Příspěvek komunity – Autor: WhoTookMyCrypto.com


Rok 2017 byl pro kryptoměnový průmysl historický. Silné zhodnocení trhu znamenalo, že média začala věnovat prostoru mnohem více pozornosti. To přirozeně vyvolalo zájem široké veřejnosti, ale také kyberzločinců. Protože nabízejí určitou míru anonymity, kryptoměny se staly jednou z oblíbených alternativ mezi zločinci, kteří je často využívají k obcházení tradičních bankovních systémů a vyhýbají se finančnímu dohledu ze strany regulačních agentů.

Vzhledem k tomu, že lidé tráví více času na svých chytrých telefonech než na stolních počítačích, není žádným překvapením, že kyberzločinci obrátili svou pozornost i na mobilní zařízení. Následující diskuse zdůrazňuje, jak se podvodníci zaměřují na uživatele kryptoměn prostřednictvím svých chytrých telefonů, a také některá opatření, která mohou učinit, aby se ochránili před těmito útoky.


Podvodné aplikace pro kryptoměny

Podvodné výměnné aplikace

Případ Poloniex je pravděpodobně nejznámějším příkladem podvodné aplikace pro výměnu kryptoměn. Před oficiálním spuštěním své obchodní aplikace v červenci 2018 již Google Play uvedl několik falešných makléřských aplikací Poloniex, které byly záměrně navrženy tak, aby byly funkční. Některým uživatelům, kteří si stáhli tyto aplikace, byly jejich přihlašovací údaje Poloniex kompromitovány a jejich kryptoměny byly odcizeny. Některé aplikace šly ještě o krok dále a požadují přihlašovací údaje pro účty Gmail uživatelů. Je důležité zdůraznit, že byly ohroženy pouze účty bez dvoufaktorového ověření (2FA).

Následující kroky mohou pomoci chránit se před těmito typy podvodů.

  • Podívejte se na oficiální web brokera a ujistěte se, že nabízí mobilní aplikaci pro obchodování. Pokud ano, použijte odkaz uvedený na oficiálních stránkách.

  • Přečtěte si komentáře a hodnocení. Podvodné aplikace mají obvykle spoustu negativních recenzí od lidí, kteří si na podvody stěžují, proto si je před stažením aplikace ověřte. Měli byste se však mít na pozoru i u aplikací s perfektními recenzemi a hodnocením. Každá legitimní aplikace má určité procento negativních recenzí. 

  • Zkontrolujte informace o vývojáři aplikace. Ujistěte se, že je uveden legitimní název společnosti, e-mailová adresa a oficiální web.  Měli byste také provést online průzkum předložených informací, abyste se ujistili, že se skutečně týkají oficiálního makléře.

  • Zkontrolujte počet stažení. Tato informace by měla být také zvážena, velmi populární burza kryptoměn pravděpodobně nebude mít nízký počet stažení.

  • Povolit dvoufaktorové ověření (2FA). I když není 100% bezpečný, 2FA je mnohem složitější obejít a může znamenat velký rozdíl v ochraně vašich finančních prostředků, i když vaše přihlašovací údaje byly phishingem.


Aplikace falešných kryptoměnových peněženek

Existuje několik různých typů falešných aplikací. Jeden z těchto typů se snaží od uživatelů získat osobní informace, jako jsou hesla k jejich peněžence a soukromé klíče.

V některých případech falešné aplikace poskytují uživatelům předem vygenerované veřejné adresy. Aby pochopili, že finanční prostředky musí být uloženy na těchto adresách. Nezískají však přístup k soukromým klíčům, a tudíž nemají přístup k žádným prostředkům zaslaným na tyto adresy.

Tyto typy falešných peněženek byly vytvořeny pro oblíbené kryptoměny jako Ethereum a Neo a bohužel mnoho uživatelů o své coiny přišlo. Zde jsou některá opatření, která můžete učinit, abyste se nestali obětí:

  • Výše zdůrazněná opatření platí stejně pro segment makléřských aplikací. Dalším opatřením, které můžete při práci s aplikacemi peněženky učinit, je zajistit, aby byly nové adresy vygenerovány, jakmile aplikaci poprvé otevřete, a že budete mít soukromé klíče (nebo mnemotechnická jádra). Legitimní aplikace peněženky vám umožňuje exportovat soukromé klíče, ale je také důležité zajistit, aby generování nových párů klíčů nebylo ohroženo. Měli byste tedy používat aplikaci, která má dobrou pověst (nejlépe open source). 

