at antivirusprodukter ikke opdager malware og giver ondsindede aktører fuld adgang til offerets arbejdsstationer og intern infrastruktur.

Zero-day er en fejl i softwaren, hardware eller firmware, der er ukendt for den eller de parter, der er ansvarlige for at lappe eller på anden måde rette fejlen. Udtrykket “nul-dag” kan henvise til selve sårbarheden eller et angreb, der har nul dage mellem det tidspunkt, hvor sårbarheden opdages, og det første angreb. Når en nul-dags sårbarhed er blevet offentliggjort, er den kendt som en “n-dag” eller “en-dags” sårbarhed. Når en sårbarhed er opdaget i softwaren, begynder processen med at udvikle ondsindet kode ved hjælp af den opdagede sårbarhed til at inficere individuelle computere eller computernetværk. Den mest kendte malware, der udnytter nul-dags sårbarheden i software, erWannaCry ransomwareOrm, en virus, der afpressede bitcoins til dekryptering.

Der er dog mange andre malware-programmer, der kan få adgang til brugernes kryptovaluta tegnebøger samt applikationer til udveksling af kryptokurrency, der bruger zero-day exploits. Det mest kendte tilfælde af et sådant angreb i de senere år varWhatsApp udnytter; som et resultat var angribere i stand til at indsamle data fra brugernes crypto-tegnebøger.

Ondsindede platforme

På grund af den aktive vækst på markedet lancerer DeFi-svindlere konstant nye projekter, der næsten er nøjagtige kloner af eksisterende projekter. Efter at brugerne har investeret i disse projekter, overfører svindlere simpelthen brugernes midler til deres egne tegnebøger. Den største exit-fidus af denne art til dato er YFDEX-sagen Hvor ubudne gæster stjal 20 millioner dollars af brugernes midler to dage efter lanceringen af ​​projektet. Sådanne svindel er almindelige, da projektmedlemmer i de fleste tilfælde er anonyme, og der ikke er nogen juridiske forpligtelser, fordi platforme ikke er registrerede enheder. Tidligere var sådan svindel primært forbundet med ICO-projekter.

Ikke desto mindre opstod lignende sager med centraliserede platforme. For eksempel QuadrigaCX-sagen, da grundlæggeren af ​​den centraliserede børs døde, efterlod platformen ude af adgang til sine tegnebøger og behandlede tilbagetrækningsanmodninger for over $ 171 millioner i klientmidler. Som et resultat kun30 millioner dollars i mistede midler kan tilbagebetales.

Sådanne sager opstår hele tiden, så du skal nøje overveje platformen, før du overfører dine penge.

Falske applikationer

Siden eksistensen af ​​kryptokurver er der blevet oprettet mange falske applikationer på bestemte platforme eller tegnebøger – en bruger fuldfører et depositum til en sådan applikation og finder ud af, at midlerne er forsvundet. Indtrængere kan oprette en kopi af en eksisterende applikation med ondsindet kode eller en ny applikation til en platform, der ikke har en applikation – for eksempelPoloniex sag f rom 2017.

Da de fleste kryptotegn er open source, kan alle oprette deres egen kopi af tegnebogen og indsprøjte en ondsindet kode der. Emner vedrørende sådanne tegnebøger vises ofte på kryptovaluta-fora, for eksempel falske apps, der udgør sig som Trust Wallet.

Sådan beskytter du dig mod ubudne gæster

Som forklaret ovenfor har kriminelle forskellige måder at stjæle brugerfonde og data på. Vi anbefaler at overholde følgende for bedst mulig at beskytte dig mod indtrængende.

1. Kontroller altid det domæne, hvorfra du modtager e-mails.
2. Opsæt anti-phishing-kode, hvis platforme, du bruger, tilbyder sådanne funktioner.
3. Indbetal kun til børser med godt omdømme. Du kan kontrollere børsens ratings ved hjælp af følgende tjenester – CoinGecko, CER.live, CoinMarketCap, CryptoCompare,Osv.
4. Konfigurer login-IP-hvidliste, hvis platforme, du bruger, tilbyder sådanne funktioner.
5. Undersøg altid en kryptotegn, inden du beslutter dig for at installere den på din telefon, selvom den ligger højt på din appbutikliste.
6. Opsæt IP-begrænsninger for API-nøgler.
7. Invester ikke i nyligt lancerede projekter, der endnu ikke har nogen oplysninger om holdet, investorer osv. Under DeFi-hype lancerede svindlere snesevis af fidusprojekter for at stjæle kryptokurrency fra investorer.
8. Sørg for at downloade dokumenter og andre filer fra en betroet kilde.
9. Udfør altid regelmæssige sikkerhedsopdateringer af dit operativsystem.
10. Download kun applikationer og tilsvarende opdateringer fra officielle websteder.

Konklusion

Sammen med væksten på kryptokurrencymarkedet vises der stadig nye ordninger i håb om at stjæle brugerfonde og data. Brugere skal være meget forsigtige med de e-mails og andre meddelelser, de modtager.

I denne artikel har vi beskrevet 10 punkter om, hvordan brugere kan beskytte sig mod ubudne gæster. Hvis du følger disse foranstaltninger, vil det være svært for hackere at stjæle dine data eller midler.

Denne artikel blev oprindeligt vist på Hacken.

Zlata Parasochka er en teknologisk forfatter og kryptotroende. Hun har også sin egen blog på webstedet Hacker Noon. Hendes seneste artikel kan findes her.

Fremhævet billede: Shutterstock / Alex Volot