Zgłoszenie społeczności — autor: WhoTookMyCrypto.com

Rok 2017 był niezwykłym rokiem dla branży kryptowalut, ponieważ szybki wzrost wycen sprawił, że znalazła się ona w mediach głównego nurtu. Nic więc dziwnego, że wzbudziło to ogromne zainteresowanie zarówno ogółu społeczeństwa, jak i cyberprzestępców. Względna anonimowość, jaką oferują kryptowaluty, uczyniła je ulubionymi przestępcami, którzy często wykorzystują je do ominięcia tradycyjnych systemów bankowych i uniknięcia nadzoru finansowego ze strony organów regulacyjnych.

Biorąc pod uwagę, że ludzie spędzają więcej czasu na smartfonach niż na komputerach stacjonarnych, nie jest zaskakujące, że cyberprzestępcy również zwrócili na nie uwagę. W poniższej dyskusji omówiono, w jaki sposób oszuści atakują użytkowników kryptowalut za pośrednictwem ich urządzeń mobilnych, a także przedstawiono kilka kroków, które użytkownicy mogą podjąć, aby się chronić.


Fałszywe aplikacje kryptowalutowe

Fałszywe aplikacje do wymiany kryptowalut

Najbardziej znanym przykładem fałszywej aplikacji do wymiany kryptowalut jest prawdopodobnie aplikacja Poloniex. Przed uruchomieniem oficjalnej aplikacji do handlu mobilnego w lipcu 2018 r. w Google Play znajdowało się już kilka fałszywych aplikacji wymiany Poloniex, które celowo zaprojektowano tak, aby były funkcjonalne. Dane logowania wielu użytkowników, którzy pobrali te fałszywe aplikacje, zostały naruszone, a ich kryptowaluty skradzione. Niektóre aplikacje poszły nawet o krok dalej, żądając danych logowania do kont Gmail użytkowników. Należy podkreślić, że naruszone zostały tylko konta bez uwierzytelniania dwuskładnikowego (2FA).

Poniższe kroki mogą pomóc chronić Cię przed takimi oszustwami.

  • Sprawdź oficjalną stronę giełdy, aby sprawdzić, czy rzeczywiście oferuje mobilną aplikację do handlu. Jeśli tak, skorzystaj z linku podanego na ich stronie internetowej.

  • Przeczytaj recenzje i oceny. Fałszywe aplikacje często mają wiele złych recenzji, a ludzie narzekają, że zostali oszukani, więc sprawdź je przed pobraniem. Jednak powinieneś być sceptyczny wobec aplikacji, które prezentują doskonałe oceny i komentarze. Każda legalna aplikacja ma sporą liczbę negatywnych recenzji.

  • Sprawdź informacje o twórcy aplikacji. Sprawdź, czy podano legalną firmę, adres e-mail i witrynę internetową. Powinieneś także przeszukać w Internecie podane informacje, aby sprawdzić, czy rzeczywiście mają one związek z oficjalną wymianą.

  • Sprawdź liczbę pobrań. Należy również wziąć pod uwagę liczbę pobrań. Jest mało prawdopodobne, aby bardzo popularna giełda kryptowalut miała niewielką liczbę pobrań.

  • Aktywuj 2FA na swoich kontach. Chociaż nie jest to w 100% bezpieczne, uwierzytelnianie 2FA jest znacznie trudniejsze do obejścia i może mieć ogromne znaczenie w ochronie Twoich środków, nawet jeśli Twoje dane logowania zostaną wyłudzone.


Fałszywe aplikacje do portfela kryptowalut

Istnieje wiele różnych rodzajów fałszywych aplikacji. Jedna z odmian ma na celu uzyskanie od użytkowników danych osobowych, takich jak hasła do portfela i klucze prywatne.

W niektórych przypadkach fałszywe aplikacje udostępniają użytkownikom wcześniej wygenerowane adresy publiczne. Zakładają więc, że środki mają zostać zdeponowane na te adresy. Nie uzyskują jednak dostępu do kluczy prywatnych i tym samym nie mają dostępu do żadnych środków, które są do nich przesyłane.

Takie fałszywe portfele zostały stworzone dla popularnych kryptowalut takich jak Ethereum i Neo i niestety wielu użytkowników straciło swoje środki. Oto kilka kroków zapobiegawczych, które można podjąć, aby uniknąć stania się ofiarą:

  • Środki ostrożności wskazane w powyższym segmencie aplikacji Exchange mają również zastosowanie. Jednak dodatkowym środkiem ostrożności, jaki możesz podjąć w przypadku aplikacji portfela, jest upewnienie się, że przy pierwszym otwarciu aplikacji zostaną wygenerowane zupełnie nowe adresy i że posiadasz klucze prywatne (lub nasiona mnemoniczne). Legalna aplikacja portfela umożliwia eksport kluczy prywatnych, ale ważne jest również, aby nie zakłócać generowania nowych par kluczy. Powinieneś więc korzystać z renomowanego oprogramowania (najlepiej open source).

  • Nawet jeśli aplikacja udostępnia klucz prywatny (lub materiał siewny), należy sprawdzić, czy można z nich wyprowadzić adresy publiczne i uzyskać do nich dostęp. Na przykład niektóre portfele Bitcoin umożliwiają użytkownikom importowanie kluczy prywatnych lub nasion w celu wizualizacji adresów i dostępu do środków. Aby zminimalizować ryzyko naruszenia bezpieczeństwa kluczy i nasion, możesz to zrobić na komputerze z przerwą powietrzną (odłączonym od Internetu).


Aplikacje do kryptojackingu

Cryptojacking jest popularnym rozwiązaniem wśród cyberprzestępców ze względu na niskie bariery wejścia i wymagane koszty ogólne. Ponadto oferuje im potencjał długoterminowego, powtarzalnego dochodu. Pomimo mniejszej mocy obliczeniowej w porównaniu z komputerami stacjonarnymi, urządzenia mobilne coraz częściej stają się celem cryptojackingu.

Oprócz kryptojackingu w przeglądarce internetowej cyberprzestępcy opracowują także programy, które wydają się być legalnymi aplikacjami do gier, narzędziami lub aplikacjami edukacyjnymi. Jednak wiele z tych aplikacji zaprojektowano tak, aby potajemnie uruchamiały w tle skrypty wydobywające kryptowaluty.

Istnieją również aplikacje do cryptojackingu, które są reklamowane jako legalne zewnętrzne koparki, ale nagrody są dostarczane twórcy aplikacji, a nie użytkownikom.

Co gorsza, cyberprzestępcy stają się coraz bardziej wyrafinowani i wdrażają lekkie algorytmy eksploracji, aby uniknąć wykrycia.

Cryptojacking jest niezwykle szkodliwy dla Twoich urządzeń mobilnych, ponieważ pogarsza ich wydajność i przyspiesza zużycie. Co gorsza, mogą potencjalnie działać jako konie trojańskie dla bardziej nikczemnego złośliwego oprogramowania.

Aby się przed nimi zabezpieczyć, można podjąć następujące kroki.

  • Pobieraj aplikacje wyłącznie z oficjalnych sklepów, takich jak Google Play. Pirackie aplikacje nie są wstępnie skanowane i jest bardziej prawdopodobne, że zawierają skrypty służące do cryptojackingu.

  • Monitoruj telefon pod kątem nadmiernego rozładowania lub przegrzania baterii. Po wykryciu zakończ aplikacje, które to powodują.

  • Aktualizuj swoje urządzenie i aplikacje, aby luki w zabezpieczeniach zostały załatane.

  • Użyj przeglądarki internetowej, która chroni przed cryptojackingiem lub zainstaluj renomowane wtyczki do przeglądarek, takie jak MinerBlock, NoCoin i Adblock.

  • Jeśli to możliwe, zainstaluj mobilne oprogramowanie antywirusowe i aktualizuj je.


Bezpłatne prezenty i fałszywe aplikacje do wydobywania kryptowalut

Są to aplikacje, które udają, że wydobywają kryptowaluty dla swoich użytkowników, ale w rzeczywistości nie robią nic poza wyświetlaniem reklam. Zachęcają użytkowników do pozostawienia aplikacji otwartych, odzwierciedlając wzrost nagród użytkownika w miarę upływu czasu. Niektóre aplikacje nawet zachęcają użytkowników do wystawiania ocen 5-gwiazdkowych w celu otrzymania nagród. Oczywiście żadna z tych aplikacji tak naprawdę nie wydobywała danych, a ich użytkownicy nigdy nie otrzymali żadnych nagród.

Aby uchronić się przed tym oszustwem, należy pamiętać, że w przypadku większości kryptowalut wydobycie wymaga wysoce wyspecjalizowanego sprzętu (ASIC), co oznacza, że ​​wydobywanie na urządzeniu mobilnym nie jest możliwe. Jakiekolwiek kwoty, jakie wydobędziesz, będą w najlepszym razie trywialne. Trzymaj się z daleka od takich aplikacji.


Aplikacje do strzyżenia

Takie aplikacje zmieniają kopiowane adresy kryptowalut i zastępują je adresami atakującego. Zatem chociaż ofiara może skopiować prawidłowy adres odbiorcy, ten, który wklei w celu przetworzenia transakcji, zostanie zastąpiony adresem atakującego.

