Sa mabilis at patuloy na umuusbong na mundo ng cryptocurrency, kung saan ang mga digital na asset ay ipinagpapalit, at ang mga kapalaran ay maaaring gawin, isang nagbabantang panganib na nagbabanta sa kaligtasan ng parehong mga batikang mamumuhunan at mga bagong dating: mga crypto phishing scam.
Ang mga scheme na ito ay idinisenyo upang samantalahin ang tiwala at kahinaan ng mga indibidwal, na naglalayong linlangin sila sa pagsisiwalat ng kanilang sensitibong impormasyon o kahit na paghiwalayin ang kanilang pinaghirapang paghawak ng crypto.
Habang patuloy na tumataas ang katanyagan ng mga cryptocurrencies, tumataas din ang pagiging sopistikado ng mga diskarte sa phishing na ginagamit ng mga cybercriminal. Mula sa pagpapanggap bilang mga lehitimong palitan at wallet hanggang sa paggawa ng nakakahimok na mga taktika sa social engineering, ang mga scammer na ito ay tumitigil sa wala upang makakuha ng hindi awtorisadong pag-access sa iyong mga digital na asset.
Gumagamit ang mga malisyosong aktor ng iba't ibang paraan ng social engineering upang i-target ang kanilang mga biktima. Gamit ang mga taktika sa social engineering, minamanipula ng mga scammer ang mga emosyon ng mga user at lumilikha ng pakiramdam ng pagtitiwala at pagkaapurahan.
Eric Parker, CEO at co-founder ng Giddy — isang noncustodial wallet smart wallet — ay nagsabi sa Cointelegraph, “May nakipag-ugnayan ba sa iyo nang hindi mo tinatanong? Iyan ang isa sa pinakamalaking panuntunan ng hinlalaki na maaari mong gamitin. Ang serbisyo sa kostumer ay bihirang, kung saka-sakali, ang aktibong makipag-ugnayan sa iyo, kaya dapat palagi kang maghinala sa mga mensaheng nagsasabing kailangan mong kumilos sa iyong account."
“Parehong ideya sa libreng pera: Kung may nagmemensahe sa iyo dahil gusto nilang bigyan ka ng libreng pera, malamang, hindi ito totoo. Mag-ingat sa anumang mensahe na napakagandang maging totoo o nagbibigay sa iyo ng agarang pakiramdam ng pagkaapurahan o takot na mabilis kang kumilos."
Mga scam sa email at pagmemensahe
Ang isang karaniwang pamamaraan na ginagamit sa mga crypto phishing scam ay ang pagpapanggap bilang mga pinagkakatiwalaang entity, gaya ng mga cryptocurrency exchange o wallet provider. Ang mga scammer ay nagpapadala ng mga email o mensahe na mukhang mula sa mga lehitimong organisasyong ito, gamit ang mga katulad na pagba-brand, mga logo at email address. Nilalayon nilang linlangin ang mga tatanggap sa paniniwalang ang komunikasyon ay mula sa mapagkakatiwalaang pinagmulan.
Upang makamit ito, ang mga scammer ay maaaring gumamit ng mga diskarte tulad ng email spoofing, kung saan pineke nila ang email address ng nagpadala upang maipakita ito na parang nagmumula ito sa isang lehitimong organisasyon. Maaari rin silang gumamit ng mga taktika sa social engineering para i-personalize ang mga mensahe at gawing mas totoo ang mga ito. Sa pamamagitan ng pagpapanggap bilang mga pinagkakatiwalaang entity, sinasamantala ng mga scammer ang tiwala at kredibilidad na nauugnay sa mga organisasyong ito para linlangin ang mga user na gumawa ng mga aksyon na nakakakompromiso sa kanilang seguridad.
Mga pekeng kahilingan sa suporta
Ang mga scammer ng crypto phishing ay madalas na nagpapanggap bilang mga kinatawan ng suporta sa customer ng mga lehitimong palitan ng cryptocurrency o mga provider ng wallet. Nagpapadala sila ng mga email o mensahe sa mga hindi pinaghihinalaang user, na nagke-claim ng isyu sa kanilang account o isang nakabinbing transaksyon na nangangailangan ng agarang atensyon.
