コミュニティの投稿 - 著者: WhoTookMyCrypto.com

2017年は暗号通貨分野にとって素晴らしい年であり、評価の急増がメディアでの注目を引き、一般の人々やサイバー犯罪者の両方の関心を集めました。暗号通貨はサイバー犯罪者にとって好ましい対象となり、彼らはそれを利用して伝統的な銀行システムを回避し、規制当局からの金融監視を避けることが多くなりました。

人々がスマートフォンでデスクトップコンピュータよりも多くの時間を過ごすようになっているため、サイバー犯罪者がそれに注目するのは驚くべきことではありません。以下の議論では、詐欺師が暗号通貨ユーザーをモバイルデバイスを通じてどのように標的にしているか、そしてユーザーが自分自身を守るために取るべきいくつかのステップを示しています。


偽の暗号通貨アプリ

偽の暗号通貨取引プラットフォームアプリ

おそらく最も有名な偽の暗号通貨取引プラットフォームアプリの例はPoloniexです。2018年7月に公式モバイル取引アプリがリリースされる前に、Google Playには意図的に設計された多くの偽のPoloniexプラットフォーム用アプリがすでにリストされていました。これらの詐欺アプリをダウンロードした多くのユーザーがPoloniexのログイン認証情報をハッキングされ、暗号通貨を盗まれました。中には、ユーザーのGmailアカウントのログイン情報を求めるさらに一歩進んだアプリもありました。重要なのは、二要素認証(2FA)がないアカウントだけが侵害されたことです。

次のステップがこれらの詐欺からあなたを守るのに役立つかもしれません。

  • プラットフォームの公式サイトを確認して、実際にモバイルアプリを提供しているかどうかを確認してください。プラットフォームがそれを提供している場合は、彼らのウェブサイトにあるリンクを使用してください。

  • レビューや評価を読んでください。詐欺アプリには多くの悪い評価があることが多く、人々が騙されたと不満を述べていますので、ダウンロードする前に必ず確認してください。ただし、完璧な評価やコメントを提供するアプリにも疑念を持つべきです。正当なアプリには必ず一定の数の悪いレビューがあります。

  • アプリの開発者情報を確認してください。正当な会社、メールアドレス、ウェブサイトが提供されているか調べます。また、提供された情報が公式プラットフォームと実際に関連しているかどうかを確認するために、オンラインでリサーチを行うことも必要です。

  • ダウンロード数を確認してください。また、アプリのダウンロード数も考慮する必要があります。暗号通貨取引プラットフォームの人気アプリが少ないダウンロード数を持つことは考えにくいです。

  • アカウントに2FAを有効にしてください。100%安全ではありませんが、2FAを回避するのは難しく、あなたの資金を保護するのに大きな違いを生むことがあります。たとえログイン情報が盗まれたとしても。


偽の暗号通貨ウォレットアプリ

さまざまな種類の偽アプリが存在します。1つの形態は、ユーザーからウォレットのパスワードや秘密鍵などの個人情報を取得しようとします。

一部のケースでは、偽アプリがユーザーに事前に生成された一般的なアドレスを提供します。したがって、ユーザーはこれらのアドレスにお金が預けられると仮定します。しかし、彼らは秘密鍵にアクセスできないため、送金された資金にアクセスすることはできません。

このような偽のウォレットは、EthereumやNeoなどの一般的な暗号通貨用に作成されており、多くのユーザーがこの方法でお金を失っています。以下は、被害を避けるために取ることができるいくつかの予防策です:

  • 上記のプラットフォームアプリのセクションで説明した予防策は両方に適用されます。ただし、ウォレットアプリを扱う際に取ることができる追加の予防策は、最初にアプリを開いたときに完全に新しいアドレスを生成していることを確認し、あなたが秘密鍵(ニーモニックシード)を所有していることです。正当なウォレットアプリは秘密鍵をエクスポートすることを許可しますが、新しい鍵ペアの生成を危険にさらさないことも重要です。そのため、評判の良いソフトウェア(オープンソースが望ましい)を使用する必要があります。

  • アプリがあなたに秘密鍵(またはマスターキー)を提供する場合でも、一般的なアドレスが取得できるかどうかを確認してください。たとえば、一部のビットコインウォレットは、ユーザーが秘密鍵やシードをインポートしてアドレスを視覚化し、資金にアクセスできるようにします。鍵やシードが危険にさらされるリスクを減らすために、これをインターネットから切断されたコンピュータで行うことができます。


Cryptojackingアプリ

Cryptojackingは、障壁が低く、簡単であるため、サイバー犯罪者に人気があります。さらに、これらのアプリは、長期的な安定した収入を得る機会を提供します。処理能力が低いにもかかわらず、モバイルデバイスはますますCryptojackingの標的になっています。

Cryptojackingがウェブブラウザで発生するだけでなく、サイバー犯罪者は、ゲームやユーティリティ、教育用アプリのように見えるソフトウェアも開発しています。しかし、これらのアプリの多くは、被害者のブラウザを介して隠れてマイニングするコードを実行するように設計されています。また、合法的なマイナーとして宣伝されるCryptojackingアプリもありますが、報酬はユーザーではなくアプリの開発者に渡されます。状況は悪化し、サイバー犯罪者はより洗練され、検出を避けるための軽量なマイニングアルゴリズムを広めました。

Cryptojackingはモバイルデバイスに対して非常に有害であり、パフォーマンスを低下させ、デバイスを遅くし、最悪の場合、悪意のあるトロイの木馬として機能する可能性があります。


以下のステップを実行して、彼らから保護することができます。

  • アプリは公式のストアからのみダウンロードしてください。Google Playのようなストアでは、アプリが事前にチェックされていないため、Cryptojackingプログラムが含まれている可能性があります。

  • あなたの電話を監視して、バッテリーの過剰消耗や過熱をチェックしてください。発見した場合は、原因となるアプリを直ちに終了してください。

  • デバイスとアプリを最新の状態に保ち、安全上の脆弱性を修正してください。

  • Cryptojackingを防ぐブラウザを使用するか、MinerBlockやNoCoin、Adblockなどの人気のブラウザ拡張機能をインストールしてください。

  • モバイルデバイス用のウイルス対策ソフトをインストールし、可能であれば最新の状態に保ってください。


無料ギフトと偽の暗号通貨マイニングアプリ

これらは、ユーザーに暗号通貨をマイニングしているふりをするアプリですが、実際には広告を表示する以外の何もしません。ユーザーにアプリを開いたままにするよう促し、時間の経過とともにユーザーの報酬を増加させます。一部のアプリは、報酬を得るために5つ星の評価を残すようユーザーに促しますが、これらのアプリのいずれも暗号通貨をマイニングすることはなく、ユーザーは報酬を受け取っていません。

この詐欺から身を守るために、ほとんどの暗号通貨のマイニングには高性能な専用機器(ASIC)が必要であるため、モバイルデバイスでのマイニングは不可能であることを理解してください。マイニングできる金額も非常に微小であるため、これらのアプリからは距離を置くのが最善です。



クリッパーアプリ

これらのアプリは、コピーした暗号通貨のアドレスを変更し、攻撃者のアドレスに置き換えます。したがって、被害者が正しい受取人のアドレスをコピーしても、攻撃者が置き換えたアドレスが取引を処理するために貼り付けられ、資金を受け取ることになります。

これらのアプリの犠牲にならないために、取引を行う際に取るべきいくつかの予防策を以下に示します:

  • 受取人フィールドに貼り付けるアドレスを必ず2回または3回確認してください。ブロックチェーン上の取引は元に戻せないため、常に注意を払う必要があります。

  • 部分的にではなく、アドレス全体を確認する方が良いです。いくつかのアプリは、あなたの意図したアドレスに似たアドレスを貼り付けるのに十分賢いです。



SIMスワッピング


SIMカードスワッピング詐欺では、サイバー犯罪者がユーザーの電話番号にアクセスし、制御します。これは、ソーシャルエンジニアリング技術を使用して、モバイルキャリアを騙して新しいSIMカードを発行させることによって行われます。最も有名なSIMスワッピング詐欺には、暗号通貨の先駆者であるマイケル・ターベンが関与しており、AT&Tが彼のモバイル認証情報を怠ったため、2000万ドル以上の価値があるトークンを失ったと主張しました。

一度サイバー犯罪者があなたの電話番号にアクセスできると、それを使って2FAに依存しているものを回避することができます。その後、彼らはあなたの暗号通貨ウォレットや取引アカウントにアクセスできます。

サイバー犯罪者が使用できるもう一つの方法は、あなたのSMS通信を監視することです。通信ネットワークの欠陥により、犯罪者はあなたに送信された二要素認証(2FA)コードを傍受できる可能性があります。

この攻撃の特に懸念される点は、ユーザーが偽のソフトウェアをダウンロードしたり、有害なリンクをクリックしたりするなどの行動を取る必要がないことです。


このような詐欺の犠牲にならないように、考慮すべきいくつかのステップは以下の通りです:

  • 2FAのためにあなたの携帯電話番号を使用しないでください。代わりに、Google AuthenticatorやAuthyのようなアプリを使用してアカウントを保護してください。サイバー犯罪者があなたの電話番号を持っていても、これらのアプリにアクセスするのは難しくなります。代わりに、YubiKeyやGoogle Security Titan Keyなどの2FAデバイスを使用することができます。

  • ソーシャルメディアで個人情報を公開しないでください、例えばあなたの携帯電話番号など。サイバー犯罪者はこの情報をキャッチし、他の場所であなたになりすますために使用する可能性があります。

  • あなたが暗号通貨を所有していることをソーシャルメディアで決して公表しないでください。これはあなたをターゲットにすることになります。もし、誰もがあなたが所有していることを知っている状況にある場合は、使用しているプラットフォームやウォレットを含む個人情報を開示することは避けるべきです。

  • 携帯電話サービスプロバイダーと連絡を取り、アカウントを保護するための手配をしてください。これは、アカウントにPINまたはパスワードを付加し、その番号を知っているユーザーだけがアカウントの変更を行えるようにすることを意味します。また、こうした変更を直接行うよう求め、電話での変更を許可しないこともできます。


WiFi

サイバー犯罪者は常にモバイルデバイス、特に暗号通貨ユーザー向けの侵入ポイントを探しています。この侵入ポイントはWiFiネットワークへのアクセスです。公共のWiFiネットワークは安全ではなく、ユーザーは接続する前に注意を払う必要があります。これにより、サイバー犯罪者が彼らのデバイス上のデータにアクセスする危険性があります。これらの予防策は、公共のWiFiネットワークに関する記事で取り上げられています。


締めくくりの考え

モバイルデバイスは私たちの生活の重要な一部となっています。実際、デジタルアイデンティティと非常に密接に関連しているため、あなたの最大の弱点になる可能性があります。サイバー犯罪者はこれを理解しており、常にそれを利用する方法を探し続けるでしょう。モバイルデバイスのセキュリティはオプションではなく、必須です。安全でいてください。