Na základě obav o bezpečnost komunity – autor: WhoTookMyCrypto.com


Rok 2017 byl pro kryptoměnový průmysl pozoruhodným rokem, protože jeho rychlý růst ceny přitáhl intenzivní pozornost médií. Není překvapením, že to vyvolalo obrovský zájem jak ze strany široké veřejnosti, tak kyberzločinců. Relativní anonymita kryptoměny z ní udělala oblíbenou pro ty, kteří ji používají k obcházení tradičních bankovních systémů a vyhýbají se finančnímu dohledu ze strany regulátorů.

Vzhledem k tomu, že lidé tráví většinu času používáním smartphonu než počítačem, není divu, že na něj kyberzločinci zaměřili svou pozornost. Další informace ukazují, jak se podvodníci zaměřují na chytré telefony uživatelů kryptoměn, a také několik kroků, které můžete podniknout, abyste se ochránili.


Falešné aplikace

Směnárny kryptoměn

Nejznámějším příkladem takového softwaru pro smartphone je mobilní aplikace pro přístup k účtu Poloniex. Před oficiální verzí spuštěnou v červenci 2018 již Google Play obsahovalo několik falešných aplikací, které byly záměrně navrženy tak, aby byly k nerozeznání od originálu. Mnoha uživatelům, kteří si stáhli a nainstalovali tyto programy, byly kompromitovány přihlašovací údaje k burze a byla jim ukradena kryptoměna. Některé aplikace šly dále a začaly žádat o účet Gmail. Je důležité poznamenat, že všechny účty obětí neměly dvoufaktorovou autentizaci (2FA).

Svou bezpečnost můžete zajistit následujícím způsobem:

  • Navštivte oficiální web burzy a ujistěte se, že skutečně mají mobilní aplikaci. Pokud ano, použijte odkaz uvedený na jejich stránkách;

  • Přečtěte si recenze a hodnocení. Falešné aplikace mají často spoustu špatných recenzí od obětí podvodů, takže je před instalací nezapomeňte zkontrolovat. Měli byste však být také skeptičtí k aplikacím, které mají pouze pozitivní hodnocení a komentáře. Každá legitimní aplikace má svůj podíl na negativních recenzích;

  • Zkontrolujte informace o vývojáři aplikace, společnosti, e-mailové adrese a webu. Musíte ověřit všechny poskytnuté informace a to, že aplikace je skutečně spojena s výměnou;

  • Zkontrolujte počet stažení, to je také třeba vzít v úvahu. Je nepravděpodobné, že oblíbená mobilní aplikace pro krypto burzy bude mít malý počet stažení;

  • Aktivujte si 2FA na svém účtu. I když to neochrání váš účet na 100 %, podvodníkům to značně ztíží přístup k němu a může jít o dlouhou cestu k ochraně vašich prostředků, i když se stanete obětí phishingového podvodu.


Krypto peněženky

Existuje mnoho různých falešných aplikací. Podstatou jednoho typu je získávání osobních údajů od uživatelů, jako jsou hesla k peněženkám a soukromé klíče.

V některých případech takové aplikace poskytují předem vygenerované veřejné adresy a předpokládají, že na ně uživatelé mohou vkládat peníze. Na druhou stranu však nezískají přístup k soukromým klíčům, a tudíž nevlastní prostředky, které poslali.

Takové falešné peněženky byly vytvořeny výhradně pro nejoblíbenější kryptoměny jako Ethereum, Neo a bohužel se toho stalo obětí mnoho uživatelů. 

Opatření, která je třeba přijmout, abyste se nestali obětí:

  • Výše uvedené operace s aplikacemi pro přístup k burze jsou stejně důležité. Při práci s peněženkami byste ale rozhodně měli počítat s tím, že při prvním spuštění musíte obdržet novou veřejnou adresu a soukromý klíč (nebo mnemotechnické fráze). Aplikace skutečné peněženky vám umožňuje exportovat soukromé klíče, ale měli byste také zajistit, aby generování nových párů klíčů nebylo ohroženo. Proto byste měli používat software s vynikající pověstí (nejlépe open source);

  • I když vám aplikace poskytne soukromý klíč (nebo mnemotechnické fráze), musíte se ujistit, že jej můžete použít pro přístup ke své peněžence. Například některé bitcoinové peněženky umožňují uživatelům importovat své soukromé klíče nebo fráze pro vizualizaci adres a přístup k finančním prostředkům. Chcete-li minimalizovat riziko kompromitace klíčů a frází, můžete to provést na počítači se vzduchovou mezerou (bez přístupu k internetu).


Cryptojacking

Cryptojacking je jasným favoritem mezi kybernetickými zločiny díky své nízké překážce vstupu a režijním nákladům. Navíc předpokládá dlouhodobé opakující se příjmy. Přestože mají ve srovnání s počítači nižší výpočetní výkon, mobilní zařízení se stále častěji stávají obětí tohoto útoku.

Kromě cryptojackingu pomocí webového prohlížeče vyvíjejí kyberzločinci také programy, které vypadají jako běžné herní, obslužné nebo vzdělávací aplikace. Mnohé z nich jsou však navrženy tak, aby tiše těžily kryptoměnu na pozadí.

Existují také aplikace, které inzerují jako legitimní těžbu pro vaše zařízení, ale ve skutečnosti jde odměna vývojáři, nikoli uživateli. Aby toho nebylo málo, kyberzločinci jsou stále sofistikovanější a vyvíjejí bezvýznamnější těžební algoritmy, aby se vyhnuli odhalení.

Cryptojacking je pro vaše mobilní zařízení neuvěřitelně nebezpečný, protože snižuje výkon a urychluje opotřebení procesoru a baterie. Ještě horší je, že kromě jiných virů může fungovat jako trojský kůň. 

