コミュニティ貢献 - 著者: WhoTookMyCrypto.com
2017年は暗号通貨業界にとって歴史的な年でした。市場の大きな評価により、メディアがこの分野にさらに多くの注目を向けるようになりました。当然のことながら、これは一般大衆の関心を集めただけでなく、サイバー犯罪者の関心も集めました。暗号通貨はある程度の匿名性を提供するため、犯罪者の間では好まれる代替手段となっており、犯罪者は暗号通貨を使って従来の銀行システムを迂回し、規制当局による金融監視を回避することが多い。
人々がデスクトップ コンピューターよりもスマートフォンに多くの時間を費やしていることを考えると、サイバー犯罪者がモバイル デバイスにも注目しているのも不思議ではありません。以下の説明では、詐欺師がスマートフォンを通じて暗号通貨ユーザーをターゲットにしている方法と、こうした攻撃から身を守るために取るべき予防策について説明します。
詐欺的な暗号通貨アプリ
詐欺的な交換アプリ
Poloniex のケースは、おそらく不正な暗号通貨交換アプリケーションの最もよく知られた例です。 2018 年 7 月に取引アプリが正式にリリースされる前に、Google Play にはすでに、意図的に機能するように設計された偽の Poloniex ブローカー アプリがいくつかリストされていました。これらのアプリをダウンロードした複数のユーザーのPoloniexログイン情報が漏洩し、暗号通貨が盗まれました。一部のアプリはさらに一歩進んで、ユーザーの Gmail アカウントのログイン情報を要求するようになりました。 2 要素認証 (2FA) のないアカウントのみが侵害されたことに注意することが重要です。
次の手順は、このようなタイプの詐欺から身を守るのに役立ちます。
ブローカーの公式ウェブサイトをチェックして、取引用のモバイルアプリが提供されているかどうかを確認してください。その場合は、公式ウェブサイトで提供されているリンクを使用してください。
レビューと評価を読んでください。詐欺アプリには通常、詐欺について不満を言う人々からの否定的なレビューが多数あるため、アプリをダウンロードする前にこれを確認してください。ただし、完璧なレビューと評価のあるアプリにも注意する必要があります。正規のアプリには、一定の割合で否定的なレビューが存在します。
アプリの開発者情報を確認してください。正当な会社名、メールアドレス、公式ウェブサイトが提供されていることを確認してください。 また、提示された情報についてオンラインで調査し、それが実際に公式ブローカーに関連しているかどうかを確認する必要があります。
ダウンロード数を確認します。この情報も考慮する必要があります。かなり人気のある暗号通貨取引所のダウンロード数が少ないということは考えにくいです。
2要素認証(2FA)をオンにします。 2FA は 100% 安全ではありませんが、回避するのがはるかに難しく、ログイン認証情報がフィッシングされた場合でも資金を保護するのに大きな効果を発揮します。
偽の暗号通貨ウォレットアプリ
偽アプリにはいくつかの種類があります。これらのタイプの 1 つは、ウォレットのパスワードや秘密鍵などのユーザーの個人情報を取得しようとします。
場合によっては、偽のアプリが事前に生成されたパブリックアドレスをユーザーに提供することがあります。したがって、資金はこれらのアドレスに預け入れる必要があることを理解してもらいます。ただし、秘密鍵にはアクセスできないため、これらのアドレスに送金された資金にはアクセスできません。
こうしたタイプの偽のウォレットは、Ethereum や Neo などの人気の暗号通貨用に作成されたもので、残念ながら多くのユーザーがコインを失いました。被害者にならないために取るべき予防策は次のとおりです。
上記の注意事項は、証券会社アプリの分野にも同様に適用されます。ただし、ウォレット アプリを扱う際に取ることができる追加の予防策は、アプリを初めて開いたときにすぐに新しいアドレスが生成され、秘密鍵 (またはニーモニック シード) を所有していることを確認することです。正規のウォレット アプリでは秘密鍵をエクスポートできますが、新しいキー ペアの生成が侵害されないようにすることも重要です。したがって、評判の良いアプリケーション(できればオープンソース)を使用する必要があります。
アプリケーションが秘密鍵 (またはシード) を提供する場合でも、そこからパブリック アドレスを生成してアクセスできることを確認する必要があります。たとえば、一部のビットコイン ウォレットでは、ユーザーが秘密鍵またはシードをインポートしてアドレスを表示したり資金にアクセスしたりすることができます。キーやシードが侵害されるリスクを最小限に抑えるために、インターネットに接続されていないコンピューターでこの操作を行う必要があります。
クリプトジャッキングアプリ
クリプトジャッキングは、参入障壁が低く、必要な費用も少ないため、長い間詐欺師の間で人気の行為でした。さらに、このタイプの詐欺は、詐欺師に長期にわたる継続的な収入を生み出す可能性を提供するため興味深いものです。デスクトップ コンピューターに比べて処理能力が低いにもかかわらず、モバイル デバイスは常に Cryptojacking の標的になりつつあります。
ウェブブラウザベースのクリプトジャッキングに加えて、詐欺師は合法的に見えるゲーム、ユーティリティ、教育プログラムも開発しています。しかし、これらのプログラムの多くは、暗号通貨を秘密裏にマイニングするためのスクリプト(コマンド)を実行するために開発されています。
公式マイナーとして宣伝されているクリプトジャッキング アプリもありますが、報酬はユーザーではなくアプリ開発者に与えられます。
さらに悪いことに、詐欺師はますます巧妙になってきており、検出を回避するために非常に軽量なマイニング アルゴリズムを導入しています。
クリプトジャッキング行為は、パフォーマンスを低下させ、内部コンポーネントの消耗を加速させるため、モバイル デバイスに非常に有害です。さらに悪いことに、これは他のより危険な感染を引き起こす潜在的なトロイの木馬として機能する可能性があります。
クリプトジャッキングを防ぐには、次の手順を実行できます。
Google Play などの公式ストアで入手できるアプリのみをダウンロードしてください。海賊版アプリは事前にスキャンされていないため、クリプトジャッキング スクリプトが含まれている可能性が高くなります。
携帯電話のバッテリーの過度な使用や過熱を監視します。問題の原因を特定したら、そのアプリケーションを閉じます。
デバイスとアプリを適切に更新しておくと、セキュリティの脆弱性が頻繁に修正されます。
Cryptojacking 保護機能を備えた Web ブラウザを使用するか、MinerBlock、NoCoin、Adblock などの信頼できるプラグインをインストールしてください。
可能であれば、ウイルス対策プログラムをインストールし、最新の状態に保ってください。
偽の暗号通貨マイニングおよび景品配布アプリ
これらのアプリはユーザーのために暗号通貨をマイニングするふりをしていますが、実際には広告を表示するだけです。彼らは、時間の経過とともに報酬が得られると約束することで、ユーザーにアプリを開いたままにするよう促します。中には、同様の約束を使って、ユーザーにストアに 5 つ星のレビューを残すように勧めるところもあります。もちろん、これらのアプリは実際に暗号通貨をマイニングするものではなく、ユーザーが報酬を受け取ることはありません。
この種の詐欺から身を守るためには、ほとんどの暗号通貨のマイニングには ASIC と呼ばれる高度に特殊化されたタイプのハードウェアが必要であり、モバイル デバイスを使用してマイニングすることは不可能であることを理解する必要があります。採掘できる量はせいぜいごくわずかでしょう。これらのアプリには近づかないでください。
クリッパーアプリ
これらのアプリは、コピーした暗号通貨アドレスを変更し、攻撃者のアドレスに置き換えます。したがって、被害者が正しいアドレスをコピーしても、それを貼り付けるとすぐに、有効なアドレスに置き換えられますが、そのアドレスは攻撃者のものになります。
このようなアプリの被害に遭わないために、取引を処理する際に取るべき予防策をいくつか紹介します。
受信者欄に入力するアドレスは必ず 2 ~ 3 回以上確認してください。ブロックチェーン上の取引は元に戻せないので、常に注意する必要があります。
住所の一部だけではなく、住所全体を確認する方が良いでしょう。一部のアプリは、ユーザーが意図したアドレスに類似したアドレスを貼り付けるほど賢いです。
SIMカードの変更
SIM スワップ詐欺では、詐欺師がユーザーの電話番号にアクセスします。彼らはソーシャルエンジニアリングの手法を駆使して携帯電話事業者を騙し、新しい SIM カードを発行させます。これまでで最も有名な SIM スワップ詐欺は、暗号通貨起業家のマイケル・テルピンが関与したものでした。彼は、AT&Tが彼の電話認証情報の管理を怠ったために、2,000万ドル相当のコインが失われたと主張した。
詐欺師があなたの電話番号にアクセスすると、それを使用して、テキスト メッセージ (SMS) に依存する 2FA 保護を回避できるようになります。そこから、彼らはあなたの暗号通貨ウォレットや証券口座にアクセスできるようになります。
詐欺師が使用する可能性のあるもう 1 つの方法は、テキスト メッセージ (SMS) を監視することです。通信ネットワークの欠陥により、犯罪者がメッセージを傍受できる可能性があり、そのメッセージには 2FA 保護のパスワードが含まれている可能性があります。
この攻撃が特に懸念されるのは、偽のプログラムをダウンロードしたり、感染したリンクをクリックするなどのアクションをユーザーに要求していないことです。
このような詐欺の被害者にならないために、考慮すべきいくつかの手順を以下に示します。
SMS 経由で 2FA パスワードを受信するために電話番号を使用しないでください。代わりに、Google Authenticator や Authy などのアプリを使用してアカウントを保護してください。詐欺師はあなたの電話番号を持っていても、これらのアプリにアクセスすることはできません。もう 1 つの選択肢は、YubiKey や Google の Titan セキュリティ キーなどの 2FA ハードウェアを使用することです。
電話番号などの個人情報をソーシャル メディアで公開しないでください。詐欺師はこの情報を使用して、ソーシャル メディア上や実際の場所など、他の場所であなたになりすますことができます。
自分が暗号通貨を所有していることをソーシャル メディアに投稿しないでください。そうすると、標的にされてしまいます。また、あなたが暗号通貨を保有していることを誰もが知っている立場にある場合は、使用しているウォレットや取引所などの個人情報を開示しないでください。
アカウントを保護するためのより安全な方法について携帯電話プロバイダーと交渉してください。良い選択肢としては、アカウントにパスワードまたは PIN を添付してもらい、そのコードを持っている人だけが変更できるようにすることです。あるいは、電話での変更を禁止し、すべての変更を直接行うことを要求することもできます。
Wi-Fi
詐欺師は、特に所有者が暗号通貨を保有しているモバイル デバイスの脆弱性を常に探しています。そのような脆弱性の 1 つは、WiFi へのアクセスです。公衆 WiFi は安全ではないため、ユーザーは接続を確立する前に特定の予防措置を講じる必要があります。そうしないと、詐欺師がモバイル デバイス上のデータにアクセスする危険があります。これらの注意事項は、公衆WiFiに関する記事で説明されています。
最終的な考察
携帯電話は私たちの生活に欠かせないものになりました。実際、それらはあなたのデジタルアイデンティティと深く結びついているため、最大の脆弱性になる可能性があります。犯罪者はこれを知っており、この問題を利用する方法を見つけようとし続けるでしょう。モバイル デバイスの保護はもはやオプションではなく、必須です。安全にお過ごしください。