Příspěvek komunity – Autor: WhoTookMyCrypto.com


Rok 2017 byl pro sektor kryptoměn pozoruhodným rokem, protože jejich rychlý nárůst ocenění je vyhnal do mainstreamových médií. Není překvapením, že si tím získali obrovský a rostoucí zájem jak ze strany široké veřejnosti, tak kyberzločinců. Relativní anonymita, kterou kryptoměny nabízejí, je činí oblíbenými mezi zločinci, kteří je často využívají k obcházení tradičních bankovních systémů a vyhýbají se finančnímu dohledu ze strany regulátorů.

Vzhledem k tomu, že lidé tráví více času na svých chytrých telefonech než na stolních počítačích, není překvapením, že se kyberzločinci obrátili i na tato zařízení. Následující článek popisuje, jak se podvodníci zaměřují na uživatele kryptoměn prostřednictvím svých mobilních zařízení, a také některé kroky, které mohou uživatelé podniknout, aby se ochránili.


Falešné aplikace pro kryptoměny

Falešné aplikace platformy pro výměnu kryptoměn

Asi nejznámějším příkladem falešných kryptoměnových směnáren je Poloniex. Před spuštěním jejich oficiální mobilní obchodní aplikace v červenci 2018 již Google Play uvedl několik falešných aplikací obchodní platformy Poloniex, které byly záměrně navrženy tak, aby byly funkční. Mnoho uživatelů, kteří si stáhli tyto podvodné aplikace, vidělo, že jejich přihlašovací údaje Poloniex byly kompromitovány a jejich kryptoměny byly odcizeny. Některé aplikace šly ještě dále a žádají o přihlašovací údaje pro účty Gmail uživatelů. Je důležité poznamenat, že byly ohroženy pouze účty bez dvoufaktorové autentizace (2FA).

Následující kroky vám mohou pomoci chránit se před takovými podvody.

  • Na oficiálních stránkách burzy zkontrolujte, zda skutečně nabízí mobilní obchodní aplikaci. Pokud ano, použijte odkaz uvedený na jejich webových stránkách.

  • Přečtěte si recenze a hodnocení. Podvodné aplikace mají často spoustu špatných recenzí s lidmi, kteří si stěžují na podvod, takže si před stažením aplikace zkontrolujte tyto recenze a hodnocení. Měli byste však zůstat skeptičtí i k aplikacím s perfektními recenzemi a hodnocením. Každá legitimní aplikace má svůj spravedlivý podíl na negativních recenzích.

  • Zkontrolujte informace o vývojáři aplikace. Podívejte se, zda je poskytnuta legitimní firma, e-mailová adresa a webové stránky. Je také vhodné vyhledat informace poskytnuté online, abyste zjistili, zda skutečně souvisí s oficiální výměnnou platformou.

  • Zkontrolujte počet stažení. Je třeba také vzít v úvahu počet stažení. Je nepravděpodobné, že by velmi oblíbená burza kryptoměn produkovala malý počet stažení.

  • Aktivujte si 2FA na svých účtech. Ačkoli to není 100% bezpečné, 2FA je mnohem těžší obejít a může znamenat obrovský rozdíl v ochraně vašich finančních prostředků, i když jsou vaše přihlašovací údaje kompromitovány (viz článek o phishingu).


Aplikace falešných kryptoměnových peněženek

Existuje mnoho typů falešných aplikací. Varianta se snaží od uživatelů získat osobní informace, jako jsou hesla k peněžence a soukromé klíče.

V některých případech falešné aplikace poskytují uživatelům předem vygenerované veřejné adresy. Tito uživatelé tedy předpokládají, že prostředky jsou uloženy na tyto adresy, až na to, že nakonec nemají přístup k soukromým klíčům, a tudíž nemají přístup k uloženým prostředkům.

Příklady těchto falešných peněženek byly vytvořeny pro populární kryptoměny, jako je Ethereum a Neo, a bohužel mnoho uživatelů přišlo o své prostředky. Zde jsou některá preventivní opatření, která je třeba přijmout, abyste se nestali obětí těchto praktik:

  • Platí také opatření zvýrazněná výše v odstavci týkající se falešných výměnných aplikací. Dalším opatřením, které můžete při používání aplikací peněženky učinit, je zajistit, aby se při prvním otevření aplikace vygenerovaly nové adresy a že máte soukromé klíče (nebo mnemotechnické pomůcky) . Legitimní aplikace peněženky vám umožňuje exportovat soukromé klíče, ale je také důležité zajistit, aby generování nových párů klíčů nebylo ohroženo. Je proto vhodné používat renomovaný software (nejlépe open source).

  • I když vám aplikace poskytne soukromý klíč (nebo mnemotechnickou frázi), měli byste ověřit, že veřejné adresy lze odvodit a jsou z nich přístupné. Například některé bitcoinové peněženky umožňují uživatelům importovat jejich soukromé klíče nebo mnemotechnické pomůcky za účelem zobrazení adres a přístupu k prostředkům. Chcete-li minimalizovat riziko kompromitace klíče a fráze, můžete to provést na izolovaném počítači (odpojeném od internetu).


Stealth aplikace pro těžbu kryptoměn (cryptojacking)

Stealth crypto mining (cryptojacking) je jedním z oblíbených způsobů, jak to udělat pro kyberzločince kvůli několika překážkám přítomným v jeho implementaci a nízkým režijním nákladům. Navíc jim nabízí potenciál pro dlouhodobé opakující se příjmy. Navzdory nízkému výpočetnímu výkonu ve srovnání s PC jsou mobilní zařízení stále častěji cílem tajné těžby kryptoměn.

Kromě kryptohackování webových prohlížečů vyvíjejí kyberzločinci také programy, které se zdají být legitimní, herní, veřejně prospěšné nebo vzdělávací aplikace. Mnohé z těchto aplikací jsou však navrženy tak, aby tajně spouštěly skripty pro těžbu kryptoměn na pozadí.

Existují také aplikace pro hackování kryptoměn inzerované jako legitimní těžaři třetích stran, ale odměny jsou poskytovány spíše vývojáři aplikace než uživatelům.

Aby toho nebylo málo, kyberzločinci jsou stále sofistikovanější a nasazují lehké těžební algoritmy, aby se vyhnuli odhalení.

Stealth crypto mining (cryptojacking) je extrémně škodlivý pro vaše mobilní zařízení, protože snižuje výkon a urychluje opotřebení. Ještě horší je, že by se mohly chovat jako trojské koně pro škodlivější malware.

K vaší ochraně lze přijmout následující opatření:

  • Stahujte aplikace pouze z oficiálních obchodů, jako je Google Play. Napadené aplikace neprocházejí předběžným testováním a je pravděpodobnější, že obsahují tajné skripty pro těžbu kryptoměn.

  • Sledujte svůj telefon, abyste se ujistili, že se baterie nevybije nebo nepřehřeje. Jakmile jsou tyto jevy zjištěny, zavřete aplikace, které je způsobují.

  • Udržujte své zařízení a aplikace aktualizované, abyste opravili chyby zabezpečení.

  • Použijte webový prohlížeč, který chrání před tajnou těžbou kryptoměn, nebo si nainstalujte renomované pluginy prohlížeče, jako jsou MinerBlock, NoCoin a Adblock).

  • Pokud je to možné, nainstalujte si mobilní antivirový software a udržujte jej aktuální.


Bezplatné dárky a falešné aplikace pro těžbu kryptoměn

Jde o aplikace, které tvrdí, že těží kryptoměny pro své uživatele, ale ve skutečnosti nedělají nic jiného, ​​než že zobrazují reklamy. Vybízejí uživatele k tomu, aby nechali aplikace otevřené, tím, že jim slibují zvýšení odměn v průběhu času. Některé aplikace dokonce vyzývají uživatele, aby zanechali 5hvězdičkovou recenzi, aby získali odměny. Žádná z těchto aplikací samozřejmě ve skutečnosti netěžila a jejich uživatelé nikdy nezískali žádné odměny.

Abyste se před tímto podvodem ochránili, uvědomte si, že u většiny kryptoměn vyžaduje těžba vysoce specializovaný hardware (ASIC), což znamená, že není možné těžit na mobilním zařízení. Jakékoli množství vytěžíte by bylo přinejlepším triviální. Drž se dál od takových aplikací.


Ořezové aplikace

Tyto aplikace upravují adresy kryptoměn, které zkopírujete, a nahrazují je adresami útočníka. Takže zatímco oběť chce zkopírovat správnou adresu příjemce, ta, kterou vloží pro zpracování transakce, je nahrazena adresou útočníka.

Abyste se nestali obětí těchto aplikací, zde jsou některá opatření, která je třeba dodržovat při zpracování transakcí:

  • Vždy dvakrát nebo třikrát zkontrolujte adresu, kterou vložíte do pole příjemce. Transakce na blockchainu jsou nevratné, takže byste na to měli být vždy opatrní.

  • Je lepší zkontrolovat celou adresu místo jen její části. Některé aplikace jsou dostatečně chytré na to, aby vložily adresy, které vypadají jako požadovaná adresa.


Výměna SIM karty

Při podvodu s výměnou SIM karty získá kyberzločinec přístup k telefonnímu číslu uživatele. K tomu využívají techniky sociálního inženýrství, aby oklamali mobilní operátory, aby jim vydali novou SIM kartu. Nejznámější podvod s výměnou SIM karet se týkal podnikatele v oblasti kryptoměn Michaela Terpina. Tvrdil, že AT&T byla nedbalá při používání jeho přihlašovacích údajů k mobilnímu telefonu, což způsobilo, že přišel o tokeny v hodnotě více než 20 milionů dolarů.

Jakmile kyberzločinci získají přístup k vašemu telefonnímu číslu, mohou jej použít k obejití jakéhokoli A2F, který na něj spoléhá. Odtud mohou přistupovat k vašim kryptoměnovým peněženkám a směnárnám.

Další metodou, kterou mohou kyberzločinci využít, je sledování vaší SMS komunikace. Chyby v komunikačních sítích mohou zločincům umožnit zachytit vaše zprávy, které mohou zahrnovat identifikační kód druhého faktoru 2FA, který byste měli obdržet, když se přihlásíte.

Tento útok je obzvláště znepokojující, že se mu uživatelé mohou stát obětí bez jakéhokoli zavinění (na rozdíl od jiných typů podvodů, kdy je uživatel oklamán stažením falešného softwaru nebo kliknutím na škodlivý odkaz).

Abyste se nestali obětí těchto podvodů, je třeba zvážit několik kroků:

  • Nepoužívejte číslo svého mobilního telefonu pro 2FA prostřednictvím SMS. Místo toho použijte k zabezpečení svých účtů aplikace jako Google Authenticator nebo Authy. Kyberzločinci nemají přístup k těmto aplikacím, i když mají vaše telefonní číslo. Můžete také použít zařízení 2FA, jako je YubiKey nebo bezpečnostní klíč Google Titan.

  • Neuvádějte na sociálních sítích osobní identifikační údaje, jako je číslo vašeho mobilního telefonu. Kyberzločinci mohou tyto informace shromažďovat a používat je k odcizení vaší identity jinde.

  • Nikdy byste na sociálních sítích neměli inzerovat, že vlastníte kryptoměny, to z vás udělá cíl. Nebo pokud jste v situaci, kdy už každý ví, že jej vlastníte, vyhněte se zveřejňování osobních údajů, včetně toho, jaké burzy nebo peněženky používáte.

  • Domluvte se se svými poskytovateli mobilních telefonů na ochraně vašeho účtu. To může znamenat přiřazení kódu PIN nebo hesla k vašemu účtu a označení, že změny v účtu mohou provádět pouze uživatelé, kteří tento kód PIN znají. Můžete také požadovat, aby byly tyto změny provedeny osobně a odmítnout je po telefonu.


Wi-Fi

Kyberzločinci neustále hledají vstupní body do mobilních zařízení, zejména těch uživatelů kryptoměn. Ukázkovým příkladem je Wi-Fi přístup k veřejné síti Wi-Fi není bezpečný a uživatelé by měli před připojením k němu přijmout opatření. V opačném případě riskují, že kyberzločincům umožní přístup k datům uloženým na jejich mobilních zařízeních. Tato opatření byla popsána v článku o veřejné Wi-Fi.


Závěr

Mobilní telefony se staly nezbytnou součástí našich životů. Ve skutečnosti jsou tak úzce spojeny s vaší digitální identitou, že se mohou stát naší největší zranitelností. Kyberzločinci jsou si této slabosti vědomi a budou i nadále hledat způsoby, jak ji využít. Zabezpečení mobilních zařízení již není možné. Stala se nutností. Zůstaňte v bezpečí.