Chcete-li se chránit, je třeba podniknout následující kroky: 

  • Stahujte aplikace pouze z oficiálních zdrojů, jako je Google Play. Pirátské programy nejsou předem zkontrolovány a s největší pravděpodobností obsahují skript pro kryptojacking;

  • Sledujte výkon svého telefonu v případě rychlého vybití baterie nebo přehřátí. Pokud je příčina identifikována, ukončete aplikace, které ji způsobují;

  • Aktualizujte své zařízení a aplikace, abyste opravili zranitelnosti v předchozích verzích firmwaru;

  • Použijte webový prohlížeč, který vás ochrání před cryptojackingem, nebo si nainstalujte speciální rozšíření jako: MinerBlock, NoCoin a Adblock;

  • Pokud je to možné, nainstalujte si do smartphonu antivirus a pravidelně jej aktualizujte.


Zdarma dárky a falešné těžební aplikace 

Některé z programů, které „těží kryptoměnu“ pro své uživatele, ve skutečnosti nedělají nic jiného, ​​než že zobrazují reklamy. Poskytují pobídky, aby aplikace zůstaly otevřené tím, že odrážejí rostoucí odměny v průběhu času. Některé programy nutí uživatele zanechat maximální hodnocení, aby získali odměnu. Nakonec žádná z těchto platforem netěžila a jejich uživatelé nedostanou své odměny.

Abyste se ochránili před takovými podvody, měli byste pochopit, že většina kryptoměn vyžaduje k těžbě vysoce specializovaný hardware (ASIC), což znamená, že není možné těžit na mobilním zařízení. Ať už tam dostanete jakékoli částky, nic neznamenají. Drž se dál od takových aplikací.


Klipr

Jedná se o programy, které změní zkopírovanou adresu a nahradí ji jinou. Přestože tedy oběť může zkopírovat správnou adresu příjemce pro zpracování transakce, je nahrazena adresou útočníka.

Abyste se nestali obětí takových aplikací, uvádíme některá z opatření, která byste měli vzít v úvahu při odesílání transakcí:

  • Adresu, kterou vkládáte do pole příjemce, vždy zdvojnásobte, nebo ještě lépe ztrojnásobte. Všechny transakce na blockchainu jsou nevratné, takže byste měli být vždy opatrní.

  • Nejlepší je zkontrolovat celou adresu, ne jen její části. Některé aplikace jsou tak chytré, že používají adresy, které jsou velmi podobné vaší adrese příjemce.


Výměna SIM karty

Při podvodech s výměnou SIM karet útočník získá přístup k telefonnímu číslu uživatele pomocí různých technik sociálního inženýrství, aby přiměl mobilní operátory k získání nové SIM karty. Nejznámějším případem takového podvodu byl podnikatel v oblasti kryptoměn Michael Turpin. Tvrdil, že AT&T byla nedbalá při manipulaci s jeho přihlašovacími údaji k mobilnímu telefonu, což způsobilo, že přišel o tokeny v hodnotě více než 20 milionů dolarů.

Jakmile má kyberzločinec přístup k vašemu číslu, může jej použít k obejití všech s ním spojených 2FA, poté získá přístup k vašim peněženkám a výměnným účtům.

Další metodou, kterou mohou kyberzločinci využít, je sledování vašich SMS zpráv. Nedostatky v telekomunikačních sítích umožňují útočníkům zachytit vaši komunikaci, která zahrnuje druhý faktor autentizace.

Na tomto útoku je znepokojivé především to, že uživatelé nejsou povinni provádět žádnou akci, jako je stahování falešného softwaru nebo kliknutí na infikovaný odkaz.

Opatření, která je třeba přijmout, aby se nestali obětí takových podvodů:

  • Pro SMS 2FA nepoužívejte své primární mobilní číslo. Místo toho používejte k ochraně svého účtu aplikace jako Google Authenticator nebo Authy. V tomto případě nebudou mít kyberzločinci přístup k informacím, i když budou mít vaše telefonní číslo. Kromě toho můžete použít hardware 2FA pomocí YubiKey nebo Google Titan;

  • Nesdílejte své identifikační údaje na sociálních sítích, jako je číslo svého mobilního telefonu. Tyto informace mohou být použity proti vám;

  • Neoznamujte na sociálních sítích, že máte kryptoměnu, protože to z vás okamžitě udělá cíl, pokud již v této pozici jste, vyhněte se zveřejňování dalších osobních údajů, jakož i burz a peněženek, které používáte;

  • Domluvte se s poskytovatelem mobilních telefonů na ochraně svého mobilního čísla. To může znamenat, že máte PIN kód nebo heslo, které značí, že změny ve vašem osobním účtu mohou provádět pouze ti, kdo je znají. Kromě toho můžete souhlasit s tím, že změny by měly probíhat výhradně ve vaší osobní přítomnosti.


WiFi

Kyberzločinci neustále hledají slabiny ve vašich mobilních zařízeních, zejména pokud se týkají kryptoměn. Jedním z těchto slabých míst je přístup k internetu pomocí WiFi. Veřejné internetové hotspoty nejsou zabezpečené a při jejich používání byste neměli zanedbávat opatření před připojením, jinak riskujete zpřístupnění dat vašeho zařízení. Veškeré úkony související se zajištěním vaší bezpečnosti jsme probrali v článku o veřejné WiFi.


Závěr

Mobilní telefony se staly nedílnou součástí našich životů a ve skutečnosti jsou natolik propojené s digitální identitou, že se mohou stát vaší slabou stránkou. Kyberzločinci to vědí a budou i nadále hledat způsoby, jak toho využít. Zabezpečení vašich mobilních zařízení již není volitelné, protože se stalo nutností, takže buďte vždy ve střehu a zůstaňte v bezpečí.