Komunitní příspěvek – Autor: WhoTookMyCrypto.com

Rok 2017 byl pro odvětví kryptoměn pozoruhodným rokem, protože jejich rychlý nárůst valuací je vynesl do mainstreamových médií. Není překvapením, že to vyvolalo obrovský zájem jak ze strany široké veřejnosti, tak i kyberzločinců. Relativní anonymita, kterou kryptoměny nabízejí, je učinila oblíbenými mezi zločinci, kteří je často používají k obcházení tradičních bankovních systémů a vyhýbají se finančnímu dohledu ze strany regulátorů.

Vzhledem k tomu, že lidé tráví více času na svých chytrých telefonech než na počítačích, není divu, že na ně obrátili svou pozornost i kyberzločinci. Následující diskuse zdůrazňuje, jak se podvodníci zaměřují na uživatele kryptoměn prostřednictvím svých mobilních zařízení, spolu s několika kroky, které mohou uživatelé podniknout, aby se ochránili.


Falešné aplikace pro kryptoměny

Falešné aplikace pro výměnu kryptoměn

Nejznámějším příkladem falešné aplikace pro výměnu kryptoměn je pravděpodobně aplikace Poloniex. Před spuštěním jejich oficiální mobilní obchodní aplikace v červenci 2018 Google Play uvádělo několik falešných výměnných aplikací Poloniex, které byly záměrně navrženy tak, aby byly funkční. Mnoha uživatelům, kteří si stáhli tyto podvodné aplikace, byly prozrazeny jejich přihlašovací údaje Poloniex a jejich kryptoměny byly ukradeny. Některé aplikace dokonce šly o krok dále a požadovaly přihlašovací údaje uživatelů účtů Gmail. Je důležité zdůraznit, že byly ohroženy pouze účty bez dvoufaktorové autentizace (2FA).

Následující kroky vám mohou pomoci chránit se před takovými podvody.

  • Podívejte se na oficiální web burzy a ověřte, zda skutečně nabízejí mobilní obchodní aplikaci. Pokud ano, použijte odkaz uvedený na jejich webových stránkách.

  • Přečtěte si recenze a hodnocení. Podvodné aplikace mají často mnoho špatných recenzí s lidmi, kteří si stěžují na podvod, takže si je před stažením zkontrolujte. Měli byste však být také skeptičtí k aplikacím, které prezentují perfektní hodnocení a komentáře. Každá legitimní aplikace má svůj spravedlivý podíl na negativních recenzích.

  • Zkontrolujte informace o vývojáři aplikace. Podívejte se, zda je poskytnuta legitimní společnost, e-mailová adresa a webové stránky. Měli byste také provést online vyhledávání poskytnutých informací, abyste zjistili, zda skutečně souvisejí s oficiální výměnou.

  • Zkontrolujte počet stažení. Je třeba vzít v úvahu také počet stažení. Je nepravděpodobné, že by velmi populární burza kryptoměn měla malý počet stažení.

  • Aktivujte si 2FA na svých účtech. Ačkoli to není 100% bezpečné, je mnohem těžší obejít 2FA a může znamenat obrovský rozdíl v ochraně vašich prostředků, i když jsou vaše přihlašovací údaje phishing.


Aplikace falešných kryptoměnových peněženek

Existuje mnoho různých typů falešných aplikací. Jedna varianta se snaží získat od uživatelů osobní informace, jako jsou jejich hesla k peněžence a soukromé klíče.

V některých případech falešné aplikace poskytují uživatelům dříve vygenerované veřejné adresy. Předpokládají tedy, že finanční prostředky mají být uloženy na tyto adresy. Nezískají však přístup k soukromým klíčům, a tak nemají přístup k žádným prostředkům, které jim jsou zasílány.

Takové falešné peněženky byly vytvořeny pro populární kryptoměny, jako je Ethereum a Neo a bohužel mnoho uživatelů přišlo o své prostředky. Zde je několik preventivních kroků, které lze podniknout, abyste se nestali obětí:

  • Opatření zvýrazněná v segmentu aplikací pro výměnu výše platí stejně. Dalším opatřením, které můžete při práci s aplikacemi peněženky učinit, je zajistit, aby byly při prvním otevření aplikace vygenerovány zcela nové adresy a že vlastníte soukromé klíče (nebo mnemotechnická jádra). Legitimní aplikace peněženky vám umožňuje exportovat soukromé klíče, ale je také důležité zajistit, aby generování nových párů klíčů nebylo ohroženo. Měli byste tedy používat renomovaný software (nejlépe open source).