Aby uniknąć padnięcia ofiarą takich aplikacji, oto kilka środków ostrożności, które możesz podjąć podczas przetwarzania transakcji.

  • Zawsze dwukrotnie i potrójnie sprawdź adres, który wklejasz w polu odbiorcy. Transakcje Blockchain są nieodwracalne, dlatego zawsze należy zachować ostrożność.

  • Najlepiej zweryfikować cały adres, a nie tylko jego fragmenty. Niektóre aplikacje są na tyle inteligentne, że wklejają adresy podobne do zamierzonych.


Wymiana karty SIM

W oszustwie polegającym na wymianie karty SIM cyberprzestępca uzyskuje dostęp do numeru telefonu użytkownika. Robią to, stosując techniki inżynierii społecznej, aby nakłonić operatorów telefonii komórkowej do wydania im nowej karty SIM. Najbardziej znane oszustwo związane z wymianą kart SIM dotyczyło przedsiębiorcy kryptowalut Michaela Terpina. Zarzucił, że AT&T dopuściła się zaniedbania w obsłudze danych uwierzytelniających jego telefonu komórkowego, w wyniku czego utracił tokeny o wartości ponad 20 milionów dolarów amerykańskich.

Gdy cyberprzestępcy uzyskają dostęp do Twojego numeru telefonu, mogą go użyć do ominięcia wszelkich 2FA, które się na tym opierają. Stamtąd mogą przedostać się do Twoich portfeli i giełd kryptowalut.

Inną metodą, którą mogą zastosować cyberprzestępcy, jest monitorowanie komunikacji SMS. Wady sieci komunikacyjnych mogą pozwolić przestępcom na przechwycenie Twoich wiadomości, które mogą zawierać przesłany do Ciebie kod PIN drugiego stopnia.

Tym, co czyni ten atak szczególnie niepokojącym, jest to, że użytkownicy nie muszą podejmować żadnych działań, takich jak pobieranie fałszywego oprogramowania lub klikanie złośliwego łącza.

Aby zapobiec padnięciu ofiarą takich oszustw, należy rozważyć kilka kroków.

  • Nie używaj swojego numeru telefonu komórkowego do wysyłania wiadomości SMS 2FA. Zamiast tego używaj aplikacji takich jak Google Authenticator lub Authy, aby zabezpieczyć swoje konta. Cyberprzestępcy nie mogą uzyskać dostępu do tych aplikacji, nawet jeśli posiadają Twój numer telefonu. Alternatywnie możesz użyć sprzętowego 2FA, takiego jak YubiKey lub Google Titan Security Key.

  • Nie ujawniaj w mediach społecznościowych danych osobowych, takich jak numer telefonu komórkowego. Cyberprzestępcy mogą zbierać takie informacje i wykorzystywać je do podszywania się pod Ciebie w innym miejscu.

  • Nigdy nie powinieneś ogłaszać w mediach społecznościowych, że posiadasz kryptowaluty, ponieważ spowodowałoby to, że staniesz się celem. Lub jeśli jesteś w sytuacji, w której wszyscy już wiedzą, że je posiadasz, unikaj ujawniania danych osobowych, w tym giełd i portfeli, z których korzystasz.

  • Porozmawiaj z operatorami telefonii komórkowej, aby chronić swoje konto. Może to oznaczać dołączenie kodu PIN lub hasła do konta i nakazanie, aby zmiany na koncie mogły wprowadzać wyłącznie użytkownicy znający kod PIN. Alternatywnie możesz zażądać wprowadzenia takich zmian osobiście i zabronić ich przez telefon.


WiFi

Cyberprzestępcy nieustannie szukają punktów wejścia na urządzenia mobilne, zwłaszcza użytkowników kryptowalut. Jednym z takich punktów wejścia jest dostęp do Wi-Fi. Publiczne sieci Wi-Fi są niebezpieczne i użytkownicy powinni zachować środki ostrożności przed połączeniem się z nimi. W przeciwnym razie istnieje ryzyko, że cyberprzestępcy uzyskają dostęp do danych na ich urządzeniach mobilnych. Te środki ostrożności zostały omówione w artykule na temat publicznej sieci Wi-Fi.


Zamykanie myśli

Telefony komórkowe stały się istotną częścią naszego życia. W rzeczywistości są one tak powiązane z Twoją tożsamością cyfrową, że mogą stać się Twoją największą słabością. Cyberprzestępcy są tego świadomi i będą nadal szukać sposobów, aby to wykorzystać. Zabezpieczanie urządzeń mobilnych nie jest już opcjonalne. Stało się to koniecznością. Bądź bezpieczny.