にもかかわらず、 Web3 エバンジェリストは長い間、ブロックチェーンのネイティブ セキュリティ機能を宣伝してきました。 詐欺師 そして泥棒。
悪意のある人物が Web3 サイバーセキュリティの侵害に成功した場合、それは多くの場合、テクノロジーの欠陥ではなく、人間の貪欲、FOMO、および無知という最も一般的な脅威を見落としているユーザーにかかっています。
多くの詐欺は、大きな見返り、投資、または特別な特典を約束します。 FTC は、これらの金儲けの機会と投資を呼び出します 詐欺.
詐欺で大金
2022月XNUMX日によると レポート 連邦取引委員会によると、1 年以降、2021 億ドルを超える暗号通貨が盗まれています。ハッカーの狩猟場は、人々がオンラインで集まる場所です。
FTCは「2021年以降、仮想通貨を詐欺に遭ったと報告した人の半数近くが、ソーシャルメディアプラットフォームの広告、投稿、またはメッセージから始まったと述べています。
詐欺的なカムオンは真実であるとは思えませんが、潜在的な被害者は、暗号市場の激しいボラティリティを考えると、信じられないかもしれません。 人々は次の大きなチャンスを逃したくありません。
NFTを狙う攻撃者
暗号通貨とともに、 NFTs、または代替不可能なトークンは、 ますます人気が高い 詐欺師の標的; Web3サイバーセキュリティ会社によると TRMラボ、2022 年 22 月に続く XNUMX か月で、NFT コミュニティは詐欺とフィッシング攻撃により推定 XNUMX 万ドルを失いました。
などの「優良」コレクション 退屈猿ヨットクラブ (BAYC) は特に重要なターゲットです。 2022 年 XNUMX 月、BAYC Instagram アカウントは SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。 仮想通貨と NFT のイーサリアム ウォレットを空にするサイトに被害者を誘導した詐欺師によるものです。 総額 91 万ドルを超える約 2.8 個の NFT が盗まれました。 数か月後、 Discord エクスプロイト 200 ETH 相当の NFT がユーザーから盗まれました。
知名度の高い BAYC 保有者も詐欺の被害に遭っています。 17月XNUMX日、俳優兼プロデューサー セス・グリーン は、Bored Ape #8398 を含む XNUMX つの NFT が盗まれたフィッシング詐欺の被害者であるとツイートしました。 フィッシング攻撃によってもたらされる脅威を強調するだけでなく、Green が計画した NFT をテーマにしたテレビ/ストリーミング番組「White Horse Tavern」を狂わせた可能性があります。 BAYC NFT には、NFT を商業目的で使用するためのライセンス権が含まれています。 退屈で空腹 カリフォルニア州ロングビーチにあるファストフード店。
GutterCatクローンを作成していると思った-フィッシングリンクはきれいに見えた
—セスグリーン(@SethGreen) 2022 年 5 月 17 日
9 月 XNUMX 日の Twitter Spaces セッション中に、 グリーン 盗まれた後にNFTを購入した人に165 ETH(当時295,000ドル以上)を支払った後、盗まれたJPEGを取り戻したと述べた.
「フィッシングは依然として攻撃の最初のベクトルです」と Web3 サイバーセキュリティ会社のセキュリティ エンジニアである Luis Lubeck は、 ハルボーン、言いました 解読する.
Lubeck 氏は、ユーザーは、ウォレットの認証情報を要求する偽の Web サイト、複製されたリンク、偽のプロジェクトに注意する必要があると述べています。
Lubeck 氏によると、フィッシング詐欺はソーシャル エンジニアリングから始まる可能性があり、早期のトークンのローンチ、100 倍のお金、低い API、またはアカウントが侵害されてパスワードの変更が必要であることをユーザーに伝えます。 これらのメッセージは通常、行動する時間が限られているため、FOMO としても知られる、見逃してしまうのではないかというユーザーの恐怖をさらに高めます。
グリーンの場合、フィッシング攻撃は複製されたリンクを介して行われました。
GutterCatクローンを作成していると思った-フィッシングリンクはきれいに見えた
—セスグリーン(@SethGreen) 2022 年 5 月 17 日
クローン フィッシングとは、詐欺師が Web サイト、電子メール、または単純なリンクを取得して、正規に見えるほぼ完全なコピーを作成する攻撃です。 Green は、フィッシング Web サイトであることが判明したものを使用して、「GutterCat」のクローンを作成していると考えました。
Green が彼のウォレットをフィッシング Web サイトに接続し、NFT を作成するトランザクションに署名したとき、彼はハッカーに彼の秘密鍵へのアクセスを許可し、ひいては彼の Bored Apes へのアクセスを許可しました。
サイバー攻撃の種類
セキュリティ侵害は、企業と個人の両方に影響を与える可能性があります。 完全なリストではありませんが、Web3 を標的とするサイバー攻撃は通常、次のカテゴリに分類されます。
- ? フィッシング詐欺: サイバー攻撃の最も古い形式の XNUMX つであるフィッシング攻撃は、通常、電子メールの形で行われ、信頼できるソースから送信されたように見えるソーシャル メディア上のテキストやメッセージなどの詐欺的な通信を送信することが含まれます。 これ サイバー犯罪 また、暗号ウォレットが接続されると、接続されたブラウザベースのウォレットから暗号または NFT を排出できる、侵害された、または悪意を持ってコード化された Web サイトの形を取ることもあります。
- ?☠️ マルウェア: 悪意のあるソフトウェアの略で、この包括的な用語は、システムに有害なプログラムまたはコードを対象としています。 マルウェアは、フィッシング メール、テキスト、およびメッセージを介してシステムに侵入する可能性があります。
- ? 侵害された Web サイト: これらの正当な Web サイトは犯罪者によってハイジャックされ、無防備なユーザーがリンク、画像、またはファイルをクリックするとダウンロードするマルウェアを格納するために使用されます。
- ? URL スプーフィング: 侵害された Web サイトのリンクを解除します。 なりすまし Web サイトは、正規の Web サイトのクローンである悪意のあるサイトです。 URL フィッシングとも呼ばれるこれらのサイトは、ユーザー名、パスワード、クレジット カード、暗号通貨、およびその他の個人情報を収集できます。
- ? 偽のブラウザ拡張機能: 名前が示すように、これらのエクスプロイトは、偽のブラウザ拡張機能を使用して、仮想ユーザーをだまし、資格情報またはキーを拡張機能に入力させ、サイバー犯罪者がデータにアクセスできるようにします。
これらの攻撃は通常、機密情報へのアクセス、盗み、および破壊を目的としています。グリーンの場合は、Bored Ape NFT です。
自分を守るために何ができますか?
Lubeck 氏によると、フィッシングから身を守る最善の方法は、見知らぬ人、会社、またはアカウントからのメール、SMS テキスト、Telegram、Discord、または WhatsApp メッセージに決して返信しないことです。 「私はそれ以上に行きます」とリューベックは付け加えました。 「ユーザーが通信を開始したのではない場合は、資格情報や個人情報を入力しないでください。」
Lubeck は、パブリックまたは共有の WiFi またはネットワークを使用する場合は、資格情報や個人情報を入力しないことをお勧めします。 さらに、リューベックは次のように述べています。 解読する 特定のオペレーティング システムや電話の種類を使用しているために、誤った安心感を抱くべきではありません。
「フィッシングや Web ページのなりすましなどの詐欺について話すとき、iPhone、Linux、Mac、iOS、Windows、または Chromebook のどれを使用しているかは関係ありません」と彼は言います。 「デバイスに名前を付けます。 問題はサイトであり、デバイスではありません。」
仮想通貨とNFTを安全に保つ
より「Web3」の行動計画を見てみましょう。
可能であれば、ハードウェアまたはエアギャップを使用してください 財布 デジタル資産を保存する。 これらのデバイスは、「コールド ストレージ」と呼ばれることもあり、使用する準備が整うまで暗号をインターネットから削除します。 のようなブラウザベースのウォレットを使用するのが一般的で便利ですが、 MetaMask、覚えておいてください、インターネットに接続されているものは何でもハッキングされる可能性があります.
モバイル、ブラウザー、またはデスクトップ ウォレット (ホット ウォレットとも呼ばれます) を使用している場合は、Google Play ストア、Apple の App Store、または検証済みの Web サイトなどの公式プラットフォームからダウンロードしてください。 テキストまたは電子メールで送信されたリンクからダウンロードしないでください。 悪意のあるアプリが公式ストアに侵入する可能性はありますが、リンクを使用するよりも安全です。
取引が完了したら、ウェブサイトからウォレットを切断します。
秘密鍵、シード フレーズ、およびパスワードは秘密にしておいてください。 投資や鋳造に参加するためにこの情報を共有するよう求められた場合、それは詐欺です。
理解しているプロジェクトにのみ投資してください。 スキームがどのように機能するかが不明な場合は、停止してさらに調査を行ってください。
プレッシャーのかかる戦術や厳しい締め切りは無視してください。 多くの場合、詐欺師はこれを使用して FOMO を呼び出し、潜在的な被害者に言われていることについて考えたり調査したりしないようにします。
最後になりましたが、うますぎるように聞こえる場合は、おそらく詐欺です。
暗号ニュースを常に把握し、受信トレイで毎日更新を入手してください。
ソース: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg