Sa mundo ng mga cryptocurrencies, desentralisadong pananalapi (defi), at Web3, ang mga airdrop ay naging karaniwan sa industriya. Gayunpaman, bagama't parang libreng pera ang mga airdrop, dumarami ang trend ng mga airdrop phishing scam na nagnanakaw ng pera ng mga tao kapag sinubukan nilang makuha ang tinatawag na 'libre' na mga crypto asset. Ang sumusunod ay isang pagtingin sa dalawang magkaibang paraan na ginagamit ng mga umaatake ang mga airdrop phishing scam upang magnakaw ng mga pondo at kung paano mo mapoprotektahan ang iyong sarili.
Ang Airdrops ay Hindi Laging Nangangahulugan ng 'Libreng Crypto' — Maraming Airdrop Giveaway na Promosyon ang Hinahanap upang Rob Ka
Ang mga airdrop ay naging kasingkahulugan ng mga libreng pondo ng crypto, kaya't ang tumataas na crypto scam na tinatawag na airdrop phishing ay naging laganap. Kung ikaw ay isang kalahok sa komunidad ng crypto at gumagamit ng mga social media platform tulad ng Twitter o Facebook, malamang na nakakita ka ng ilang mga post ng spam na nag-a-advertise ng mga airdrop ng lahat ng uri.
Karaniwan, ang isang tanyag na Twitter crypto account ay gumagawa ng isang tweet at ito ay sinusundan ng isang pamatay ng mga scammer na nag-a-advertise ng mga pagtatangka sa airdrop phishing at maraming mga account na nagsasabi na sila ay nakatanggap ng libreng pera. Karamihan sa mga tao ay hindi mahuhulog sa mga airdrop scam na ito ngunit dahil ang mga airdrop ay itinuturing na libreng crypto, mayroong isang grupo ng mga tao na nawalan ng pondo dahil sa pagiging biktima ng mga ganitong uri ng pag-atake.
Ang unang pag-atake ay gumagamit ng parehong paraan ng pag-advertise sa social media, dahil maraming tao o bot ang naglalagay ng link na humahantong sa web page ng mga scam sa phishing ng airdrop. Ang kahina-hinalang website ay maaaring mukhang napaka-lehitimo at kahit na kopyahin ang ilan sa mga elemento mula sa mga sikat na proyekto sa Web3, ngunit sa huli, ang mga scammer ay naghahanap upang magnakaw ng mga pondo. Ang libreng airdrop scam ay maaaring isang hindi kilalang crypto token, o maaari rin itong maging isang sikat na kasalukuyang digital asset tulad ng BTC, ETH, SHIB, DOGE, at higit pa.
Ang unang pag-atake ay karaniwang nagpapakita na ang airdrop ay matatanggap ngunit ang tao ay dapat gumamit ng isang katugmang Web3 wallet upang makuha ang tinatawag na 'libre' na mga pondo. Ang website ay hahantong sa isang page na nagpapakita ng lahat ng sikat na Web3 wallet tulad ng Metamask at iba pa, ngunit sa pagkakataong ito, kapag nag-click sa link ng wallet ay may lalabas na error at hihilingin ng site sa user ang seed phrase.
Upang makakuha ng suporta, buksan ang MetaMask at mag-navigate sa "Suporta" o "Kumuha ng Tulong" sa loob ng dropdown na menu. Huwag magtiwala sa sinumang nagpadala sa iyo ng direktang mensahe. SA ILALIM NG WALANG MGA PAGKAKATAON ay dapat mong ibigay ang iyong Lihim na Parirala sa Pagbawi sa sinuman o ipasok ito sa anumang site!
— Suporta sa MetaMask (@MetaMaskSupport) Abril 29, 2022
Dito nagiging makulimlim ang mga bagay dahil hindi kailanman hihilingin ng isang Web3 wallet ang seed o 12-24 mnemonic na parirala maliban kung aktibong nagre-restore ng wallet ang user. Gayunpaman, maaaring isipin ng mga hindi pinaghihinalaang gumagamit ng airdrop phishing scam na lehitimo ang error at ipinasok ang kanilang binhi sa web page na sa kalaunan ay humahantong sa pagkawala ng lahat ng pondong nakaimbak sa wallet.
Karaniwang, ibinigay lang ng user ang mga pribadong susi sa mga umaatake sa pamamagitan ng pagkahulog sa pahina ng error sa Web3 wallet na humihiling ng isang mnemonic na parirala. Hindi kailanman dapat ilagay ng isang tao ang kanyang binhi o 12-24 mnemonic na parirala kung sinenyasan ng hindi kilalang pinagmulan, at maliban na lang kung kailangang mag-restore ng wallet, talagang hindi na kailangang maglagay ng seed na parirala online.
