Kahit Web3 Ang mga ebanghelista ay matagal nang nagpahayag ng mga katutubong tampok ng seguridad ng blockchain, ang agos ng pera na dumadaloy sa industriya ay ginagawa itong isang mapang-akit na pag-asa para sa mga hacker, scammers at mga magnanakaw.
Kapag ang mga masasamang aktor ay nagtagumpay sa paglabag sa Web3 cybersecurity, kadalasan ay dahil sa mga user na tinatanaw ang pinakakaraniwang banta ng kasakiman ng tao, FOMO, at kamangmangan, sa halip na dahil sa mga depekto sa teknolohiya.
Maraming mga scam ang nangangako ng malaking kabayaran, pamumuhunan, o eksklusibong perk; tinatawag ng FTC ang mga pagkakataong ito sa paggawa ng pera at pamumuhunan scam.
Malaking pera sa mga scam
Ayon sa isang Hunyo 2022 ulat ng Federal Trade Commission, mahigit $1 bilyon sa cryptocurrency ang ninakaw mula noong 2021. At ang mga lugar ng pangangaso ng mga hacker ay kung saan nagtitipon ang mga tao online.
"Halos kalahati ng mga taong nag-ulat ng pagkawala ng crypto sa isang scam mula noong 2021 ay nagsabi na nagsimula ito sa isang ad, post, o mensahe sa isang platform ng social media," sabi ng FTC.
Bagama't napakaganda ng mga mapanlinlang na pagdating para maging totoo, maaaring suspindihin ng mga potensyal na biktima ang hindi paniniwala dahil sa matinding pagkasumpungin ng merkado ng crypto; hindi gustong makaligtaan ng mga tao ang susunod na malaking bagay.
Mga umaatake na nagta-target sa mga NFT
Kasama ng mga cryptocurrencies, NFTs, o non-fungible token, ay naging isang lalong popular target para sa mga scammer; ayon sa Web3 cybersecurity firm TRM Labs, sa dalawang buwan kasunod ng Mayo 2022, ang komunidad ng NFT ay nawalan ng tinatayang $22 milyon sa mga scam at pag-atake sa phishing.
"Blue-chip" na mga koleksyon tulad ng Inip na Ape Yacht Club (BAYC) ay isang partikular na pinahahalagahan na target. Noong Abril 2022, ang BAYC Instagram account ay hack ng mga scammer na nag-divert ng mga biktima sa isang site na nag-drain ng kanilang Ethereum wallet ng crypto at NFTs. Ilang 91 NFT, na may pinagsamang halaga na mahigit $2.8 milyon, ang ninakaw. Makalipas ang mga buwan, a Discord pagsasamantala nakakita ng mga NFT na nagkakahalaga ng 200 ETH na ninakaw mula sa mga user.
Ang mga high-profile na may hawak ng BAYC ay naging biktima din ng mga scam. Noong Mayo 17, ang aktor at producer Seth Green nag-tweet na siya ay biktima ng isang phishing scam na nagresulta sa pagnanakaw ng apat na NFT, kabilang ang Bored Ape #8398. Pati na rin ang pagbibigay-diin sa banta ng mga pag-atake ng phishing, maaaring madiskaril nito ang isang palabas sa telebisyon/streaming na may temang NFT na binalak ni Green, "White Horse Tavern." Kasama sa mga BAYC NFT ang mga karapatan sa paglilisensya na gamitin ang NFT para sa mga layuning pangkomersyo, tulad ng sa kaso ng Naiinip at Nagugutom fast food restaurant sa Long Beach, CA.
Akala ko nagmi-minting ako ng GutterCat clones- mukhang malinis ang link ng phishing
— Seth Green (@SethGreen) Mayo 17, 2022
Sa isang sesyon ng Twitter Spaces noong Hunyo 9, berde sinabi na nabawi niya ang ninakaw na JPEG pagkatapos magbayad ng 165 ETH (higit sa $295,000 noong panahong iyon) sa isang taong bumili ng NFT matapos itong manakaw.
