コミュニティ ユーザーの提出 - 著者: WhoTookMyCrypto.com
2017 年は仮想通貨業界にとって記念すべき年であり、業界価値の急速な成長により主流メディアが取り上げられるようになりました。当然のことながら、これは一般の人々やサイバー犯罪者からの大きな関心を引き起こしました。暗号通貨が提供する相対的な匿名性により、暗号通貨は犯罪者にとってお気に入りのツールとなっており、犯罪者は暗号通貨を使用して従来の銀行システムの監視を回避し、規制当局による金融監視を回避しています。
ユーザーは現在、デスクトップよりもスマートフォンに多くの時間を費やしており、サイバー犯罪者はこれに注目しています。次のコンテンツでは、詐欺師がどのようにモバイル デバイスを介して暗号通貨ユーザーをターゲットにしているのか、またユーザーが自分自身をさらに守るために何をすべきかについて焦点を当てて説明します。
偽の仮想通貨アプリ
偽の仮想通貨交換アプリ
おそらく、偽の仮想通貨交換アプリの最もよく知られた例は Poloniex でしょう。 2018 年 7 月に Poloniex の公式モバイル取引アプリがリリースされる前に、特に詐欺を実行するように設計された偽の Poloniex 取引所アプリが Google Play 上にいくつか存在していました。これらの偽アプリをダウンロードした多くのユーザーは、Poloniex のログイン認証情報が侵害され、暗号通貨が盗まれました。さらに、これらのアプリはユーザーにログイン資格情報として Gmail アカウントを提供するよう求めます。 2 要素認証 (2FA) が設定されていないアカウントのみが影響を受けることを強調することが重要です。
次の手順を設定することで、この種の詐欺から身を守ることができます。
取引所の公式ウェブサイトをチェックして、実際にモバイル取引アプリを提供しているかどうかを確認してください。本当の場合は、Web サイトに提供されている安全なリンクを使用してください。
ソフトウェアのレビューと評価を読んでください。偽のアプリには悪いレビューが多く、詐欺行為が報告されていることが多いため、ダウンロードする前に必ず確認してください。ただし、ユーザー評価やレビューがすべて合格しているアプリにも懐疑的である必要があります。なぜなら、通常のアプリには満足できない否定的なレビューがいくつかあるからです。
アプリの開発者情報を確認してください。正規の会社、電子メール アドレス、Web サイトが提供されているかどうかを確認してください。また、提供された情報をオンラインで検索して、公式の取引所に関連しているかどうかを確認する必要があります。
ダウンロード数を確認してください。ここではダウンロード数も考慮する必要があります。なぜなら、主流の暗号通貨取引所がダウンロード数が少ないということはあり得ないからです。
アカウントで 2FA 設定を有効にします。 100% 安全ではありませんが、2FA を設定すると、ログイン資格情報が盗まれた場合の保護が強化され、2FA を使用しないアカウントと比べて大きな違いが生じます。
偽の仮想通貨ウォレットアプリ
偽のウォレットのようなアプリケーションにはさまざまな種類があります。 1 つのフォームは、ウォレットのパスワードや秘密キーなどのユーザーの個人情報を取得することを目的としています。
場合によっては、偽のアプリケーションは、以前に生成された公開鍵アドレスをユーザーに提供します。したがって、ユーザーはこれらのアドレスに資金を入金します。ただし、ユーザーは秘密キーにアクセスできないため、パブリック アドレスに預けた資金にアクセスできません。
このような偽のウォレットは通常、イーサリアムやネオなどの主流の暗号通貨用に作成されており、残念ながら多くのユーザーがこれにより資産を失っています。次の対策は、被害者にならないようにするのに役立ちます。
交換申請に関して上記で挙げた考慮事項も当てはまります。ただし、ウォレット アプリケーションを扱う場合は、追加の予防策がいくつかあります。最初にアプリケーションを開いたときに新しいアドレスが生成され、秘密キー (またはニーモニック シード) にアクセスできることを確認してください。正規のウォレット アプリケーションを使用すると、秘密キーをエクスポートできます。新しく生成されたキー ペアが危険にさらされていないことを確認することが重要です。したがって、信頼できるソフトウェア (できればオープンソース) を使用する必要があります。
アプリケーションが秘密鍵 (またはシード) を提供できる場合でも、公開鍵アドレスがそれらから導出され、アクセスできることを確認する必要があります。たとえば、一部のビットコイン ウォレットでは、ユーザーが秘密キーまたはシードをインポートし、そのアドレスと対応する資産を表示できるようになります。キーとシードの漏洩が発生するリスクを最小限に抑えるために、インターネットに接続されていない (インターネットから切断された) コンピューターでこれを行うことができます。
クリプトジャッキング攻撃アプリケーション
暗号通貨強盗攻撃は、侵入障壁が低く、必要なオーバーヘッドが低いため、サイバー犯罪者の間で長年好まれてきました。さらに、クリプトジャッキングは潜在的な循環収入ももたらします。 PC に比べて処理能力が低いにもかかわらず、モバイル デバイスは依然としてクリプトジャッキング攻撃の主な標的となっています。
ブラウザに対するクリプトジャッキング攻撃に加えて、サイバー犯罪者は、正規のゲーム、ユーティリティ、または教育アプリケーションに似たアプローチも開発しました。ただし、これらのアプリの多くは、ユーザーのデバイスのバックグラウンドで暗号通貨マイニング スクリプトを違法に実行することを目的としています。
正規のサードパーティマイナーであると主張するクリプトジャッキングアプリもありますが、マイニング報酬はユーザーではなくアプリ開発者に提供されます。
さらに悪いことに、サイバー犯罪者の手法はますます洗練されており、検出を回避するためにこれまで以上に軽量なマイニング アルゴリズムを導入し続けています。
クリプトジャッキングは、パフォーマンスを低下させ、デバイスの消耗を促進するため、モバイル デバイスにとって非常に有害です。さらに、それらはマルウェアのトロイの木馬になる可能性があります。
以下の方法で予防策を講じることができます。
Google Playなどの公式ストアからのみアプリをダウンロードしてください。海賊版アプリは手動で審査されておらず、クリプトジャッキング スクリプトが含まれている可能性が高くなります。
携帯電話のバッテリーの過度の消耗や過熱を監視します。検出された場合は、問題の原因となっているアプリケーションを終了することをお勧めします。
デバイスとアプリを更新して、セキュリティの脆弱性にパッチを当てます。
暗号化耐性のある Web ブラウザを使用するか、MinerBlock、NoCoin、Adblock などの評判の良いブラウザ プラグインをインストールしてください。
可能であれば、モバイルウイルス対策ソフトウェアをインストールし、常に最新の状態に保ちます。
無料のプレゼントと偽の暗号通貨マイニング プログラム
このようなアプリは仮想通貨マイニング ソフトウェアを装っていますが、実際には広告を表示するためだけに存在します。これらはユーザーを騙し、期間が経過するにつれてマイニング報酬が増加します。これにより、ユーザーはアプリケーションを開いたままにしておくことができます。一部のアプリでは、報酬を獲得するためにユーザーに 5 つ星の評価を残すことを奨励しています。もちろん、これらのアプリケーションは実際のマイニングを実行するものではなく、そのようなソフトウェアのユーザーが報酬を受け取ることもありません。
このタイプのソフトウェアから保護するには、ほとんどの暗号通貨のマイニングには高度に特殊化されたハードウェア (ASIC) が必要であり、モバイル デバイスでのマイニングは実現できないことを理解することが重要です。したがって、マイニングによって資金を得ることができたとしても、それは微々たるものです。したがって、そのようなアプリには近づかないようにしてください。
クリッパーアプリ
このようなアプリケーションは、コピーした暗号通貨アドレスを変更し、攻撃者の偽のアドレスに置き換えます。被害者は正しい支払いアドレスをコピーできますが、それを貼り付けると、攻撃者によって正しい取引アドレスが改ざんされてしまいます。
このようなアプリケーションの被害に遭わないように、関連するトランザクションを処理する際に講じることができるいくつかの予防策を以下に示します。
[宛先] フィールドに貼り付けるアドレスを二重、三重に確認してください。ブロックチェーンのトランザクションは元に戻すことができないため、注意が必要です。
住所の一部だけではなく、全体の正確性を確認することが最善です。一部のアプリは、意図したアドレスに似たアドレスを貼り付けることができるほど賢いものもあります。
SIM交換詐欺
サイバー犯罪者はユーザーの電話番号にアクセスして SIM カード交換詐欺を行います。彼らはソーシャル エンジニアリングを通じて携帯電話事業者をだまして新しい SIM カードを発行させます。最も有名な SIM スワップ詐欺には、仮想通貨起業家 Michael Terpin が関与しています。彼は、AT&T が彼の携帯電話の資格情報を処理しなかったために、2,000 万ドル以上相当の暗号通貨を失ったと主張しています。
サイバー犯罪者があなたの電話番号にアクセスすると、この方法ですべての 2FA 認証をバイパスし、暗号通貨ウォレットや取引所にアクセスできるようになります。
サイバー犯罪者が使用するもう 1 つの方法は、テキスト メッセージ通信を監視することです。犯罪者は通信ネットワークの欠陥を悪用して、ユーザーに送信される 2 要素認証メッセージを含むテキスト メッセージを傍受する可能性があります。
このタイプの攻撃は、ユーザーが偽のソフトウェアをダウンロードしたり、悪意のあるリンクをクリックしたりするなどのアクションを実行できないため、特に懸念されます。
この種の詐欺の被害に遭わないように、考慮すべき防御策をいくつか紹介します。
SMS 2FA 認証に携帯電話番号を使用しないでください。代わりに、Google Authenticator または Authy などのアプリを使用してアカウントを安全に保ちます。たとえ電話番号が盗まれたとしても、サイバー犯罪者はこれらのアプリにアクセスできません。あるいは、YubiKey や Google の Titan セキュリティ キーなどのハードウェア 2FA を保護に使用することもできます。
携帯電話番号などの個人を特定できる情報をソーシャル メディアで公開しないでください。サイバー犯罪者はこの情報を入手し、それを別の場所で使用してあなたになりすますことができます。
ターゲットになる可能性があるため、仮想通貨を所有していることをソーシャル メディアで公表しないでください。あるいは、自分の位置情報が他人に公開されている場合は、使用している取引所やウォレットなどの個人情報の開示を避けてください。
携帯電話会社と協力してアカウントを保護してください。これは、アカウントにパスワードを設定するか、アカウントをパスワードに関連付けて、アカウントの知識を持つユーザーのみがアカウントを変更できることを明確にする必要があることを意味する場合があります。または、そのような変更を制御したり、携帯電話から無効にしたりできるのはあなただけです。
Wi-Fi
サイバー犯罪者はまた、特に暗号通貨ユーザーをターゲットとして、モバイルデバイスへの侵入ポイントを探し続けています。 1 つのエントリ ポイントは WiFi アクセスです。公衆 WiFi は安全ではないため、ユーザーは接続する前に予防措置を講じる必要があります。予防措置を講じなければ、サイバー犯罪者はユーザーのモバイル デバイス上のデータにアクセスします。これらの注意事項は、公衆 WiFi に関する記事で説明されています。
まとめた感想
携帯電話は私たちの生活に欠かせないものとなっています。実際、これらはデジタル アイデンティティと密接に結びついているため、最大の脆弱性となる可能性があります。サイバー犯罪者はこのことを認識しており、この脆弱性を悪用する方法を引き続き探しています。モバイルデバイスのセキュリティ保護はもはやオプションではありません。必見となっております。したがって、予防措置を講じてください。