Hindi Pinakamahusay na Ideya ang Pagbibigay ng Makulimlim na Pahintulot sa Dapp
Ang pangalawang pag-atake ay medyo mas nakakalito, at ang umaatake ay gumagamit ng mga teknikalidad ng code upang pagnakawan ang gumagamit ng Web3 wallet. Katulad nito, ang airdrop phishing scam ay ia-advertise sa social media ngunit sa pagkakataong ito kapag ang tao ay bumisita sa web portal, maaari nilang gamitin ang kanilang Web3 wallet upang "kunekta" sa site.
Gayunpaman, isinulat ng umaatake ang code sa paraang ginagawa ito upang sa halip na bigyan ang site ng read access sa mga balanse, sa huli ay binibigyan ng user ang site ng buong pahintulot na nakawin ang mga pondo sa Web3 wallet. Ito ay maaaring mangyari sa pamamagitan lamang ng pagkonekta ng isang Web3 wallet sa isang scam site at pagbibigay dito ng mga pahintulot. Maiiwasan ang pag-atake sa pamamagitan lamang ng hindi pagkonekta sa site at paglalakad palayo, ngunit maraming tao ang nahulog sa pag-atake ng phishing na ito.
Narito ang pinakabagong phishing scam
1️⃣ Airdrop isang token
2️⃣ Bumuo ng website na may parehong pangalan para madali itong mahanap
3️⃣ Kapag nahanap mo kung ano ang mukhang staking para sa token na ito, ang Approve txn ay nagbibigay ng walang limitasyong paggastos ng iba pang mga token (ie SNX)Pagkatapos ay inuubos nila ang iyong wallet ng token. pic.twitter.com/vICIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) Disyembre 20, 2021
Ang isa pang paraan upang ma-secure ang isang pitaka ay sa pamamagitan ng pagtiyak na ang mga pahintulot sa Web3 ng pitaka ay konektado sa mga site na pinagkakatiwalaan ng user. Kung mayroong anumang mga desentralisadong application (dapps) na mukhang malilim, dapat na alisin ng mga user ang mga pahintulot kung hindi sinasadyang nakakonekta sila sa dapp sa pamamagitan ng pagkahulog sa 'libreng' crypto scam. Gayunpaman, kadalasan, huli na, at kapag may pahintulot ang dapp na i-access ang mga pondo ng wallet, ninakaw ang crypto mula sa user sa pamamagitan ng malisyosong coding na inilapat sa dapp.
Ang pinakamahusay na paraan upang maprotektahan ang iyong sarili mula sa dalawang pag-atake na binanggit sa itaas ay ang hindi kailanman ilagay ang iyong seed na parirala online maliban kung sinasadya mong ibalik ang isang pitaka. Kasabay nito, magandang paraan din na huwag kailanman kumonekta o magbigay ng mga pahintulot sa Web3 wallet sa mga malilim na Web3 na website at mga dapp na hindi mo pamilyar sa paggamit. Ang dalawang pag-atake na ito ay maaaring magdulot ng malaking pagkalugi sa mga hindi mapag-aalinlanganang mamumuhunan kung hindi sila mag-iingat sa kasalukuyang trend ng phishing ng airdrop.
May kakilala ka bang naging biktima ng ganitong uri ng phishing scam? Paano mo makikita ang mga pagtatangka sa crypto phishing? Ipaalam sa amin ang iyong mga saloobin sa mga komento.
Mga Credits ng Larawan: Shutterstock, pixel, Wiki Commons
Pagtanggi sa pananagutan: Ang artikulong ito ay para sa mga layuning pang-impormasyon lamang. Ito ay hindi isang direktang alok o paghingi ng isang alok upang bumili o magbenta, o isang rekomendasyon o pagrekomenda ng anumang mga produkto, serbisyo, o kumpanya. Bitcoin.com hindi nagbibigay ng payo sa pamumuhunan, buwis, ligal, o accounting. Hindi man ang kumpanya o ang may-akda ay responsable, nang direkta o hindi direkta, para sa anumang pinsala o pagkawala na sanhi o diumano’y sanhi ng o may kaugnayan sa paggamit ng o pag-asa sa anumang nilalaman, kalakal o serbisyo na nabanggit sa artikulong ito.
Pinagmulan: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/