Treści przesłane przez społeczność — autor: WhoTookMyCrypto.com
Rok 2017 był rokiem niezwykłym dla branży kryptowalut ze względu na zawrotny wzrost wycen, co w rezultacie doprowadziło do szerokiego rozgłosu w mediach głównego nurtu. Ponieważ nie mogło być inaczej, okoliczność ta wzbudziła ogromne zainteresowanie zarówno ze strony ogółu społeczeństwa, jak i cyberprzestępców. Względna anonimowość, jaką oferują kryptowaluty, uczyniła z nich pożądane narzędzie dla tych złośliwych aktorów, którzy często wykorzystują je do ominięcia tradycyjnych systemów bankowych i uniknięcia nadzoru ze strony organów regulacyjnych.
Biorąc pod uwagę, że ludzie spędzają więcej czasu na korzystaniu ze smartfonów niż komputerów stacjonarnych, nie jest zaskakujące, że cyberprzestępcy zwrócili uwagę na te pierwsze. Dlatego w poniższym artykule skupiono się na mechanizmach stosowanych przez oszustów w celu uzyskania dostępu do użytkowników kryptowalut za pośrednictwem ich urządzeń mobilnych, a także na niektórych środkach, które ci ostatni mogą zastosować, aby się chronić.
Fałszywe aplikacje kryptowalutowe
Fałszywe aplikacje do wymiany kryptowalut
Najbardziej znanym przykładem fałszywej aplikacji do wymiany kryptowalut jest prawdopodobnie Poloniex. Przed uruchomieniem oficjalnej aplikacji mobilnej w lipcu 2018 r. w Google Play można było już znaleźć kilka fałszywych aplikacji wymiany Poloniex, które zostały celowo zaprojektowane tak, aby były funkcjonalne. Wielu użytkowników, którzy pobrali te fałszywe aplikacje, zauważyło, że ich dane uwierzytelniające Poloniex zostały naruszone, a ich kryptowaluty skradzione. Niektóre aplikacje poszły o krok dalej, prosząc nawet użytkowników o dane dostępu do kont Gmail. Należy pamiętać, że ostatecznie zagrożone zostałyby tylko konta pozbawione uwierzytelniania dwuskładnikowego (2FA).
Poniższe kroki mogą pomóc chronić Cię przed tego typu oszustwami:
Sprawdź oficjalną stronę giełdy, aby sprawdzić, czy naprawdę oferuje mobilną aplikację do handlu. Jeśli tak, skorzystaj z linku podanego na tej samej stronie.
Przeczytaj recenzje i oceny. Oszukańcze aplikacje często mają wiele negatywnych recenzji od osób narzekających, że zostały oszukane, dlatego pamiętaj o sprawdzeniu ich przed pobraniem. Podobnie powinieneś być sceptyczny wobec aplikacji, które mają nadmiernie pozytywne komentarze i oceny. Każdej legalnej aplikacji zawsze towarzyszy spora liczba negatywnych recenzji.
Przejrzyj informacje dotyczące twórcy aplikacji. Sprawdź, czy podano odniesienia do legalnej firmy, strony internetowej lub adresu e-mail. Następnie należy przeszukać podane informacje w Internecie, aby sprawdzić, czy rzeczywiście są one powiązane z oficjalnym kantorem wymiany.
Sprawdź liczbę pobrań. Ten szczegół należy również wziąć pod uwagę, ponieważ jest mało prawdopodobne, aby bardzo popularna giełda miała niską liczbę pobrań.
Aktywuj uwierzytelnianie 2FA na swoich kontach. Chociaż uwierzytelnianie 2FA nie jest w 100% bezpieczne, znacznie trudniej je ominąć i może mieć duże znaczenie w ochronie Twoich środków – nawet jeśli Twoje dane logowania zostały naruszone w wyniku phishingu.
Fałszywe aplikacje do portfela kryptowalut
Istnieje wiele rodzajów fałszywych aplikacji. Wśród nich są te, które starają się wyłudzić od użytkowników dane osobowe, takie jak hasła i klucze prywatne do ich portfeli.
W niektórych przypadkach są to fałszywe aplikacje, które udostępniają użytkownikom wygenerowane wcześniej adresy publiczne. Użytkownicy założą, że mogą bezpiecznie zdeponować środki pod tymi adresami, jednak ze względu na brak kluczy prywatnych nie będą mogli uzyskać dostępu do zdeponowanych tam środków.
