В быстро меняющемся и постоянно развивающемся мире криптовалют, где обмениваются цифровые активы и зарабатываются состояния, таится опасность, угрожающая безопасности как опытных инвесторов, так и новичков: крипто-фишинговые аферы.
Эти схемы разработаны для использования доверия и уязвимости людей, чтобы обманом заставить их раскрыть конфиденциальную информацию или даже расстаться со своими с трудом заработанными криптовалютами.
С ростом популярности криптовалют растет и изощренность фишинговых технологий, используемых киберпреступниками. Мошенники не останавливаются ни перед чем, чтобы получить несанкционированный доступ к вашим цифровым активам - от выдачи себя за легитимные биржи и кошельки до создания убедительной тактики социальной инженерии.
Вредоносные субъекты используют различные методы социальной инженерии, чтобы нацелить их на своих жертв. Используя тактику социальной инженерии, мошенники манипулируют эмоциями пользователей и создают ощущение доверия и срочности.
Эрик Паркер, генеральный директор и соучредитель Giddy - смарт-кошелька, не требующего хранения, - сказал Cointelegraph: "Кто-то связался с вами без вашей просьбы? Это одно из самых больших правил, которые вы можете использовать. Служба поддержки клиентов редко, если вообще когда-либо, обращается к вам с инициативой, поэтому вы всегда должны с подозрением относиться к сообщениям, в которых говорится о необходимости предпринять какие-либо действия в отношении вашего счета".
"Та же идея с бесплатными деньгами: Если кто-то пишет вам, потому что хочет дать вам бесплатные деньги, скорее всего, это неправда. Опасайтесь любых сообщений, которые кажутся слишком хорошими, чтобы быть правдой, или вызывают у вас чувство срочности или страха, чтобы заставить вас действовать быстро".
Мошенничество в сфере электронной почты и обмена сообщениями
Один из распространенных методов, используемых в криптофишинговых мошенничествах, - выдавать себя за доверенные организации, такие как криптовалютные биржи или поставщики кошельков. Мошенники рассылают электронные письма или сообщения, которые выглядят как письма от этих законных организаций, используя схожий брендинг, логотипы и адреса электронной почты. Их цель - обмануть получателей и заставить их поверить, что сообщение исходит от надежного источника.
Для этого мошенники могут использовать такие методы, как подмена электронной почты, когда они подделывают адрес электронной почты отправителя, чтобы создать впечатление, что письмо исходит от законной организации. Они также могут использовать тактику социальной инженерии, чтобы персонализировать сообщения и придать им более достоверный вид. Выдавая себя за доверенные организации, мошенники используют доверие и авторитет, связанный с этими организациями, чтобы обманом заставить пользователей предпринять действия, ставящие под угрозу их безопасность.
Поддельные запросы в службу поддержки
Криптофишинговые мошенники часто выдают себя за представителей службы поддержки клиентов законных криптовалютных бирж или поставщиков кошельков. Они отправляют электронные письма или сообщения ничего не подозревающим пользователям, утверждая, что у них возникла проблема с их счетом или незавершенная транзакция, требующая немедленного внимания.
Мошенники предоставляют способ связи или ссылку на поддельный веб-сайт поддержки, где пользователям предлагается ввести учетные данные для входа в систему или другую конфиденциальную информацию.
Омри Лахав, генеральный директор и соучредитель Blockfence - криптозащитного расширения для браузера - сказал Cointelegraph: "Важно помнить, что если кто-то отправляет вам сообщение или электронное письмо без приглашения, то, скорее всего, он чего-то от вас хочет. Эти ссылки и вложения могут содержать вредоносное ПО, предназначенное для кражи ваших ключей или получения доступа к вашим системам", - продолжил он:
Кроме того, они могут перенаправлять вас на фишинговые сайты". Для обеспечения безопасности всегда проверяйте личность отправителя и легитимность письма. Избегайте переходить по ссылкам напрямую; скопируйте и вставьте URL-адрес в браузер, тщательно проверяя, нет ли орфографических ошибок в названии домена."
Выдавая себя за сотрудников службы поддержки, мошенники используют доверие пользователей к законным каналам поддержки клиентов. Кроме того, они пользуются желанием быстро решить проблему, заставляя пользователей добровольно раскрывать свою личную информацию, которую мошенники могут использовать в дальнейшем в злонамеренных целях.
Поддельные веб-сайты и клонированные платформы
Злоумышленники также могут создавать поддельные веб-сайты и платформы, чтобы заманить ничего не подозревающих пользователей.
Подмена доменных имен - это метод, при котором мошенники регистрируют доменные имена, очень похожие на названия законных криптовалютных бирж или провайдеров кошельков. Например, они могут зарегистрировать домен "exchnage.com" вместо "exchange.com" или "myethwallet" вместо "myetherwallet". К сожалению, эти незначительные вариации могут быть легко пропущены ничего не подозревающими пользователями.
Лахав сказал, что пользователи должны "проверить, является ли данный сайт авторитетным и известным".
Недавно: Биткойн идет на столкновение с обещаниями "чистого нуля
"Проверка правильности написания URL-адреса также имеет решающее значение, поскольку злоумышленники часто создают URL-адреса, которые очень похожи на URL-адреса законных сайтов. Пользователи также должны с осторожностью относиться к сайтам, которые они обнаруживают через рекламу Google, поскольку они могут не занимать высокие позиции в результатах поиска", - сказал он.
Мошенники используют эти поддельные доменные имена для создания веб-сайтов, имитирующих законные платформы. Они часто рассылают фишинговые электронные письма или сообщения, содержащие ссылки на эти поддельные сайты, обманывая пользователей, заставляя их поверить, что они заходят на настоящую платформу. Как только пользователи вводят свои учетные данные или совершают транзакции на этих сайтах, мошенники перехватывают конфиденциальную информацию и используют ее в своих корыстных целях.
Вредоносное программное обеспечение и мобильные приложения
Хакеры также могут прибегать к использованию вредоносного программного обеспечения для воздействия на пользователей. Кейлоггеры и перехват буфера обмена - это методы, которые используют криптофишинговые мошенники для кражи конфиденциальной информации с устройств пользователей.
Кейлоггеры - это вредоносные программы, которые записывают каждое нажатие клавиш пользователем на своем устройстве. Когда пользователь вводит свои учетные данные или личные ключи, кейлоггер перехватывает эту информацию и отправляет ее мошенникам. Перехват буфера обмена подразумевает перехват содержимого, скопированного в буфер обмена устройства.
Криптовалютные транзакции часто связаны с копированием и вставкой адресов кошельков или другой конфиденциальной информации. Мошенники используют вредоносное программное обеспечение для мониторинга буфера обмена и подменяют законные адреса кошельков своими собственными. Когда пользователи вставляют информацию в нужное поле, они неосознанно отправляют свои средства на кошелек мошенника.
Как пользователи могут защититься от фишинговых афер с криптовалютами
Существуют шаги, которые пользователи могут предпринять, чтобы защитить себя при навигации в криптопространстве.
Включение двухфакторной аутентификации (2FA) - один из инструментов, который может помочь защитить связанные с криптовалютами учетные записи от фишинговых атак.
2FA добавляет дополнительный уровень защиты, требуя от пользователей в дополнение к паролю предоставить вторую форму проверки, обычно уникальный код, сгенерированный на мобильном устройстве. Это гарантирует, что даже если злоумышленники получат учетные данные пользователя в результате фишинговых попыток, им все равно понадобится второй фактор (например, одноразовый пароль, основанный на времени) для получения доступа.
Использование аппаратных или программных аутентификаторов
При настройке 2FA пользователям следует рассмотреть возможность использования аппаратных или программных аутентификаторов, а не полагаться только на SMS-аутентификацию. 2FA на основе SMS может быть уязвима к атакам с подменой SIM-карт, когда злоумышленники обманным путем завладевают телефонным номером пользователя.
Аппаратные аутентификаторы, такие как YubiKey или ключи безопасности, - это физические устройства, которые генерируют одноразовые пароли и обеспечивают дополнительный уровень безопасности. Программные аутентификаторы, такие как Google Authenticator или Authy, генерируют временные коды на смартфонах пользователей. Эти методы более безопасны, чем аутентификация на основе SMS, поскольку они не подвержены атакам с подменой SIM-карт.
