" Несмотря на то, что сторонники Web3 уже давно рекламируют собственные функции безопасности блокчейна, поток средств в отрасли делает ее заманчивой перспективой для хакеров, мошенников и воров всех мастей. Нарушение злоумышленниками кибербезопасность Web3 происходит не из-за недостатков технологии, а из-за того, что пользователи не замечают наиболее распространенные угрозы в погоне за прибылью, FOMO и из-за своего незнания. Многие мошенники обещают большие выплаты, инвестиции или эксклюзивные льготы; в то время как Федеральная торговая комиссия называет эти возможности для зарабатывания денег мошенничеством с инвестициями.
У мошенников — миллионы
Согласно отчету Федеральной торговой комиссии за июнь 2022 года, с 2021 года было украдено криптовалют на сумму более 1 миллиарда долларов. И охотничьи угодья хакеров — Интернет сообщества.
«Почти половина людей, которые сообщили о потере криптовалюты в результате мошенничества с 2021 года, сказали, что это началось с рекламы, публикации или сообщения в социальной сети», — говорится в сообщении FTC.
Хотя мошеннические проекты могут показаться заманчивыми, но потенциальные жертвы могут не верить в возможность обмана, учитывая высокую волатильность рынка криптовалют и хотят быстро заработать.
Мошенники, интересующиеся NFT
Наряду с криптовалютами, NFT становятся все более популярной целью для мошенников; По данным компании Web3 по кибербезопасности TRM Labs, за два месяца после мая 2022 года сообщество NFT потеряло около 22 миллионов долларов в результате мошенничества и фишинговых атак.
Коллекции «голубых фишек», такие, как яхт-клуб Bored Ape (BAYC)- особенно популярная цель. В апреле 2022 года аккаунт BAYC в Instagram был взломан мошенниками, которые перенаправляли жертв на сайт, опустошавший их Ethereum кошельки с криптовалютой и NFT. Было украдено около 91 NFT общей стоимостью более 2,8 миллиона долларов. Несколько месяцев спустя взлом Discord позволил украсть у пользователей NFT на сумму 200 ETH.
Известные держатели BAYC также стали жертвами мошенничества. 17 мая актер и продюсер Сет Грин написал в Твиттере, что стал жертвой фишинговой аферы, в результате которой были украдены четыре NFT, в том числе Bored Ape #8398. Помимо подчеркивания угрозы, исходящей от фишинговых атак, Грин сообщил, что подобное могло бы сорвать запланированное телевизионное / онлайн шоу на тему NFT «Таверна Белой Лошади». NFT BAYC включают лицензионные права на использование NFT в коммерческих целях, как в случае с рестораном быстрого питания Bored & Hungry в Лонг-Бич, Калифорния.
Думал, что минтил клоны GutterCat — фишинговая ссылка выглядела чистой.
— Сет Грин (@SethGreen) 17 мая 2022 г.
Во время сеанса Twitter Spaces 9 июня Грин сказал, что он восстановил украденный JPEG, заплатив 165 ETH (более 295 000 долларов на тот момент) человеку, который купил NFT после того, как он был украден.
По словам Луиса Любека, инженера по безопасности в компании кибербезопасности Web3, Halborn.
«Фишинг по-прежнему является основным видом атак»
Любек говорит, что пользователи должны знать о поддельных веб-сайтах, которые запрашивают учетные данные кошелька, клонированных ссылках и поддельных проектах.
По словам Любека, фишинговая афера может начинаться с социальной инженерии, сообщая пользователю о раннем запуске токена или о том, что он в 100 раз увеличит свои деньги, о низком уровне API или о том, что его учетная запись была взломана и требует смены пароля. В этих сообщениях обычно указывается ограниченный срок на выполнение действия, что еще больше усиливает страх пользователя упустить возможность заработать.
В случае Грина фишинговая атака была осуществлена через клонированную ссылку.
Клон-фишинг — это атака, при которой мошенник берет веб-сайт, электронную почту или даже простую ссылку и создает почти идеальную копию, которая выглядит законной. Грин думал, что он минтил клоны «GutterCat», используя то, что оказалось фишинговым веб-сайтом.
