Фишинг в эпоху Web3.0 — вот что нужно знать каждому пользователю
14 ноября 2022 г.Экосистема Web3 продолжала расти невообразимыми темпами в течение последних нескольких лет, при этом некоторые исследования показывают, что к концу следующего года это быстро развивающееся пространство будет стоить 6 триллионов долларов США, увеличившись в среднем на 44,6% в период с 2023 по 2030 год. Однако этот огромный рост не обошлось и без проблем, а проблемы с безопасностью, особенно фишинговые атаки, резко возросли в последние месяцы.
В самом общем смысле фишинговая атака — это тип онлайн-мошенничества, при котором ничего не подозревающие пользователи обманом заставляют раскрывать свои конфиденциальные личные данные, такие как пароли, номера кредитных карт и т. д., киберпреступникам, выдающим себя за надежные источники. Эти схемы могут быть реализованы различными способами, включая электронную почту, социальные сети или вредоносные веб-сайты.
В связи с этим отчет, выпущенный популярной фирмой по обеспечению безопасности блокчейнов Certik, отмечает, что только во втором квартале 2022 года количество фишинговых атак на арене Web3 выросло на колоссальные 170% по сравнению с предыдущим кварталом, при этом большинство хакеров используют платформы социальных сетей пользователей для облегчения их гнусная деятельность. Мало того, в период с апреля по июнь этого года было выявлено в общей сложности 290 фишинговых кампаний, что значительно больше, чем 106 атак, имевших место несколькими месяцами ранее.
Наконец, в исследовании говорится, что за первую половину 2022 года различные взломы и эксплойты скомпрометировали более 2 миллиардов долларов. В перспективе эта цифра уже превышает общий объем средств, потерянных за весь 2021 год. Исследователи также считают, что эта цифра продолжит расти в ближайшей и среднесрочной перспективе.
Фишинг остается самой популярной формой кибератак
По данным компании Web3 по кибербезопасности TRM Labs, криптоактивы и невзаимозаменяемые токены (NFT) продолжают оставаться самой популярной целью для хакеров — настолько, что только в период с июня по июль этого года Рынок NFT стал свидетелем фишинговых атак/мошенничества на сумму более 22 миллионов долларов. Среди многих жертв этих атак был актер Сет Грин, который потерял в общей сложности четыре NFT, в том числе Bored Ape #8398, что позволяет предположить, что все подвержены этим уловкам.
Фишинг остается основным вектором атаки для большинства хакеров, поскольку он предназначен для психологического манипулирования пользователями, особенно теми, кто не очень хорошо разбирается в современных тенденциях кибербезопасности.
На данный момент большинство фишинговых атак используют тактику социальной инженерии, когда хакеры отправляют сообщения своим потенциальным жертвам. Обычно они включают в себя уведомление о прибыльном запуске токена, потенциальном взломе учетной записи, проектах, которые могут позволить им максимизировать свой капитал в течение нескольких дней, и т. д. Кроме того, подавляющее большинство этих сообщений требуют от пользователей действий в течение фиксированного временного окна, таким образом обыгрывание элемента FOMO (страха упустить возможность) в умах жертв.
Типы фишинга, распространенные сегодня на рынке
Airdrops (слишком хорошо, чтобы быть правдой)
По сути, аирдропы — это рекламные инструменты, которые многие компании используют, чтобы побудить людей пользоваться их услугами. Поскольку они предоставляют подписантам бесплатные деньги, они стали чрезвычайно популярными среди криптоэнтузиастов за последние пару лет.
Имея это в виду, неудивительно, что аирдропы являются основным средством для выполнения фишинговых уловок. Например, хакеры могут рассылать сообщения ничего не подозревающим лицам, сообщая им, что на их кошельки зачислен определенный цифровой актив. Как только жертва заманивается, она перенаправляется на торговую платформу, где ей нужно подключить свои кошельки. Однако, как только это произойдет, хакеры смогут украсть их средства.
Социальное мошенничество + клон-фишинг
Как указывалось ранее, наиболее распространенным способом проведения фишинговой атаки является использование поддельных электронных писем и URL-адресов. Поскольку экосистема Web3 все еще относительно молода, она полна мошеннических, но реалистичных подделок веб-сайтов, подражательных аккаунтов в социальных сетях и многого другого. Поэтому крайне важно, чтобы пользователи не отвечали на нежелательные сообщения, какими бы заманчивыми или реальными они ни казались.
В связи с этим следует отметить, что в конце прошлого года сотрудник известной платформы для торговли криптовалютой bZx открыл фишинговое письмо, которое обошлось его фирме в колоссальные 55 миллионов долларов.
Кликджекинг
Также известная как "ледяной фишинг", это сложная схема, при которой хакерам необходимо внести изменения в пользовательский интерфейс смарт-контракта платформы, прежде всего путем внедрения в него вредоносного скрипта. В результате пользователи неосознанно отправляют средства на неверный адрес кошелька.
Фишинг с исходной фразой
Как известно большинству пользователей криптографии, seed-фраза — это набор случайных слов, который служит своего рода «мастер-ключом», позволяющим любому, у кого они есть, получить доступ к активам человека. В последние месяцы все больше и больше хакеров начали использовать новые средства (такие как веб-сайты-подражатели, поддельные расширения браузера и т. д.) для фишинга сид-ключей пользователей. После получения они могут немедленно опустошить кошелек жертвы.
Как защитить себя
Во избежание фишинговых атак пользователи не должны отвечать на электронные письма, SMS или другие сторонние сообщения (полученные через Telegram, Whatsapp и т. д.) из неизвестного источника. Кроме того, пользователи никогда не должны предоставлять свои учетные данные или личную информацию в ответ на эти сообщения, поскольку большинство авторитетных криптофирм никогда не будут запрашивать такие данные у своих клиентов.
Кроме того, в интересах владельцев криптовалюты не передавать свои учетные данные или личную информацию при использовании общедоступной или общей сети Wi-Fi. Еще одна хорошая практика — избегать ложного чувства безопасности, потому что вы можете использовать определенную ОС или смартфон, которые рекламируются как «невзламываемые». Независимо от того, используете ли вы iPhone, Linux, Mac или iOS, проблема заключается не в устройстве или самой операционной системе, а в рассматриваемом веб-сайте.
Впереди
Даже если экосистема Web3 станет более устойчивой к фишинговым атакам, хакеры все равно найдут новые способы облегчить свои гнусные дела. Таким образом, в интересах пользователей криптовалюты опасаться различных тактик, используемых хакерами, а также обязанностью фирм, занимающихся кибербезопасностью, просвещать массы, чтобы смягчить любые потенциальные проблемы.
Главное изображение источник. п
Оригинал