  • I když vám aplikace poskytne soukromý klíč (nebo seed), měli byste ověřit, zda z nich lze odvodit veřejné adresy a získat k nim přístup. Například některé bitcoinové peněženky umožňují uživatelům importovat své soukromé klíče nebo semena pro vizualizaci adres a přístup k finančním prostředkům. Chcete-li minimalizovat rizika kompromitace klíčů a semen, můžete to provést na počítači se vzduchovou mezerou (odpojeném od internetu).


Cryptojacking aplikace

Cryptojacking je mezi kyberzločinci velkým favoritem kvůli nízkým překážkám vstupu a nízkým požadovaným režijním nákladům. Navíc jim nabízí potenciál pro dlouhodobý opakující se příjem. Navzdory jejich nižšímu výpočetnímu výkonu ve srovnání s PC se mobilní zařízení stále častěji stávají cílem kryptojackingu.

Kromě cryptojackingu ve webovém prohlížeči vyvíjejí kyberzločinci také programy, které se zdají být legitimními herními, obslužnými nebo vzdělávacími aplikacemi. Mnohé z těchto aplikací jsou však navrženy tak, aby tajně spouštěly skripty pro těžbu kryptoměn na pozadí.

Existují také aplikace pro kryptojacking, které jsou inzerovány jako legitimní těžaři třetích stran, ale odměny jsou doručovány vývojáři aplikace namísto uživatelům.

Aby toho nebylo málo, kyberzločinci jsou stále sofistikovanější a nasazují lehké těžební algoritmy, aby se vyhnuli odhalení.

Cryptojacking je neuvěřitelně škodlivý pro vaše mobilní zařízení, protože snižují výkon a urychlují opotřebení. Ještě horší je, že by se potenciálně mohly chovat jako trojské koně pro zákeřnější malware.

K ochraně proti nim lze podniknout následující kroky.

  • Stahujte aplikace pouze z oficiálních obchodů, jako je Google Play. Pirátské aplikace nejsou předem prohledány a je pravděpodobnější, že obsahují skripty pro kryptojacking.

  • Sledujte, zda se v telefonu příliš nevybíjí nebo nepřehřívá. Po zjištění ukončete aplikace, které to způsobují.

  • Udržujte své zařízení a aplikace aktualizované, aby byla opravena bezpečnostní zranitelnost.

  • Použijte webový prohlížeč, který chrání před cryptojackingem, nebo si nainstalujte renomované zásuvné moduly prohlížeče, jako jsou MinerBlock, NoCoin a Adblock.

  • Pokud je to možné, nainstalujte si mobilní antivirový software a udržujte jej aktualizovaný.


Zdarma dárky a falešné aplikace pro těžbu kryptoměn

Jedná se o aplikace, které předstírají, že těží kryptoměny pro své uživatele, ale ve skutečnosti nedělají nic kromě zobrazování reklam. Motivují uživatele, aby nechali aplikace otevřené tím, že odrážejí nárůst odměn uživatelů v průběhu času. Některé aplikace dokonce motivují uživatele, aby zanechávali 5hvězdičkové hodnocení, aby získali odměny. Žádná z těchto aplikací samozřejmě ve skutečnosti netěžila a jejich uživatelé nikdy nezískali žádné odměny.

Chcete-li se chránit před tímto podvodem, uvědomte si, že pro většinu kryptoměn vyžaduje těžba vysoce specializovaný hardware (ASIC), což znamená, že není možné těžit na mobilním zařízení. Ať už těžíte jakékoli částky, bude to přinejlepším triviální. Drž se dál od takových aplikací.


Aplikace Clipper

Takové aplikace mění adresy kryptoměn, které zkopírujete, a nahrazují je adresami útočníka. I když tedy oběť může zkopírovat správnou adresu příjemce, ta, kterou vloží za účelem zpracování transakce, je nahrazena adresou útočníka.

Abyste se nestali obětí takových aplikací, zde jsou některá opatření, která můžete při zpracování transakcí přijmout.

  • Vždy dvakrát a třikrát zkontrolujte adresu, kterou vkládáte do pole příjemce. Blockchainové transakce jsou nevratné, takže byste měli být vždy opatrní.

  • Nejlepší je ověřit celou adresu místo jen jejích částí. Některé aplikace jsou dostatečně inteligentní na to, aby vložily adresy, které vypadají podobně jako vaše zamýšlená adresa.


Výměna SIM

Při podvodu s výměnou SIM karty získá kyberzločinec přístup k telefonnímu číslu uživatele. Dělají to tak, že využívají techniky sociálního inženýrství, aby oklamali mobilní operátory, aby jim vydali novou SIM kartu. Nejznámější podvod s výměnou SIM karet se týkal podnikatele v oblasti kryptoměn Michaela Terpina. Tvrdil, že AT&T byla nedbalá při manipulaci s jeho přihlašovacími údaji k mobilnímu telefonu, což mělo za následek ztrátu tokenů v hodnotě více než 20 milionů amerických dolarů.

Jakmile kyberzločinci získají přístup k vašemu telefonnímu číslu, mohou jej použít k obejití jakékoli 2FA, která na to spoléhá. Odtud se mohou propracovat do vašich kryptoměnových peněženek a směnáren.

Další metodou, kterou mohou kyberzločinci využít, je sledování vaší SMS komunikace. Nedostatky v komunikačních sítích mohou umožnit zločincům zachytit vaše zprávy, které mohou zahrnovat druhý faktor PIN, který vám byl zaslán.

Tento útok je obzvláště znepokojující, že uživatelé nejsou povinni provádět žádnou akci, jako je stahování falešného softwaru nebo kliknutí na škodlivý odkaz.

Chcete-li zabránit tomu, abyste se stali obětí takových podvodů, je třeba zvážit několik kroků.

  • Pro SMS 2FA nepoužívejte číslo svého mobilního telefonu. Místo toho použijte k zabezpečení svých účtů aplikace jako Google Authenticator nebo Authy. Kyberzločinci nemohou získat přístup k těmto aplikacím, i když vlastní vaše telefonní číslo. Případně můžete použít hardwarové 2FA, jako je YubiKey nebo bezpečnostní klíč Titan společnosti Google.

  • Neuvádějte na sociálních sítích osobní identifikační údaje, jako je číslo vašeho mobilního telefonu. Kyberzločinci mohou takové informace získat a použít je k tomu, aby se za vás vydávali jinde.

  • Nikdy byste na sociálních sítích neměli oznamovat, že vlastníte kryptoměny, protože by se z vás stal cíl. Nebo pokud jste v pozici, kdy už každý ví, že je vlastníte, vyhněte se zveřejňování osobních údajů, včetně burz nebo peněženek, které používáte.

  • Domluvte se s poskytovateli mobilních telefonů na ochraně svého účtu. To by mohlo znamenat připojení kódu PIN nebo hesla k vašemu účtu a diktování, že změny v účtu mohou provádět pouze uživatelé, kteří tento kód znají. Případně můžete požadovat, aby byly takové změny provedeny osobně, a zakázat je po telefonu.


WiFi

Kyberzločinci neustále hledají vstupní body do mobilních zařízení, zejména do zařízení uživatelů kryptoměn. Jedním z takových vstupních bodů je přístup k WiFi. Veřejná Wi-Fi je nezabezpečená a uživatelé by měli před připojením k nim přijmout opatření. Pokud ne, riskují, že kyberzločinci získají přístup k datům na jejich mobilních zařízeních. Tato opatření byla popsána v článku o veřejné WiFi.


Závěrečné myšlenky

Mobilní telefony se staly nezbytnou součástí našich životů. Ve skutečnosti jsou tak propojené s vaší digitální identitou, že se mohou stát vaší největší zranitelností. Kyberzločinci jsou si toho vědomi a budou i nadále hledat způsoby, jak toho využít. Zabezpečení vašich mobilních zařízení již není volitelné. Stala se nutností. Zůstat v bezpečí.