Fałszywe portfele tego typu zostały stworzone dla popularnych kryptowalut takich jak Ethereum czy Neo i niestety wielu użytkowników straciło swoje środki. Oto niektóre środki ostrożności, które możesz podjąć, aby uniknąć stania się ofiarą takich oszustw:
Środki ostrożności podkreślone w poprzedniej sekcji – poświęcone fałszywym aplikacjom wymiany – są równie ważne w tym przypadku. Jednakże dodatkowym środkiem, który można podjąć w przypadku aplikacji portfelowych, jest zapewnienie, że przy pierwszym otwarciu tych aplikacji zostaną wygenerowane zupełnie nowe adresy i że będą one miały odpowiadające im klucze prywatne lub nasiona mnemoniczne. Legalne aplikacje portfelowe umożliwiają eksport kluczy prywatnych; ale ważne jest również zapewnienie, że generowanie nowych par kluczy nie będzie zagrożone. Dlatego należy korzystać z renomowanego oprogramowania (najlepiej open source).
Nawet jeśli aplikacja udostępnia klucz prywatny (lub materiał siewny), powinieneś sprawdzić, czy można z niego uzyskać adresy publiczne i uzyskać do nich dostęp. Na przykład niektóre portfele Bitcoin umożliwiają użytkownikom importowanie kluczy prywatnych lub nasion w celu przeglądania adresów i uzyskiwania dostępu do środków. Aby zminimalizować ryzyko kradzieży kluczy i nasion, idealnym rozwiązaniem jest przeprowadzenie tej operacji na komputerze „szczelnym” (tzn. odłączonym od Internetu).
Aplikacje do cryptojackingu
Cryptojacking stał się jedną z ulubionych praktyk cyberprzestępców ze względu na łatwy dostęp i niski koszt, a także potencjał oferowania długoterminowych, powtarzalnych dochodów. Pomimo niższej mocy obliczeniowej w porównaniu z komputerami stacjonarnymi, urządzenia mobilne stają się coraz częstszym celem cryptojackingów.
Oprócz kryptojackingu przeglądarki internetowej cyberprzestępcy opracowują także programy, które wydają się być całkowicie legalnymi aplikacjami funkcjonalnymi i grami edukacyjnymi. Jednak wiele z tych aplikacji zostało zaprojektowanych tak, aby potajemnie uruchamiać skrypty w tle.
Istnieją również aplikacje do cryptojackingu, które są reklamowane jako legalne aplikacje wydobywcze stron trzecich, ale których nagrody są ostatecznie przekazywane programistom, a nie ich użytkownikom.
Co gorsza, przestępcy stają się coraz bardziej wyrafinowani, co skłoniło ich do instalowania lekkich algorytmów eksploracji, które niezwykle utrudniają ich wykrycie.
Cryptojacking jest niezwykle szkodliwy dla urządzeń mobilnych, ponieważ pogarsza ich wydajność i przyspiesza zużycie. Co gorsza, może również działać jako koń trojański dla innych, jeszcze bardziej szkodliwych typów złośliwego oprogramowania.
Poniższe kroki mogą być pomocne w zabezpieczeniu się przed cryptojackingiem:
Pobieraj aplikacje wyłącznie z oficjalnych platform, takich jak Google Play. Pirackie aplikacje nie zostały wstępnie sprawdzone i prawdopodobnie zawierają skrypty służące do cryptojackingu.
Monitoruj swój telefon, aby wykryć nadmierne zużycie baterii lub przegrzanie. Po wykryciu anuluj aplikacje powodujące te skutki.
Aktualizuj swoje urządzenie i aplikacje, aby załatać potencjalne luki w zabezpieczeniach.
Użyj przeglądarki internetowej, która chroni przed cryptojackingiem lub zainstaluj renomowane wtyczki, takie jak MinerBlock, NoCoin i Adblock.
Jeśli to możliwe, zainstaluj mobilne oprogramowanie antywirusowe i aktualizuj je.
Darmowe prezenty i fałszywe aplikacje do wydobywania kryptowalut
Są to aplikacje symulujące wydobywanie kryptowalut, ale w rzeczywistości nie robią nic poza wyświetlaniem reklam. Zachęcają użytkowników do pozostawienia aplikacji otwartych, odzwierciedlając wzrost nagród w miarę upływu czasu. Niektóre z tych aplikacji zachęcają nawet użytkowników do pozostawienia 5-gwiazdkowych recenzji jako warunku otrzymania wyżej wymienionych nagród. Oczywiście żadna z tych aplikacji nie wydobywa skutecznie, a ich użytkownicy nigdy nie otrzymają prawdziwej nagrody.
Aby uchronić się przed tym oszustwem, należy zrozumieć, że wydobywanie większości kryptowalut wymaga wysoce specjalistycznego sprzętu (słynnych układów ASIC), co oznacza, że nie da się przeprowadzić operacji z urządzenia mobilnego. W każdym razie jakakolwiek ilość, którą można by w ten sposób wydobyć, byłaby trywialna. Z tego powodu zalecamy trzymanie się z daleka od podobnych aplikacji.
Aplikacje portapapeles (aplikacje do maszynki do strzyżenia)
Tego typu aplikacja zmienia adresy kopiowanych kryptowalut i zastępuje je adresami atakującego. W ten sposób, choć ofiara może skopiować poprawny adres odbiorcy, ten, który wklei w celu przetworzenia transakcji, zostanie zastąpiony adresem atakującego.
Poniżej przedstawiamy szereg środków, które możesz podjąć podczas przetwarzania transakcji, aby nie stać się ofiarą tego typu aplikacji:
Zawsze dwukrotnie lub nawet potrójnie sprawdź adres wklejany w polu wysyłki. Transakcje Blockchain są nieodwracalne, dlatego zawsze należy zachować ostrożność.
Najlepiej jest zweryfikować cały podany adres, a nie tylko jego część. Niektóre aplikacje są na tyle zaawansowane, że wklejają adresy podobne do prawdziwych.
Wymiana karty SIM
W oszustwie polegającym na wymianie karty SIM cyberprzestępca uzyskuje dostęp do numeru telefonu użytkownika. Osiągają to za pomocą technik inżynierii społecznej, które pozwalają im oszukać operatorów komórkowych i nakłonić ich do przekazania im kopii karty SIM. Najbardziej znanym oszustwem polegającym na wymianie karty SIM było to, które dotknęło przedsiębiorcę kryptowalut Michaela Terpina, który zarzucił, że AT&T przez zaniedbanie przekazała dane uwierzytelniające jego telefon komórkowy osobom trzecim, powodując utratę tokenów o wartości ponad 20 milionów dolarów amerykańskich.
Gdy przestępcy uzyskają dostęp do Twojego numeru telefonu komórkowego, mogą go użyć do ominięcia dowolnego uwierzytelniania 2FA, które się na nim opiera. Stamtąd trafią do Twoich portfeli kryptowalutowych i kont wymiany.
Inną metodą, z której mogą skorzystać cyberprzestępcy, jest monitorowanie Twojej komunikacji za pośrednictwem wiadomości SMS. Awarie w sieciach komunikacyjnych mogą pozwolić przestępcom na przechwycenie Twoich wiadomości – między innymi numeru PIN 2FA.
Tym, co sprawia, że tego typu ataki są szczególnie niepokojące, jest to, że nie wymagają one aktywnej roli ze strony ofiary – jak ma to miejsce w przypadku pobierania fałszywego oprogramowania lub otwierania złośliwych łączy.
Aby nie dać się nabrać na tego typu oszustwo, można rozważyć następujące środki:
Nie używaj numeru telefonu komórkowego do uwierzytelniania 2FA typu SMS. Zamiast tego używaj aplikacji takich jak Google Authenticator lub Authy, aby chronić swoje konta. Cyberprzestępcy nie będą mogli uzyskać dostępu do tego typu aplikacji, nawet jeśli przejmą Twój numer telefonu. Alternatywnie możesz także użyć sprzętowego uwierzytelniania 2FA – takiego jak YubiKey lub Google Titan Security Keys.
Nigdy nie ujawniaj danych osobowych – takich jak numer telefonu – w sieciach społecznościowych. Cyberprzestępcy mogą wykorzystać te informacje i wykorzystać je do podszywania się pod Ciebie w innych witrynach.
Nigdy nie powinieneś reklamować się w mediach społecznościowych, że posiadasz kryptowaluty, ponieważ może to sprawić, że staniesz się celem. Jeśli jesteś w sytuacji, w której wszyscy wiedzą, że je masz, unikaj ujawniania danych osobowych, takich jak giełdy lub portfele, z których korzystasz.
Zaplanuj ochronę swojego konta u dostawców telefonii komórkowej. Może to obejmować wymaganie podania kodu PIN lub hasła w celu wprowadzenia jakichkolwiek zmian. Alternatywnie możesz również zażądać, aby zmiany te były dokonywane wyłącznie osobiście, co uniemożliwia ich dokonanie drogą telefoniczną.
WiFi
Cyberprzestępcy nieustannie szukają możliwych sposobów uzyskania dostępu do urządzeń mobilnych, zwłaszcza tych korzystających z kryptowalut. Jednym z takich potencjalnych punktów wejścia jest Wi-Fi. Publiczne sieci Wi-Fi są niebezpieczne i użytkownicy powinni zawsze zachować środki ostrożności przed połączeniem się z nimi. W przeciwnym razie ryzykują, że cyberprzestępcy uzyskają dostęp do danych przechowywanych na ich urządzeniach mobilnych. Te środki ostrożności zostały omówione w artykule poświęconym publicznym sieciom Wi-Fi.
Końcowe przemyślenia
Telefony komórkowe stały się podstawową częścią naszego życia. W rzeczywistości są one tak powiązane z naszą tożsamością cyfrową, że mogą stać się naszą główną słabością. Cyberprzestępcy o tym wiedzą i dlatego w dalszym ciągu szukają mechanizmów pozwalających je wykorzystać. Ochrona urządzeń mobilnych nie jest już opcją, ale stała się koniecznością. Zawsze postępuj ostrożnie.