Когда Грин подключил свой кошелек к фишинговому веб-сайту и подписал транзакцию для создания NFT, он предоставил хакерам доступ к своим закрытым ключам и, в свою очередь, к своим Bored Apes.
Типы кибератак
Нарушения безопасности могут затронуть компании и частных лиц. Хотя это и не полный список, кибератаки, нацеленные на Web3, обычно делятся на следующие категории:
Фишинг: одна из старейших, но наиболее распространенных форм кибератак. Фишинговые атаки обычно осуществляются через отправку мошеннических сообщений, например от профилей компаний в соц, которые, производят впечатление надежного источника. Подобный вид мошенничества также может принимать форму скомпрометированного или злонамеренно закодированного веб-сайта, который может слить криптовалюту или NFT из веб-версии крипто кошелька после входа в него.
Вредоносное ПО. Этот общий термин охватывает любую программу или код, наносящий вред системе. Вредоносное ПО может проникнуть в систему через фишинговые электронные письма, текстовые сообщения и сообщения в социальных сетях.
Взломанные веб-сайты. Эти легитимные веб-сайты захватываются мошенниками и используются для хранения вредоносного ПО, которое ничего не подозревающие пользователи загружают при нажатии на ссылку, изображение или файл.
Подмена URL-адресов: поддельные веб-сайты — это вредоносные веб-сайты, являющиеся клонами легитимных веб-сайтов. Эти сайты, также известные как URL-фишинг, могут собирать имена пользователей, пароли, кредитные карты, криптовалюту и другую личную информацию.
Поддельные расширения браузера: как следует из названия, при таких взломах используют поддельные расширения браузера, чтобы заставить крипто-пользователей ввести свои учетные данные или ключи в расширение, которое дает киберпреступнику доступ к данным.
Эти атаки обычно направлены на получение доступа, кражу и уничтожение конфиденциальной информации или, в случае Грина, NFT Bored Ape.
Как защититься
Любек говорит, что лучший способ защитить себя от фишинга — никогда не отвечать на электронные письма, текстовые SMS, сообщения Telegram, Discord или WhatsApp от неизвестного человека, компании или учетной записи и не вводить учетные данные или личную информацию, если пользователь не начал общение».
Любек рекомендует не вводить свои учетные данные или личную информацию при использовании общедоступных Wi-Fi сетей. Кроме того, Любек говорит что нужно забыть ложном чувстве безопасности при использовании определенной операционной системы или типа телефона.
«Когда мы говорим о таких видах мошенничества, как фишинг, выдача себя за веб-страницу, не имеет значения, используете ли вы iPhone, Linux, Mac, iOS, Windows или Chromebook»
Безопасность криптовалюты и NFT
Рассмотрим более детально особенности безопасности с учетом Web3
По возможности рекомендуется использовать аппаратные или изолированные кошельки для хранения цифровых активов. Эти устройства, которые иногда называют «холодным хранилищем», удаляют криптовалюту из Интернет-доступа до тех пор, пока пользователь не будет готов ее использовать. Хотя использование кошельков на основе браузера, например MetaMask, стало, следует помнить, что все, что подключено к Интернету, может быть взломано.
При использовании мобильного, браузерного или декстопного кошельков нужно загружать их с официальных платформ, таких как Google Play Store, Apple App Store или с проверенных веб-сайтов. Нельзя скачивать по ссылкам, отправленным в текстовом сообщении или по электронной почте. Несмотря на то, что вредоносные приложения могут попасть в официальные магазины, это более безопасно, чем использование ссылок.
После завершения транзакции следует выйти из веб-кошелька.
Также необходимо убедиться в надежности сохранности личных ключей, сид фраз и паролей.
Рекомендуется инвестировать только в проекты, которые понятны. Если неясно, как работает схема, следует остановиться и провести дополнительные исследования.
Следует игнорировать тактику быстрых действий в сжатые сроки. Часто мошенники используют это, чтобы попытаться вызвать FOMO и заставить потенциальных жертв не думать и не проверять предлагаемые им проекты.
И последнее, но не менее важное: не стоит верить, если обещают золотые горы