Nagbibigay ang mga scammer ng paraan ng pakikipag-ugnayan o link sa isang pekeng website ng suporta kung saan sinenyasan ang mga user na ilagay ang kanilang mga kredensyal sa pag-log in o iba pang sensitibong impormasyon.
Sinabi ni Omri Lahav, CEO at co-founder ng Blockfence — isang crypto-security browser extension — sa Cointelegraph, “Mahalagang tandaan na kung may nagpadala sa iyo ng mensahe o email nang hindi hinihingi, malamang na may gusto sila sa iyo. Ang mga link at attachment na ito ay maaaring maglaman ng malware na idinisenyo upang nakawin ang iyong mga susi o makakuha ng access sa iyong mga system," nagpapatuloy:
“Higit pa rito, maaari ka nilang i-redirect sa mga website ng phishing. Palaging i-verify ang pagkakakilanlan ng nagpadala at ang pagiging lehitimo ng email upang matiyak ang kaligtasan. Iwasan ang direktang pag-click sa mga link; kopyahin at i-paste ang URL sa iyong browser, tinitingnang mabuti ang anumang mga pagkakaiba sa spelling sa domain name.”
Sa pamamagitan ng pagpapanggap bilang mga tauhan ng suporta, sinasamantala ng mga scammer ang tiwala ng mga user sa mga lehitimong channel ng suporta sa customer. Bilang karagdagan, binibiktima nila ang pagnanais na malutas ang mga isyu nang mabilis, na humahantong sa mga gumagamit na kusang ibunyag ang kanilang pribadong impormasyon, na maaaring gamitin ng mga scammer para sa mga malisyosong layunin sa ibang pagkakataon.
Mga pekeng website at mga naka-clone na platform
Ang mga nakakahamak na aktor ay maaari ding bumuo ng mga pekeng website at platform upang akitin ang mga hindi pinaghihinalaang gumagamit.
Ang domain name spoofing ay isang pamamaraan kung saan ang mga scammer ay nagrerehistro ng mga domain name na halos kapareho ng mga pangalan ng mga lehitimong cryptocurrency exchange o wallet provider. Halimbawa, maaari silang magparehistro ng domain tulad ng "exchnage.com" sa halip na "exchange.com" o "myethwallet" sa halip na "myetherwallet." Sa kasamaang palad, ang mga kaunting pagkakaiba-iba na ito ay madaling mapapansin ng mga hindi mapag-aalinlanganang user.
Sinabi ni Lahav na dapat "i-verify ng mga user kung ang pinag-uusapang website ay kagalang-galang at kilala."
Kamakailan: Bitcoin ay nasa isang banggaan kurso sa 'Net Zero' pangako
“Mahalaga rin ang pagsuri sa tamang spelling ng URL, dahil ang mga malisyosong aktor ay kadalasang gumagawa ng mga URL na halos katulad ng sa mga lehitimong site. Dapat ding maging maingat ang mga user sa mga website na kanilang natutuklasan sa pamamagitan ng Google ads, dahil maaaring hindi sila organikong mataas ang ranggo sa mga resulta ng paghahanap," aniya.
Ginagamit ng mga scammer ang mga spoofed domain name na ito para gumawa ng mga website na gumagaya sa mga lehitimong platform. Madalas silang nagpapadala ng mga phishing na email o mga mensahe na naglalaman ng mga link sa mga pekeng website na ito, na nanlilinlang sa mga user na maniwala na ina-access nila ang tunay na platform. Kapag naipasok na ng mga user ang kanilang mga kredensyal sa pag-log in o nagsagawa ng mga transaksyon sa mga website na ito, nakukuha ng mga scammer ang sensitibong impormasyon at sinasamantala ito para sa kanilang pakinabang.
Nakakahamak na software at mga mobile app
Ang mga hacker ay maaari ding gumamit ng malisyosong software upang i-target ang mga user. Ang mga keylogger at clipboard hijacking ay mga diskarteng ginagamit ng mga crypto phishing scammer para magnakaw ng sensitibong impormasyon mula sa mga device ng mga user.
Ang mga Keylogger ay mga nakakahamak na software program na nagtatala ng bawat keystroke na ginagawa ng isang user sa kanilang device. Kapag ipinasok ng mga user ang kanilang mga kredensyal sa pag-log in o pribadong key, kinukuha ng keylogger ang impormasyong ito at ibinabalik ito sa mga scammer. Kasama sa pag-hijack ng clipboard ang pagharang sa nilalamang kinopya sa clipboard ng device.
Ang mga transaksyon sa Cryptocurrency ay kadalasang nagsasangkot ng pagkopya at pag-paste ng mga address ng wallet o iba pang sensitibong impormasyon. Gumagamit ang mga scammer ng malisyosong software upang subaybayan ang clipboard at palitan ang mga lehitimong wallet address ng kanilang sarili. Kapag ang mga user ay nag-paste ng impormasyon sa nilalayon na field, hindi nila namamalayan na ipinadala nila ang kanilang mga pondo sa wallet ng scammer.
Paano mananatiling protektado ang mga user laban sa mga crypto phishing scam
May mga hakbang na maaaring gawin ng mga user para protektahan ang kanilang sarili habang nagna-navigate sa crypto space.
Ang pagpapagana ng two-factor authentication (2FA) ay isang tool na makakatulong sa pag-secure ng mga account na nauugnay sa crypto mula sa mga phishing scam.
Nagdaragdag ang 2FA ng karagdagang layer ng proteksyon sa pamamagitan ng pag-aatas sa mga user na magbigay ng pangalawang paraan ng pag-verify, karaniwang isang natatanging code na nabuo sa kanilang mobile device, bilang karagdagan sa kanilang password. Tinitiyak nito na kahit na makuha ng mga umaatake ang mga kredensyal sa pag-log in ng user sa pamamagitan ng mga pagtatangka sa phishing, kailangan pa rin nila ang pangalawang salik (tulad ng isang time-based na isang beses na password) upang makakuha ng access.
Paggamit ng hardware o software-based na mga authenticator
Kapag nagse-set up ng 2FA, dapat isaalang-alang ng mga user ang paggamit ng mga hardware o software-based na authenticator sa halip na umasa lamang sa SMS-based na authentication. Ang SMS-based na 2FA ay maaaring maging mahina sa mga pag-atake sa pagpapalit ng SIM, kung saan mapanlinlang na kinokontrol ng mga umaatake ang numero ng telepono ng user.
Ang mga hardware authenticator, gaya ng YubiKey o mga security key, ay mga pisikal na device na bumubuo ng isang beses na password at nagbibigay ng karagdagang layer ng seguridad. Ang mga software-based na authenticator, gaya ng Google Authenticator o Authy, ay bumubuo ng mga time-based na code sa mga smartphone ng mga user. Ang mga pamamaraang ito ay mas secure kaysa sa SMS-based na authentication dahil hindi sila madaling kapitan ng mga pag-atake ng SIM-swapping.
I-verify ang pagiging tunay ng website
Upang maprotektahan laban sa mga scam sa phishing, dapat iwasan ng mga user ang pag-click sa mga link na ibinigay sa mga email, mensahe o iba pang hindi na-verify na pinagmulan. Sa halip, dapat nilang manu-manong ipasok ang mga URL ng website ng kanilang mga palitan ng cryptocurrency, wallet o anumang iba pang platform na nais nilang i-access.
Sa pamamagitan ng manu-manong paglalagay ng URL ng website, tinitiyak ng mga user na direktang naa-access nila ang lehitimong website sa halip na ma-redirect sa isang peke o naka-clone na website sa pamamagitan ng pag-click sa isang link sa phishing.
Maging maingat sa mga link at attachment
Bago mag-click sa anumang mga link, dapat i-hover ng mga user ang kanilang mouse cursor sa ibabaw nila upang tingnan ang destination URL sa status bar o tooltip ng browser. Nagbibigay-daan ito sa mga user na i-verify ang aktwal na patutunguhan ng link at tiyaking tumutugma ito sa inaasahang website.
Ang mga scammer sa phishing ay madalas na nagkukunwari ng mga link sa pamamagitan ng pagpapakita ng ibang teksto ng URL kaysa sa patutunguhan. Sa pamamagitan ng pag-hover sa link, makikita ng mga user ang mga hindi pagkakapare-pareho at kahina-hinalang mga URL na maaaring magpahiwatig ng pagtatangkang mag-phishing.
Ipinaliwanag ni Parker sa Cointelegraph, “Napakadaling i-peke ang pinagbabatayan na link sa isang email. Ang isang scammer ay maaaring magpakita sa iyo ng isang link sa text ng email ngunit gawin ang pinagbabatayan na hyperlink na iba."
“Ang isang paboritong scam sa mga crypto phisher ay ang kopyahin ang UI ng isang kagalang-galang na website ngunit ilagay ang kanilang malisyosong code para sa login o bahagi ng Wallet Connect, na nagreresulta sa mga ninakaw na password, o mas masahol pa, ninakaw na mga parirala. Kaya, palaging i-double check ang URL ng website kung saan ka nagla-log in o ikinokonekta ang iyong crypto wallet.”
Pag-scan ng mga attachment gamit ang antivirus software
Dapat mag-ingat ang mga user kapag nagda-download at nagbubukas ng mga attachment, lalo na mula sa hindi pinagkakatiwalaan o kahina-hinalang mga pinagmulan. Maaaring maglaman ang mga attachment ng malware, kabilang ang mga keylogger o trojan, na maaaring makompromiso ang seguridad ng device at cryptocurrency account ng user.
Upang mabawasan ang panganib na ito, dapat na i-scan ng mga user ang lahat ng mga attachment gamit ang kagalang-galang na antivirus software bago buksan ang mga ito. Nakakatulong ito sa pagtukoy at pag-alis ng anumang potensyal na banta ng malware, na binabawasan ang pagkakataong mabiktima ng phishing attack.
Panatilihing updated ang software at app
Ang pagpapanatiling napapanahon ng mga operating system, web browser, device at iba pang software ay mahalaga para sa pagpapanatili ng seguridad ng mga device ng user. Maaaring kasama sa mga update ang mga patch ng seguridad na tumutugon sa mga kilalang kahinaan at nagpoprotekta laban sa mga umuusbong na banta.
Paggamit ng kagalang-galang na software ng seguridad
Upang magdagdag ng karagdagang layer ng proteksyon laban sa mga phishing scam at malware, dapat isaalang-alang ng mga user ang pag-install ng mapagkakatiwalaang software ng seguridad sa kanilang mga device.
Makakatulong ang antivirus, anti-malware at anti-phishing na software na makita at harangan ang mga nakakahamak na banta, kabilang ang mga email sa phishing, pekeng website at mga file na nahawaan ng malware.
Sa pamamagitan ng regular na pag-update at pagpapatakbo ng mga pag-scan ng seguridad gamit ang mapagkakatiwalaang software, mababawasan ng mga user ang panganib na mabiktima ng mga phishing scam at matiyak ang pangkalahatang seguridad ng kanilang mga device at aktibidad na nauugnay sa cryptocurrency.
Turuan ang iyong sarili at manatiling may kaalaman
Patuloy na umuunlad ang mga scam sa Crypto phishing, at regular na lumalabas ang mga bagong taktika. Dapat magkusa ang mga user na turuan ang kanilang sarili tungkol sa pinakabagong mga diskarte sa phishing at mga scam na nagta-target sa komunidad ng cryptocurrency. Bilang karagdagan, manatiling may kaalaman sa pamamagitan ng pagsasaliksik at pagbabasa tungkol sa mga kamakailang insidente ng phishing at pinakamahuhusay na kagawian sa seguridad.
Kamakailan: Ano ang patas na paggamit? Tinitimbang ng Korte Suprema ng US ang problema sa copyright ng AI
Para manatiling updated sa mga balitang nauugnay sa seguridad at makatanggap ng mga napapanahong babala tungkol sa mga phishing scam, dapat sundin ng mga user ang mga pinagkakatiwalaang source sa komunidad ng cryptocurrency. Maaaring kabilang dito ang mga opisyal na anunsyo at mga social media account ng mga palitan ng cryptocurrency, mga provider ng wallet at mga kilalang organisasyong cybersecurity.
Sa pamamagitan ng pagsunod sa mga mapagkakatiwalaang mapagkukunan, ang mga user ay makakatanggap ng tumpak na impormasyon at mga alerto tungkol sa mga umuusbong na phishing scam, mga kahinaan sa seguridad at pinakamahuhusay na kagawian para sa pagprotekta sa kanilang mga crypto asset.
Pinagmulan: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected