コミュニティの安全上の懸念に基づく - 作成者: WhoTookMyCrypto.com


2017 年は仮想通貨業界にとって注目に値する年であり、その価格の急速な上昇がメディアの集中的な注目を集めました。当然のことながら、これは一般の人々とサイバー犯罪者の両方から大きな関心を集めています。仮想通貨は比較的匿名性が高いため、従来の銀行システムを回避し、規制当局による金融監視を回避するために仮想通貨を使用する人々に好まれています。

人々が PC ではなくスマートフォンの使用にほとんどの時間を費やしていることを考えると、サイバー犯罪者がスマートフォンに注目しているのも不思議ではありません。さらに詳しい情報では、詐欺師がどのようにして仮想通貨ユーザーのスマートフォンをターゲットにするのか、また自分自身を守るために講じられるいくつかの手順が示されています。


偽のアプリ

暗号通貨取引所

このようなスマートフォン用ソフトウェアの最も有名な例は、Poloniex アカウントにアクセスするためのモバイル アプリケーションです。 2018 年 7 月に正式版がリリースされる前に、Google Play にはオリジナルと区別できないように意図的に設計されたいくつかの偽アプリがすでに掲載されていました。これらのプログラムをダウンロードしてインストールした多くのユーザーは、Exchange のログイン資格情報が侵害され、暗号通貨が盗まれました。一部のアプリケーションはさらに進んで、Gmail アカウントを要求し始めました。すべての被害者のアカウントには 2 要素認証 (2FA) が適用されていなかったという事実に注意することが重要です。

次のことを行うことで安全を確保できます。

  • 取引所の公式 Web サイトにアクセスして、実際にモバイル アプリがあることを確認してください。その場合は、サイトにあるリンクを使用してください。

  • レビューと評価を読んでください。偽のアプリには詐欺被害者からの悪い評価が多いため、インストールする前に必ず確認してください。ただし、肯定的な評価やコメントしかないアプリにも懐疑的になる必要があります。正規のアプリには必ず否定的なレビューがつきものです。

  • アプリの開発者、会社、メールアドレス、Webサイトの情報を確認します。提供されたすべての情報と、アプリケーションが本当に取引所に関連付けられていることを確認する必要があります。

  • ダウンロード数を確認してください。これも考慮する必要があります。人気の仮想通貨取引所モバイル アプリのダウンロード数が少ないとは考えにくいです。

  • アカウントで 2FA を有効にします。これによりアカウントが 100% 保護されるわけではありませんが、詐欺師がアカウントにアクセスすることがはるかに困難になり、フィッシング詐欺の被害に遭った場合でも資金を保護するのに大いに役立ちます。


暗号通貨ウォレット

世の中にはさまざまな偽アプリが存在します。 1 つのタイプの本質は、ウォレットのパスワードや秘密キーなどの個人情報をユーザーから取得することです。

場合によっては、このようなアプリは事前に生成されたパブリック アドレスを提供し、ユーザーがそこに入金できることを前提としています。ただし、彼らは秘密鍵にアクセスできないため、送金した資金を所有することはできません。

このような偽のウォレットはイーサリアムやネオなどの最も人気のある暗号通貨専用に作成されており、残念ながら多くのユーザーが被害者となっています。 

被害者にならないために取るべき予防策:

  • 交換にアクセスするためのアプリケーションでの上記の操作も同様に関連します。ただし、ウォレットを使用する場合は、最初の開始時に新しいパブリック アドレスと秘密キー (またはニーモニック フレーズ) を受け取る必要があることを必ず考慮する必要があります。実際のウォレット アプリケーションでは秘密キーをエクスポートできますが、新しいキー ペアの生成が侵害されていないことも確認する必要があります。したがって、評判の高いソフトウェア (できればオープンソース) を使用する必要があります。

  • アプリケーションが秘密キー (またはニーモニック フレーズ) を提供する場合でも、それを使用してウォレットにアクセスできることを確認する必要があります。たとえば、一部のビットコインウォレットでは、ユーザーが秘密キーやフレーズをインポートしてアドレスを視覚化し、資金にアクセスすることができます。キーやフレーズが侵害されるリスクを最小限に抑えるために、エアギャップのあるコンピュータ (インターネット アクセスなし) でこれを実行できます。


クリプトジャッキング

クリプトジャッキングは、参入障壁と諸経費が低いため、サイバー犯罪の中で明らかに人気があります。また、長期的な経常利益を前提としています。 PC に比べて処理能力が低いにもかかわらず、モバイル デバイスがこの攻撃の被害者になることが増えています。

サイバー犯罪者は、Web ブラウザを使用したクリプトジャッキングに加えて、通常のゲーム、ユーティリティ、または教育アプリケーションのように見えるプログラムも開発します。ただし、それらの多くはバックグラウンドで暗号通貨を静かにマイニングするように設計されています。

デバイスの合法的なマイニングを宣伝するアプリもありますが、実際には報酬はユーザーではなく開発者に与えられます。さらに悪いことに、サイバー犯罪者はますます巧妙化しており、検出を回避するためにより重要ではないマイニング アルゴリズムを開発しています。

クリプトジャッキングはパフォーマンスを低下させ、プロセッサとバッテリーの消耗を加速させるため、モバイル デバイスにとって非常に危険です。さらに悪いことに、他のウイルスに加えてトロイの木馬としても機能する可能性があります。 

自分自身を守るために、次の手順を実行する必要があります。 

  • Google Playなどの公式ソースからのみアプリをダウンロードしてください。海賊版プログラムは事前チェックされておらず、クリプトジャッキング スクリプトが含まれている可能性が高くなります。

  • バッテリーの急速な消耗や過熱が発生した場合に、携帯電話のパフォーマンスを監視します。原因が特定された場合は、原因となっているアプリケーションをシャットダウンします。

  • デバイスとアプリケーションを更新して、以前のファームウェア バージョンの脆弱性を修正します。

  • クリプトジャッキングから保護する Web ブラウザを使用するか、MinerBlock、NoCoin、Adblock などの特別な拡張機能をインストールします。

  • 可能であれば、スマートフォンにウイルス対策ソフトウェアをインストールし、定期的に更新してください。


無料のプレゼントと偽のマイニング アプリ 

ユーザーのために「暗号通貨のマイニング」を行うプログラムの中には、実際には広告を表示するだけのものもあります。これらは、時間の経過とともに増加する報酬を反映することで、アプリを開いたままにするインセンティブを提供します。一部のプログラムでは、報酬を受け取るためにユーザーに最大評価を残すよう強制します。最終的に、これらのプラットフォームはいずれもマイニングを行っておらず、ユーザーは報酬を受け取ることができません。

このような詐欺から身を守るには、ほとんどの暗号通貨のマイニングには高度に特殊化されたハードウェア (ASIC) が必要であり、モバイル デバイスではマイニングできないことを理解する必要があります。そこにいくらの金額が入っても、それらには何の意味もありません。そのようなアプリには近づかないでください。


クリッパー

これらは、コピーしたアドレスを変更し、別のアドレスに置き換えるプログラムです。したがって、被害者は正しい受信者アドレスをコピーしてトランザクションを処理できますが、そのアドレスは攻撃者のアドレスに置き換えられてしまいます。

このようなアプリの被害に遭わないように、トランザクションを送信する際に考慮すべき注意事項をいくつか示します。

  • 受信者フィールドに貼り付けるアドレスを常に 2 回、できれば 3 回確認してください。ブロックチェーン上のすべてのトランザクションは元に戻せないため、常に注意する必要があります。

  • 住所の一部だけでなく、全体を確認することをお勧めします。一部のアプリは非常に賢く、受信者のアドレスによく似たアドレスを使用します。


SIMカードの交換

SIM スワッピング詐欺では、攻撃者はさまざまなソーシャル エンジニアリング手法を使用してユーザーの電話番号にアクセスし、携帯電話事業者を騙して新しい SIM カードを入手させます。このような詐欺の最も有名なケースは、仮想通貨起業家のマイケル・ターピンでした。同氏は、AT&Tが彼の携帯電話資格情報の処理を怠ったため、2,000万ドル以上相当のトークンを失ったと主張した。

サイバー犯罪者があなたの番号にアクセスすると、その番号を使用してそれに関連する 2FA を回避し、その後あなたのウォレットにアクセスしてアカウントを交換することができます。

サイバー犯罪者が使用できるもう 1 つの方法は、SMS メッセージを監視することです。電気通信ネットワークの欠陥により、攻撃者が認証の第 2 要素要素を含む通信を傍受する可能性があります。

この攻撃で特に懸念されるのは、ユーザーが偽のソフトウェアをダウンロードしたり、感染したリンクをクリックしたりするなどのアクションを実行する必要がないことです。

このような詐欺の被害に遭わないためには、次のような予防措置を講じてください。

  • SMS 2FA にはメインの携帯電話番号を使用しないでください。代わりに、Google Authenticator や Authy などのアプリを使用してアカウントを保護してください。この場合、サイバー犯罪者はあなたの電話番号を知っていたとしても情報にアクセスすることはできません。さらに、YubiKey または Google Titan を使用してハードウェア 2FA を使用することもできます。

  • 携帯電話番号などの個人情報をソーシャルメディアで共有しないでください。この情報はあなたに対して利用される可能性があります。

  • 仮想通貨を持っていることをソーシャルネットワーク上で発表しないでください。すぐにターゲットにされてしまいます。すでにその立場にある場合は、使用している取引所やウォレットだけでなく、他の個人情報も公開しないでください。

  • 携帯電話番号を保護するために携帯電話プロバイダーと同意します。これは、それを知っている人だけが個人アカウントを変更できることを示す PIN コードまたはパスワードを持つことを意味する場合があります。さらに、変更はあなたの個人的な場でのみ行われるべきであることに同意することができます。


Wi-Fi

サイバー犯罪者は、特に暗号通貨に関連する場合、モバイル デバイスの弱点を常に探しています。これらの弱点の 1 つは、WiFi を使用したインターネットへのアクセスです。 公共のインターネット ホットスポットは安全ではないため、使用する場合は接続前の予防措置を無視しないでください。そうしないと、デバイスのデータにアクセスしてしまう危険があります。公衆 WiFi に関する記事で、安全確保に関連するすべての行動について説明しました。


結論

携帯電話は私たちの生活に欠かせないものとなっており、実際、デジタルアイデンティティと深く結びついているため、弱点になる可能性があります。サイバー犯罪者はこのことを認識しており、それを悪用する方法を探し続けます。モバイル デバイスの保護はもはやオプションではなく、必須となっているため、常に警戒して安全を確保してください。