"Phishing pa rin ang unang vector ng pag-atake," si Luis Lubeck, isang security engineer sa Web3 cybersecurity firm, Halborn, Sinabi sa I-decrypt.
Sinabi ni Lubeck na dapat malaman ng mga user ang mga pekeng website na humihingi ng mga kredensyal ng wallet, mga naka-clone na link, at mga pekeng proyekto.
Ayon kay Lubeck, ang isang phishing scam ay maaaring magsimula sa social engineering, na nagsasabi sa user tungkol sa isang maagang paglulunsad ng token o na 100x nila ang kanilang pera, isang mababang API, o na ang kanilang account ay nilabag at nangangailangan ng pagbabago ng password. Ang mga mensaheng ito ay karaniwang may limitadong oras para kumilos, na higit na nagtutulak sa isang user na mawalan ng pagkakataon, na kilala rin bilang FOMO.
Sa kaso ni Green, ang pag-atake ng phishing ay dumating sa pamamagitan ng isang cloned link.
Akala ko nagmi-minting ako ng GutterCat clones- mukhang malinis ang link ng phishing
— Seth Green (@SethGreen) Mayo 17, 2022
Ang clone phishing ay isang pag-atake kung saan kumukuha ang isang scammer ng isang website, email, o kahit isang simpleng link at gumagawa ng halos perpektong kopya na mukhang lehitimo. Naisip ni Green na siya ay gumagawa ng "GutterCat" na mga clone gamit ang naging isang website ng phishing.
Nang ikonekta ni Green ang kanyang wallet sa website ng phishing at nilagdaan ang transaksyon para i-mint ang NFT, binigyan niya ang mga hacker ng access sa kanyang mga pribadong key at, sa turn, ang kanyang Bored Apes.
Mga Uri ng Cyber Attacks
Ang mga paglabag sa seguridad ay maaaring makaapekto sa parehong mga kumpanya at indibidwal. Bagama't hindi kumpletong listahan, ang mga cyberattack na nagta-target sa Web3 ay karaniwang nahuhulog sa mga sumusunod na kategorya:
- ? Phishing: Isa sa mga pinakaluma ngunit pinakakaraniwang paraan ng cyberattack, ang mga pag-atake ng phishing ay karaniwang nanggagaling sa anyo ng email at kasama ang pagpapadala ng mga mapanlinlang na komunikasyon tulad ng mga text at mensahe sa social media na mukhang nagmula sa isang kagalang-galang na pinagmulan. Ito cybercrime maaari ding magkaroon ng anyo ng isang nakompromiso o malisyosong naka-code na website na maaaring maubos ang crypto o NFT mula sa isang naka-attach na browser-based na wallet kapag nakakonekta ang isang crypto wallet.
- ?☠️ malware: Maikli para sa malisyosong software, ang payong terminong ito ay sumasaklaw sa anumang programa o code na nakakapinsala sa mga system. Maaaring pumasok ang malware sa isang system sa pamamagitan ng mga phishing na email, text, at mensahe.
- ? Mga Nakompromisong Website: Ang mga lehitimong website na ito ay na-hijack ng mga kriminal at ginagamit upang mag-imbak ng malware na dina-download ng mga hindi pinaghihinalaang user kapag nag-click sila sa isang link, larawan, o file.
- ? URL Spoofing: I-unlink ang mga nakompromisong website; Ang mga spoofed website ay mga nakakahamak na site na mga clone ng mga lehitimong website. Kilala rin bilang URL Phishing, ang mga site na ito ay maaaring mag-ani ng mga username, password, credit card, cryptocurrency, at iba pang personal na impormasyon.
- ? Mga Pekeng Extension ng Browser: Gaya ng ipinahihiwatig ng pangalan, ang mga pagsasamantalang ito ay gumagamit ng mga pekeng extension ng browser upang linlangin ang mga crypto-user na ilagay ang kanilang mga kredensyal o mga susi sa isang extension na nagbibigay ng access sa cybercriminal sa data.
Ang mga pag-atakeng ito ay karaniwang naglalayong ma-access, magnakaw, at sirain ang sensitibong impormasyon o, sa kaso ni Green, isang Bored Ape NFT.
Ano ang maaari mong gawin upang maprotektahan ang iyong sarili?
Sinabi ni Lubeck na ang pinakamahusay na paraan upang maprotektahan ang iyong sarili mula sa phishing ay ang hindi kailanman tumugon sa isang email, SMS text, Telegram, Discord, o mensahe sa WhatsApp mula sa isang hindi kilalang tao, kumpanya, o account. "Magpapatuloy ako kaysa doon," dagdag ni Lubeck. "Huwag maglagay ng mga kredensyal o personal na impormasyon kung hindi sinimulan ng user ang komunikasyon."
Inirerekomenda ni Lubeck na huwag ilagay ang iyong mga kredensyal o personal na impormasyon kapag gumagamit ng pampubliko o nakabahaging WiFi o mga network. Bilang karagdagan, sinabi ni Lubeck I-decrypt na hindi dapat magkaroon ng maling pakiramdam ng seguridad ang mga tao dahil gumagamit sila ng partikular na operating system o uri ng telepono.
“Kapag pinag-uusapan natin ang mga ganitong uri ng scam: phishing, webpage impersonation, hindi mahalaga kung gumagamit ka ng iPhone, Linux, Mac, iOS, Windows, o Chromebook,” sabi niya. “Pangalanan ang device; ang problema ay ang site, hindi ang iyong device.”
Panatilihing ligtas ang iyong crypto at NFT
Tingnan natin ang higit pang plano ng aksyon na "Web3".
Kung maaari, gumamit ng hardware o air-gapped wallets para mag-imbak ng mga digital asset. Ang mga device na ito, kung minsan ay inilalarawan bilang "cold storage," alisin ang iyong crypto sa internet hanggang sa handa ka nang gamitin ito. Bagama't karaniwan at maginhawang gumamit ng mga wallet na nakabatay sa browser tulad ng MetaMask, tandaan, anumang konektado sa internet ay may potensyal na ma-hack.
Kung gumagamit ka ng mobile, browser, o desktop wallet, na kilala rin bilang isang hot wallet, i-download ang mga ito mula sa mga opisyal na platform tulad ng Google Play Store, App Store ng Apple, o mga na-verify na website. Huwag kailanman mag-download mula sa mga link na ipinadala sa pamamagitan ng text o email. Kahit na nakakahanap ng daan ang mga nakakahamak na app sa mga opisyal na tindahan, mas secure ito kaysa sa paggamit ng mga link.
Pagkatapos makumpleto ang iyong transaksyon, idiskonekta ang wallet mula sa website.
Tiyaking panatilihing pribado ang iyong mga pribadong key, seed phrase, at password. Kung hihilingin sa iyo na ibahagi ang impormasyong ito upang lumahok sa isang pamumuhunan o pagmimina, ito ay isang scam.
Mamuhunan lamang sa mga proyektong naiintindihan mo. Kung hindi malinaw kung paano gumagana ang scheme, huminto at magsaliksik pa.
Huwag pansinin ang mga taktika na may mataas na presyon at mahigpit na mga deadline. Kadalasan, gagamitin ito ng mga scammer upang subukan at tawagan ang FOMO at bigyan ang mga potensyal na biktima na huwag isipin o magsaliksik sa kung ano ang sinasabi sa kanila.
Panghuli ngunit hindi bababa sa, kung ito ay napakaganda upang maging totoo, malamang na ito ay isang scam.
Manatili sa balita sa crypto, makakuha ng mga pang-araw-araw na update sa iyong inbox.
Pinagmulan: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg