Cybersäkerhet i Web3: Protecting Yourself (And Your Ape JPEG)

Även om Web3 evangelister har länge hyllat blockchains inhemska säkerhetsfunktioner, strömmen av pengar som flödar in i branschen gör det till en frestande möjlighet för hackare, bedragare och tjuvar.

När dåliga aktörer lyckas bryta mot Web3 cybersäkerhet beror det ofta på att användare förbiser de vanligaste hoten från mänsklig girighet, FOMO och okunskap, snarare än på grund av brister i tekniken.

Många bedrägerier lovar stora vinster, investeringar eller exklusiva förmåner; FTC kallar dessa möjligheter att tjäna pengar och investeringar bedrägerier.

Stora pengar i bedrägerier

Enligt en 2022 juni rapport av Federal Trade Commission har över 1 miljard dollar i kryptovaluta stulits sedan 2021. Och hackarnas jaktmarker är där människor samlas online.

"Nästan hälften av personerna som rapporterade att de förlorat krypto till en bluff sedan 2021 sa att det började med en annons, ett inlägg eller ett meddelande på en social medieplattform", sa FTC.

Även om bedrägliga come-ons låter för bra för att vara sant, kan potentiella offer avbryta misstro med tanke på den intensiva volatiliteten på kryptomarknaden; folk vill inte missa nästa stora grej.

Angripare som riktar sig mot NFT

Tillsammans med kryptovalutor, NFT, eller icke-fungibla tokens, har blivit en alltmer populär mål för bedragare; enligt cybersäkerhetsföretaget Web3 TRM Labs, under de två månaderna efter maj 2022 förlorade NFT-gemenskapen uppskattningsvis 22 miljoner dollar på bedrägerier och nätfiskeattacker.

”Blue-chip” samlingar som t.ex Bored Ape Yacht Club (BAYC) är ett särskilt uppskattat mål. I april 2022 var BAYC Instagram-kontot hackad av bedragare som avledde offer till en webbplats som tömde deras Ethereum-plånböcker på krypto och NFT. Cirka 91 NFT, med ett sammanlagt värde av över 2.8 miljoner dollar, stals. Månader senare, a Discord utnyttja såg NFT:er värda 200 ETH stulna från användare.

Högprofilerade BAYC-innehavare har också fallit offer för bedrägerier. Den 17 maj skådespelare och producent Seth Green twittrade att han var offer för ett nätfiskebedrägeri som resulterade i stöld av fyra NFT, inklusive Bored Ape #8398. Förutom att belysa hotet från nätfiskeattacker, kunde det ha spårat ur ett TV-/streamingprogram med NFT-tema planerat av Green, "White Horse Tavern." BAYC NFT inkluderar licensrättigheter att använda NFT för kommersiella ändamål, som i fallet med Uttråkad & Hungrig snabbmatsrestaurang i Long Beach, CA.

Under en Twitter Spaces-session den 9 juni, Grön sa att han hade återvunnit den stulna JPEG-filen efter att ha betalat 165 ETH (mer än $295,000 XNUMX vid den tiden) till en person som hade köpt NFT:n efter att den blev stulen.

"Nätfiske är fortfarande den första attackvektorn," Luis Lubeck, säkerhetsingenjör på cybersäkerhetsföretaget Web3, Halborn, Berättade Avkryptera.

Lubeck säger att användare bör vara medvetna om falska webbplatser som ber om plånboksuppgifter, klonade länkar och falska projekt.

Enligt Lubeck kan ett nätfiske-bedrägeri börja med social ingenjörskonst, som talar om för användaren om en tidig tokenlansering eller att de kommer att 100 gånger sina pengar, ett lågt API eller att deras konto har brutits och kräver en lösenordsbyte. Dessa meddelanden kommer vanligtvis med en begränsad tid att agera, vilket ytterligare driver en användares rädsla för att missa något, även känd som FOMO.

I Greens fall kom nätfiskeattacken via en klonad länk.

Klonfiske är en attack där en bedragare tar en webbplats, e-post eller till och med en enkel länk och skapar en nästan perfekt kopia som ser legitim ut. Green trodde att han präglade "GutterCat"-kloner med vad som visade sig vara en nätfiskewebbplats.

När Green kopplade sin plånbok till nätfiskewebbplatsen och undertecknade transaktionen för att skapa NFT, gav han hackarna tillgång till sina privata nycklar och i sin tur sina Bored Apes.

Typer av cyberattacker

Säkerhetsintrång kan drabba både företag och privatpersoner. Även om det inte är en fullständig lista, faller cyberattacker inriktade på Web3 vanligtvis i följande kategorier:

• ? Nätfiske: En av de äldsta men vanligaste formerna av cyberattack, nätfiskeattacker kommer vanligtvis i form av e-post och inkluderar att skicka bedräglig kommunikation som texter och meddelanden på sociala medier som verkar komma från en ansedd källa. Detta cyberbrottslighet kan också ta formen av en komprometterad eller skadligt kodad webbplats som kan tömma krypton eller NFT från en ansluten webbläsarbaserad plånbok när en kryptoplånbok är ansluten.
• ?‍☠️ malware: Förkortning för skadlig programvara, denna paraplyterm täcker alla program eller kod som är skadlig för system. Skadlig programvara kan komma in i ett system genom nätfiske-e-post, sms och meddelanden.
• ? Webbplatser som äventyras: Dessa legitima webbplatser kapas av kriminella och används för att lagra skadlig programvara som intet ont anande användare laddar ner när de klickar på en länk, bild eller fil.
• ? URL-spoofing: Ta bort länken till komprometterade webbplatser; falska webbplatser är skadliga webbplatser som är kloner av legitima webbplatser. Även känd som URL-nätfiske, kan dessa webbplatser samla in användarnamn, lösenord, kreditkort, kryptovaluta och annan personlig information.
• ? Falska webbläsartillägg: Som namnet antyder använder dessa utnyttjande falska webbläsartillägg för att lura kryptoanvändare att ange sina autentiseringsuppgifter eller nycklar i ett tillägg som ger cyberkriminella tillgång till data.

Dessa attacker syftar vanligtvis till att komma åt, stjäla och förstöra känslig information eller, i Greens fall, en Bored Ape NFT.

Vad kan du göra för att skydda dig själv?

Lubeck säger att det bästa sättet att skydda dig mot nätfiske är att aldrig svara på ett e-postmeddelande, SMS, Telegram, Discord eller WhatsApp-meddelande från en okänd person, företag eller konto. "Jag kommer att gå längre än så," tillade Lubeck. "Ange aldrig inloggningsuppgifter eller personlig information om användaren inte startade kommunikationen."

Lubeck rekommenderar att du inte anger dina referenser eller personlig information när du använder offentligt eller delat WiFi eller nätverk. Dessutom berättar Lubeck Avkryptera att människor inte ska ha en falsk känsla av säkerhet eftersom de använder ett visst operativsystem eller telefontyp.

"När vi pratar om den här typen av bedrägerier: nätfiske, efterliknande av webbsidor, spelar det ingen roll om du använder en iPhone, Linux, Mac, iOS, Windows eller Chromebook", säger han. "Namnge enheten; problemet är platsen, inte din enhet."

Håll din krypto och NFT säkert

Låt oss titta på en mer "Web3" handlingsplan.

Om möjligt, använd hårdvara eller luftgap plånböcker att lagra digitala tillgångar. Dessa enheter, som ibland beskrivs som "kall lagring", tar bort din krypto från internet tills du är redo att använda den. Även om det är vanligt och bekvämt att använda webbläsarbaserade plånböcker som MetaMask, kom ihåg att allt som är anslutet till internet har potential att hackas.

Om du använder en mobil-, webbläsar- eller skrivbordsplånbok, även känd som en hot wallet, ladda ner dem från officiella plattformar som Google Play Store, Apples App Store eller verifierade webbplatser. Ladda aldrig ner från länkar som skickas via sms eller e-post. Även om skadliga appar kan hitta in i officiella butiker är det säkrare än att använda länkar.

När du har slutfört din transaktion kopplar du bort plånboken från webbplatsen.

Se till att hålla dina privata nycklar, fröfraser och lösenord privata. Om du blir ombedd att dela denna information för att delta i en investering eller myntning är det en bluff.

Investera bara i projekt du förstår. Om det är oklart hur systemet fungerar, sluta och gör mer forskning.

Ignorera högtryckstaktik och snäva deadlines. Ofta kommer bedragare att använda detta för att försöka åberopa FOMO och få potentiella offer att inte tänka på eller forska i vad de får höra.

Sist men inte minst, om det låter för bra för att vara sant är det förmodligen en bluff.