  • I když vám aplikace poskytne soukromý klíč (nebo seed), musíte zkontrolovat, zda z něj lze generovat veřejné adresy a přistupovat k nim. Například některé bitcoinové peněženky umožňují uživatelům importovat své soukromé klíče nebo semena pro zobrazení adres a přístup ke svým prostředkům. Ve snaze minimalizovat riziko kompromitace klíčů nebo semen byste to měli udělat na počítači odpojeném od internetu.


Cryptojacking aplikace

Aktivita kryptojackingu byla mezi podvodníky oblíbená kvůli nízkým překážkám vstupu a malým nákladům. Kromě toho je tento typ podvodu zajímavý, protože nabízí podvodníkům možnost generovat opakující se a dlouhodobé příjmy. I přes nižší výpočetní výkon ve srovnání se stolními počítači se mobilní zařízení stávají neustálým cílem kryptojackingu.

Kromě kryptojackingu založeného na webovém prohlížeči podvodníci také vyvíjejí hry, nástroje a vzdělávací programy, které se zdají být legitimní. Mnoho z těchto programů je však vyvinuto k provádění skriptů (příkazů) pro tajnou těžbu kryptoměn. 

Existují také aplikace Cryptojacking, které jsou inzerovány jako oficiální těžaři, ale odměny jsou poskytovány vývojáři aplikace, nikoli uživatelům.

Aby toho nebylo málo, podvodníci jsou stále sofistikovanější a spouštějí velmi lehké těžební algoritmy, aby se vyhnuli odhalení.

Cryptojacking je extrémně škodlivý pro vaše mobilní zařízení, protože snižuje výkon a urychluje opotřebení vnitřních součástí. Ještě horší je, že může fungovat jako potenciální trojský kůň pro jiné, nebezpečnější infekce. 

Aby se zabránilo Cryptojackingu, lze provést následující kroky.

  • Stahujte pouze aplikace, které jsou dostupné v oficiálních obchodech, jako je Google Play. Pirátské aplikace nebyly předem zkontrolovány a je pravděpodobnější, že obsahují skripty pro kryptojacking.

  • Sledujte svůj mobilní telefon, abyste zjistili nadměrné vybíjení baterie nebo přehřívání. Po identifikaci zavřete aplikace, které problém způsobují.

  • Udržujte své zařízení a aplikace správně aktualizované, tímto způsobem budou často opravovány bezpečnostní chyby.

  • Použijte webový prohlížeč, který má ochranu proti Cryptojacking, nebo si nainstalujte renomované pluginy, jako je MinerBlock, NoCoin a Adblock.

  • Pokud je to možné, nainstalujte si antivirové programy a udržujte je aktualizované.


Falešné aplikace pro těžbu a sázky kryptoměn

Tyto aplikace předstírají, že těží kryptoměny pro své uživatele, ale ve skutečnosti nedělají nic jiného, ​​než že zobrazují reklamy. Vybízejí uživatele, aby udržovali aplikace otevřené tím, že v průběhu času slibují předpokládané odměny. Některé z nich dokonce vybízejí uživatele, aby v obchodě zanechali 5hvězdičkové recenze pomocí stejného typu slibu. Žádná z těchto aplikací samozřejmě netěží kryptoměny a jejich uživatelé nikdy nedostanou žádné odměny.

Abyste se ochránili před tímto typem podvodu, je nutné pochopit, že ve většině kryptoměn má těžba jako předpoklad vysoce specializovaný typ hardwaru, nazývaný ASIC, což znamená, že není možné těžit pomocí mobilního zařízení. Jakékoli množství, které se vám podaří vytěžit, bude přinejlepším nepatrné. Drž se dál od těchto aplikací.


Aplikace Clipper

Tyto aplikace mění adresy kryptoměn, které zkopírujete, a nahrazují je adresami útočníka. Zatímco tedy oběť zkopíruje správnou adresu, jakmile ji vloží, je nahrazena platnou adresou, která však patří útočníkovi.

Abyste se nestali obětí aplikací, jako je tato, zde jsou některá opatření, která můžete při zpracování transakcí přijmout.

  • Vždy alespoň dvakrát nebo třikrát zkontrolujte adresu, kterou zadáváte do pole příjemce. Transakce na blockchainu jsou nevratné, takže byste měli být vždy opatrní.

  • Je lepší zkontrolovat celou adresu než jen její části. Některé aplikace jsou dostatečně chytré na to, aby vložily podobné adresy do toho, co jste zamýšleli.


Výměna čipu

Při podvodu s výměnou SIM karty získá podvodník přístup k telefonnímu číslu uživatele. Dělají to pomocí technik sociálního inženýrství, aby přiměli mobilní operátory k vydání nové SIM karty. Dosud nejznámější podvod s výměnou čipů se týkal podnikatele v oblasti kryptoměn jménem Michael Terpin. Tvrdil, že operátor AT&T byl nedbalý při správě jeho telefonních přihlašovacích údajů, což vedlo ke ztrátě mincí, které měly hodnotu ekvivalentní 20 milionům amerických dolarů.

Jakmile podvodníci získají přístup k vašemu telefonnímu číslu, mohou jej použít k obejití potenciální ochrany 2FA, která se spoléhá na textové zprávy (SMS). Odtud mají přístup k vašim kryptoměnovým peněženkám a makléřským účtům.

Další metodou, kterou mohou podvodníci použít, je sledování vašich textových zpráv (SMS). Některé chyby v komunikačních sítích umožňují zločincům zachytit vaše zprávy, které mohou zahrnovat vaše ochranné heslo 2FA.

Co dělá tento útok obzvláště znepokojivým, je to, že uživatelé nejsou vyzváni k provádění žádných akcí, jako je stahování falešných programů nebo klikání na infikované odkazy.

Abyste se nestali další obětí takových podvodů, zde je několik kroků, které je třeba zvážit.

  • Nepoužívejte své telefonní číslo k přijímání hesel 2FA prostřednictvím SMS. Místo toho používejte k ochraně svých účtů aplikace jako Google Authenticator nebo Authy. Podvodníci nemohou získat přístup k těmto aplikacím, i když mají vaše telefonní číslo. Další alternativou je použití hardwaru 2FA, jako je YubiKey nebo bezpečnostní klíč Titan společnosti Google.

  • Neprozrazujte na sociálních sítích osobní údaje, jako je vaše telefonní číslo. Podvodníci mohou tyto informace použít k tomu, aby se za vás vydávali jinde, ať už na sociálních sítích nebo na fyzických místech. 

  • Nikdy byste neměli zveřejňovat na sociálních sítích, že vlastníte kryptoměny, to z vás udělá cíl. A v případě, že jste v pozici, kdy každý ví, že máte kryptoměny, vyhněte se zveřejňování osobních údajů, jako jsou peněženky a brokeři, které používáte.

  • Domluvte se s poskytovateli mobilních telefonů na bezpečnějším způsobu ochrany svého účtu. Dobrou možností je požádat o připojení hesla nebo PIN k vašemu účtu, aby jej mohli měnit pouze ti, kteří mají tento kód. Alternativně můžete požadovat, aby byly všechny změny provedeny osobně, a zakázat jakékoli změny po telefonu.


WiFi

Podvodníci neustále hledají zranitelná místa v mobilních zařízeních, zejména těch, kde vlastníci mají kryptoměny. Jednou z takových zranitelností je WiFi přístup k veřejné síti Wi-Fi je nejistý a uživatelé musí před navázáním připojení k němu přijmout určitá opatření. V opačném případě se vystavují riziku, že se k datům na jejich mobilních zařízeních dostanou podvodníci. Tato opatření byla popsána v článku o veřejné WiFi.


Závěrečné úvahy

Mobilní telefony se staly nezbytnou součástí našich životů. Ve skutečnosti jsou tak svázány s vaší digitální identitou, že se mohou stát vaší největší zranitelností. Zločinci to vědí a budou se i nadále snažit najít způsoby, jak tohoto problému využít. Ochrana vašich mobilních zařízení již není volitelná, ale nutnost. Zůstaňte v bezpečí.