В быстро меняющемся и постоянно развивающемся мире криптовалют, где можно обмениваться цифровыми активами и зарабатывать состояния, скрытая опасность угрожает безопасности как опытных инвесторов, так и новичков: мошенничество с криптовалютой.
Эти схемы предназначены для эксплуатации доверия и уязвимости отдельных лиц с целью заставить их раскрыть свою конфиденциальную информацию или даже расстаться со своими с трудом заработанными криптовалютными активами.
По мере того, как популярность криптовалют продолжает расти, растет и изощренность методов фишинга, используемых киберпреступниками. От выдачи себя за законные биржи и кошельки до разработки убедительных тактик социальной инженерии, эти мошенники не остановятся ни перед чем, чтобы получить несанкционированный доступ к вашим цифровым активам.
Злоумышленники используют различные методы социальной инженерии для нападения на своих жертв. С помощью тактики социальной инженерии мошенники манипулируют эмоциями пользователей и создают ощущение доверия и срочности.
Эрик Паркер, генеральный директор и соучредитель Giddy — умного кошелька, не связанного с хранением, — сказал : «Кто-то обратился к вам без вашего запроса? Это одно из самых больших эмпирических правил, которые вы можете использовать. Служба поддержки редко, если вообще когда-либо, активно связывается с вами, поэтому вы всегда должны с подозрением относиться к сообщениям о том, что вам необходимо принять меры в отношении вашей учетной записи».
«Та же идея с бесплатными деньгами: если кто-то пишет вам, потому что хочет дать вам бесплатные деньги, это, скорее всего, не реально. Будьте осторожны с любым сообщением, которое кажется слишком хорошим, чтобы быть правдой, или дает вам немедленное ощущение безотлагательности или страха, чтобы заставить вас действовать быстро».
Мошенничество с электронной почтой и мессенджерами
Одним из распространенных методов, используемых в мошенничестве с криптофишингом, является выдача себя за доверенных лиц, таких как криптовалютные биржи или поставщики кошельков. Мошенники рассылают электронные письма или сообщения, которые кажутся исходящими от этих законных организаций, используя аналогичные бренды, логотипы и адреса электронной почты. Они стремятся обмануть получателей, заставив их поверить в то, что сообщение исходит из надежного источника.
Для этого мошенники могут использовать такие методы, как подделка электронной почты, когда они подделывают адрес электронной почты отправителя, чтобы он выглядел так, как будто он исходит от законной организации. Они также могут использовать тактику социальной инженерии, чтобы персонализировать сообщения и сделать их более аутентичными. Выдавая себя за доверенных лиц, мошенники используют доверие и авторитет, связанные с этими организациями, чтобы обманом заставить пользователей совершать действия, которые ставят под угрозу их безопасность.
Поддельные запросы в службу поддержки
Криптофишинговые мошенники часто выдают себя за представителей службы поддержки законных криптовалютных бирж или поставщиков кошельков. Они отправляют электронные письма или сообщения ничего не подозревающим пользователям, заявляя о проблеме с их учетной записью или незавершенной транзакции, требующей немедленного внимания.
Мошенники предоставляют метод связи или ссылку на поддельный веб-сайт поддержки, где пользователям предлагается ввести свои учетные данные для входа или другую конфиденциальную информацию.
Омри Лахав, генеральный директор и соучредитель Blockfence — расширения браузера для криптобезопасности — сказал : «Важно помнить, что если кто-то отправляет вам сообщение или электронное письмо без запроса, он, вероятно, что-то от вас хочет. Эти ссылки и вложения могут содержать вредоносное ПО, предназначенное для кражи ваших ключей или получения доступа к вашим системам».
«Кроме того, они могут перенаправить вас на фишинговые сайты. Всегда проверяйте личность отправителя и легитимность электронного письма, чтобы обеспечить безопасность. Избегайте прямого перехода по ссылкам; скопируйте и вставьте URL-адрес в свой браузер, внимательно проверив наличие любых орфографических несоответствий в имени домена».
Выдавая себя за сотрудников службы поддержки, мошенники используют доверие пользователей к законным каналам поддержки клиентов. Кроме того, они наживаются на желании быстро решать проблемы, побуждая пользователей охотно раскрывать свою личную информацию, которую мошенники могут использовать позже в злонамеренных целях.
Поддельные сайты и клонированные платформы
Злоумышленники также могут создавать поддельные веб-сайты и платформы, чтобы заманивать ничего не подозревающих пользователей.
Спуфинг доменного имени — это метод, при котором мошенники регистрируют доменные имена, очень похожие на имена законных бирж криптовалют или поставщиков кошельков. Например, они могут зарегистрировать домен вроде «exchnage.com» вместо «exchange.com» или «myethwallet» вместо «myetherwallet». К сожалению, ничего не подозревающие пользователи могут легко не заметить эти небольшие вариации.
Лахав сказал, что пользователи должны «проверить, является ли рассматриваемый веб-сайт авторитетным и известным».
Недавнее: Биткойн находится на пути к столкновению с обещаниями «Net Zero»
«Проверка правильности написания URL-адреса также имеет решающее значение, поскольку злоумышленники часто создают URL-адреса, очень похожие на URL-адреса законных сайтов. Пользователи также должны быть осторожны с веб-сайтами, которые они находят через рекламу Google, поскольку они могут не занимать высокие позиции в результатах поиска», — сказал он.
Мошенники используют эти поддельные доменные имена для создания веб-сайтов, имитирующих законные платформы. Они часто отправляют фишинговые электронные письма или сообщения, содержащие ссылки на эти поддельные веб-сайты, обманывая пользователей, заставляя их поверить, что они получают доступ к подлинной платформе. Как только пользователи вводят свои учетные данные для входа или выполняют транзакции на этих веб-сайтах, мошенники перехватывают конфиденциальную информацию и используют ее для своей выгоды.
Вредоносное ПО и мобильные приложения
Хакеры также могут использовать вредоносное программное обеспечение для нападения на пользователей. Кейлоггеры и захват буфера обмена — это методы, которые мошенники используют для кражи конфиденциальной информации с устройств пользователей.
Кейлоггеры — это вредоносные программы, которые записывают каждое нажатие клавиши пользователем на своем устройстве. Когда пользователи вводят свои учетные данные для входа или закрытые ключи, кейлоггер фиксирует эту информацию и отправляет ее обратно мошенникам. Взлом буфера обмена включает в себя перехват содержимого, скопированного в буфер обмена устройства.
Операции с криптовалютой часто включают копирование и вставку адресов кошельков или другой конфиденциальной информации. Мошенники используют вредоносное программное обеспечение для мониторинга буфера обмена и замены законных адресов кошельков своими собственными. Когда пользователи вставляют информацию в предназначенное для этого поле, они вместо этого неосознанно отправляют свои средства на кошелек мошенника.
Как защитить пользователей от крипто-фишинга
Существуют шаги, которые пользователи могут предпринять, чтобы защитить себя во время навигации в криптопространстве.
Включение двухфакторной аутентификации (2FA) — это один из инструментов, который может помочь защитить учетные записи, связанные с криптографией, от фишинга.
2FA добавляет дополнительный уровень защиты, требуя от пользователей предоставить вторую форму проверки, как правило, уникальный код, сгенерированный на их мобильном устройстве, в дополнение к их паролю. Это гарантирует, что даже если злоумышленники получат учетные данные пользователя с помощью попыток фишинга, им все равно потребуется второй фактор (например, одноразовый пароль на основе времени) для получения доступа.
Использование аппаратных или программных аутентификаторов
При настройке 2FA пользователям следует рассмотреть возможность использования аппаратных или программных аутентификаторов, а не полагаться исключительно на аутентификацию на основе SMS. Двухфакторная аутентификация на основе SMS может быть уязвима для атак с подменой SIM-карты, когда злоумышленники мошенническим путем получают контроль над номером телефона пользователя.
Аппаратные аутентификаторы, такие как YubiKey или ключи безопасности, представляют собой физические устройства, которые генерируют одноразовые пароли и обеспечивают дополнительный уровень безопасности. Программные аутентификаторы, такие как Google Authenticator или Authy, генерируют коды на основе времени на смартфонах пользователей. Эти методы более безопасны, чем аутентификация на основе SMS, поскольку они не подвержены атакам с подменой SIM-карты.