Проверка подлинности веб-сайта
Для защиты от фишинговых афер пользователям следует избегать перехода по ссылкам, указанным в электронных письмах, сообщениях или других непроверенных источниках. Вместо этого им следует вручную вводить URL-адреса сайтов своих криптовалютных бирж, кошельков или любых других платформ, к которым они хотят получить доступ.
Вводя URL-адрес веб-сайта вручную, пользователи получают прямой доступ к законному веб-сайту, а не перенаправляются на поддельный или клонированный веб-сайт, нажав на фишинговую ссылку.
Будьте осторожны с ссылками и вложениями
Прежде чем нажать на какую-либо ссылку, пользователь должен навести на нее курсор мыши, чтобы увидеть URL-адрес назначения в строке состояния браузера или во всплывающей подсказке. Это позволит пользователям проверить фактическое место назначения ссылки и убедиться, что оно соответствует предполагаемому веб-сайту.
Фишинговые мошенники часто маскируют ссылки, отображая текст URL, отличный от адресата. Наведя курсор на ссылку, пользователи могут обнаружить несоответствия и подозрительные URL-адреса, которые могут указывать на попытку фишинга.
Паркер объяснил Cointelegraph: "Очень легко подделать основную ссылку в электронном письме. Мошенник может показать вам одну ссылку в тексте письма, а основную гиперссылку сделать другой".
"Любимая афера криптофишеров - копирование пользовательского интерфейса авторитетного сайта, но размещение своего вредоносного кода в разделе входа или подключения к кошельку, что приводит к краже паролей или, что еще хуже, краже начальных фраз. Поэтому всегда перепроверяйте URL сайта, на который вы заходите или с которого подключаете свой криптокошелек".
Сканирование вложений с помощью антивирусного программного обеспечения
Пользователи должны проявлять осторожность при загрузке и открытии вложений, особенно из ненадежных или подозрительных источников. Вложения могут содержать вредоносные программы, включая кейлоггеры или трояны, которые могут поставить под угрозу безопасность устройства пользователя и криптовалютных счетов.
Чтобы снизить этот риск, пользователи должны проверять все вложения с помощью надежного антивирусного программного обеспечения, прежде чем открывать их. Это поможет обнаружить и удалить любые потенциальные угрозы вредоносного ПО, снижая вероятность стать жертвой фишинговой атаки.
Обновляйте программное обеспечение и приложения
Обновление операционных систем, веб-браузеров, устройств и другого программного обеспечения необходимо для поддержания безопасности пользовательских устройств. Обновления могут включать исправления безопасности, которые устраняют известные уязвимости и защищают от возникающих угроз.
Использование надежного программного обеспечения для обеспечения безопасности
Чтобы обеспечить дополнительный уровень защиты от фишинговых атак и вредоносных программ, пользователям следует установить на свои устройства надежное защитное программное обеспечение.
Антивирусное, антивирусное и антифишинговое программное обеспечение поможет обнаружить и блокировать вредоносные угрозы, включая фишинговые электронные письма, поддельные веб-сайты и зараженные вредоносным ПО файлы.
Регулярно обновляя и проводя сканирование системы безопасности с помощью надежного программного обеспечения, пользователи могут минимизировать риск стать жертвой фишинговых афер и обеспечить общую безопасность своих устройств и деятельности, связанной с криптовалютами.
Просвещайтесь и будьте в курсе
Криптофишинговые аферы постоянно развиваются, и регулярно появляются новые тактики. Пользователи должны взять на себя инициативу и ознакомиться с последними методами фишинга и мошенничества, направленными на криптовалютное сообщество. Кроме того, оставайтесь в курсе событий, изучая и читая информацию о последних фишинговых инцидентах и передовых методах обеспечения безопасности.
Недавно: Что такое добросовестное использование? Верховный суд США взвешивает дилемму авторского права ИИ
Чтобы быть в курсе новостей, связанных с безопасностью, и получать своевременные предупреждения о фишинговых аферах, пользователи должны следить за надежными источниками в криптовалютном сообществе. Это могут быть официальные объявления и аккаунты в социальных сетях криптовалютных бирж, провайдеров кошельков и авторитетных организаций по кибербезопасности.
Следя за надежными источниками, пользователи могут получать точную информацию и предупреждения о возникающих фишинговых аферах, уязвимостях безопасности и лучших методах защиты своих криптоактивов.
Источник