Подтвердить подлинность веб-сайта
Для защиты от фишинга пользователям следует избегать перехода по ссылкам, указанным в электронных письмах, сообщениях или других непроверенных источниках. Вместо этого им следует вручную ввести URL-адреса веб-сайтов своих криптовалютных бирж, кошельков или любых других платформ, к которым они хотят получить доступ.
Вводя URL-адрес веб-сайта вручную, пользователи обеспечивают прямой доступ к законному веб-сайту, а не перенаправление на поддельный или клонированный веб-сайт, нажав на фишинговую ссылку.
Будьте осторожны со ссылками и вложениями
Прежде чем нажимать на какие-либо ссылки, пользователи должны навести на них курсор мыши, чтобы увидеть целевой URL-адрес в строке состояния браузера или во всплывающей подсказке. Это позволяет пользователям проверить фактическое назначение ссылки и убедиться, что она соответствует ожидаемому веб-сайту.
Фишинговые мошенники часто маскируют ссылки, отображая текст URL, отличный от целевого. Наведя указатель мыши на ссылку, пользователи могут обнаружить несоответствия и подозрительные URL-адреса, которые могут указывать на попытку фишинга.
Паркер объяснил : «Очень легко подделать основную ссылку в электронном письме. Мошенник может показать вам одну ссылку в тексте электронного письма, но сделать основную гиперссылку другой».
«Любимая афера среди криптофишеров — это копирование пользовательского интерфейса авторитетного веб-сайта, но размещение своего вредоносного кода для входа в систему или части подключения кошелька, что приводит к краже паролей или, что еще хуже, к краже начальных фраз. Поэтому всегда дважды проверяйте URL-адрес веб-сайта, на который вы входите или подключаете свой крипто-кошелек».
Сканирование вложений антивирусным ПО
Пользователи должны проявлять осторожность при загрузке и открытии вложений, особенно из ненадежных или подозрительных источников. Вложения могут содержать вредоносные программы, в том числе кейлоггеры или трояны, которые могут поставить под угрозу безопасность устройства пользователя и учетных записей криптовалюты.
Чтобы снизить этот риск, пользователи должны сканировать все вложения с помощью надежного антивирусного программного обеспечения, прежде чем открывать их. Это помогает обнаруживать и удалять любые потенциальные вредоносные программы, снижая вероятность стать жертвой фишинговой атаки.
Обновляйте программное обеспечение и приложения
Поддержание операционных систем, веб-браузеров, устройств и другого программного обеспечения в актуальном состоянии необходимо для обеспечения безопасности устройств пользователя. Обновления могут включать исправления безопасности, устраняющие известные уязвимости и защищающие от новых угроз.
Использование надежного программного обеспечения для обеспечения безопасности
Чтобы добавить дополнительный уровень защиты от фишинга и вредоносного ПО, пользователям следует рассмотреть возможность установки на свои устройства надежного программного обеспечения для обеспечения безопасности.
Антивирусное, антивредоносное и антифишинговое программное обеспечение может помочь обнаружить и заблокировать вредоносные угрозы, включая фишинговые электронные письма, поддельные веб-сайты и файлы, зараженные вредоносным ПО.
Регулярно обновляя и запуская сканирование безопасности с использованием надежного программного обеспечения, пользователи могут свести к минимуму риск стать жертвой фишинга и обеспечить общую безопасность своих устройств и операций, связанных с криптовалютой.
Обучайтесь и будьте в курсе
Мошенничество с крипто-фишингом постоянно развивается, и регулярно появляются новые тактики. Пользователи должны взять на себя инициативу, чтобы узнать о новейших методах фишинга и мошенничестве, нацеленных на криптовалютное сообщество. Кроме того, будьте в курсе, исследуя и читая о недавних случаях фишинга и передовых методах обеспечения безопасности.
Недавно: что такое добросовестное использование? Верховный суд США взвешивает дилемму авторского права ИИ
Чтобы быть в курсе новостей, связанных с безопасностью, и получать своевременные предупреждения о фишинге, пользователи должны следить за надежными источниками в криптовалютном сообществе. Это могут быть официальные объявления и аккаунты в социальных сетях криптовалютных бирж, поставщиков кошельков и авторитетных организаций по кибербезопасности.
Следуя надежным источникам, пользователи могут получать точную информацию и оповещения о возникающих случаях фишинга, уязвимостях в системе безопасности и передовых методах защиты своих криптоактивов.
Источник: Сointеlеgrаph
