Wkład społeczności - Autor: WhoTookMyCrypto.com

Rok 2017 był wspaniałym rokiem dla kryptowalut, ponieważ szybki wzrost ich wartości przyciągnął uwagę mediów, co zyskało ogromne zainteresowanie zarówno ze strony ogółu społeczeństwa, jak i przestępców internetowych. Kryptowaluty stały się dla przestępców preferowanym środkiem, którego używają coraz częściej do omijania tradycyjnych systemów bankowych i unikania nadzoru finansowego ze strony organów regulacyjnych.

Biorąc pod uwagę, że ludzie spędzają więcej czasu na swoich smartfonach niż na komputerach stacjonarnych, nie jest zaskoczeniem, że przestępcy internetowi również kierują swoją uwagę w tę stronę. Poniższa dyskusja wyjaśnia, w jaki sposób oszuści celują w użytkowników kryptowalut za pomocą ich urządzeń mobilnych oraz przedstawia kilka kroków, które użytkownicy mogą podjąć, aby się chronić.


Fałszywe aplikacje do kryptowalut

Fałszywe aplikacje platform handlu kryptowalutami

Najbardziej znanym przypadkiem fałszywych aplikacji handlowych kryptowalut jest prawdopodobnie przykład Poloniex. Przed uruchomieniem oficjalnej aplikacji handlowej w lipcu 2018 roku, Google Play już wymieniało wiele fałszywych aplikacji związanych z platformą Poloniex, które zostały zaprojektowane celowo. Wielu użytkowników, którzy pobrali te fałszywe aplikacje, padło ofiarą przejęcia swoich danych logowania do Poloniex, a ich kryptowaluty zostały skradzione. Niektóre aplikacje posunęły się nawet do tego, aby zażądać danych logowania do kont Gmail użytkowników. Ważne jest, aby podkreślić, że konta, które nie miały dwustopniowej weryfikacji (2FA), zostały tylko skradzione.

Następujące kroki mogą pomóc Ci chronić się przed tymi oszustwami.

  • Sprawdź oficjalną stronę platformy, aby sprawdzić, czy rzeczywiście oferują aplikację na telefon. Jeśli platforma to oferuje, użyj linku dostępnego na ich stronie internetowej.

  • Przeczytaj komentarze i oceny. Fałszywe aplikacje często mają wiele złych ocen, w których ludzie skarżą się na oszustwa, więc upewnij się, że je sprawdzisz przed pobraniem. Jednak powinieneś również być sceptyczny wobec aplikacji, które oferują doskonałe oceny i komentarze, ponieważ każda legalna aplikacja ma swoją sprawiedliwą część negatywnych recenzji.

  • Sprawdź informacje o deweloperze aplikacji. Sprawdź, czy podano legalną firmę, adres e-mail i stronę internetową. Powinieneś również przeprowadzić wyszukiwanie w Internecie na temat podanych informacji, aby sprawdzić, czy są one faktycznie związane z oficjalną platformą.

  • Sprawdź liczbę pobrań. Należy także wziąć pod uwagę, ile pobrań ma aplikacja, ponieważ mało prawdopodobne jest, aby aplikacja znanej platformy handlu kryptowalutami miała niewielką liczbę pobrań.

  • Włącz 2FA na swoich kontach. Choć nie jest to w 100% bezpieczne, jest trudne do obejścia i może znacząco wpłynąć na ochronę Twoich funduszy, nawet jeśli dane logowania zostaną skradzione.


Fałszywe aplikacje portfeli kryptowalut

Istnieje wiele różnych rodzajów fałszywych aplikacji. Jeden z typów stara się zdobyć dane osobowe użytkowników, takie jak hasła portfela i klucze prywatne.

W niektórych przypadkach fałszywe aplikacje oferują użytkownikom uprzednio wygenerowane adresy publiczne. W związku z tym zakładają, że środki są wpłacane na te adresy. Nie mogą jednak uzyskać dostępu do kluczy prywatnych, a tym samym nie mogą uzyskać dostępu do żadnych funduszy, które są do nich wysyłane.

Takie fałszywe portfele zostały stworzone dla popularnych kryptowalut, takich jak Ethereum i Neo, i niestety wielu użytkowników straciło w ten sposób swoje fundusze. Oto kilka środków ostrożności, które można podjąć, aby uniknąć stania się ofiarą:

  • Środki ostrożności opisane w sekcji aplikacji platformy powyżej mają zastosowanie także tutaj. Niemniej jednak dodatkowym środkiem, który możesz podjąć przy korzystaniu z aplikacji portfela, jest upewnienie się, że przy pierwszym otwarciu aplikacji tworzysz zupełnie nowe adresy, a także że posiadasz klucze prywatne (mnemonic seeds). Legalna aplikacja portfela pozwala na eksport kluczy prywatnych, ale ważne jest również, aby nie narażać generowania nowych par kluczy na ryzyko. Dlatego powinieneś używać oprogramowania o dobrej reputacji (najlepiej open source).

  • Nawet jeśli aplikacja oferuje Ci klucz prywatny (lub klucz główny), powinieneś sprawdzić, czy publiczne adresy można uzyskać i uzyskać do nich dostęp. Na przykład niektóre portfele Bitcoin pozwalają użytkownikom importować swoje klucze prywatne lub nasiona, aby wizualizować adresy i uzyskiwać dostęp do funduszy. Aby zminimalizować ryzyko narażenia kluczy i nasion na niebezpieczeństwo, możesz to zrobić na komputerze odłączonym od Internetu.


Aplikacje Cryptojacking

Cryptojacking stało się popularne wśród przestępców internetowych ze względu na niskie bariery i łatwość. Ponadto te aplikacje dają im możliwość generowania stałego dochodu w dłuższym okresie. Mimo że mają niższą moc obliczeniową w porównaniu do komputerów, urządzenia mobilne stają się coraz bardziej celem dla Cryptojackingu.

Niezależnie od Cryptojackingu w przeglądarkach internetowych, przestępcy internetowi również opracowują oprogramowanie, które wygląda jak gry, narzędzia pomocnicze lub legalne aplikacje edukacyjne. Niemniej jednak większość z tych aplikacji jest zaprojektowana do uruchamiania kodów, które umożliwiają ukryte wydobycie za pomocą przeglądarki ofiary. Istnieją także aplikacje Cryptojacking, które są reklamowane jako legalni górnicy, ale nagrody są przekazywane deweloperowi aplikacji zamiast użytkowników. Sytuacja stała się gorsza, gdy przestępcy internetowi stali się bardziej zaawansowani i zaczęli publikować lekkie algorytmy wydobywcze, aby uniknąć wykrycia.

Cryptojacking jest niezwykle szkodliwy dla urządzeń mobilnych, ponieważ zmniejsza wydajność i spowalnia urządzenie, a co gorsza, może działać jak złośliwy wirus Trojan Horse.


Można podjąć następujące kroki, aby się przed nimi chronić.

  • Pobieraj aplikacje tylko z oficjalnych sklepów, takich jak Google Play, ponieważ aplikacje pirackie nie są wstępnie sprawdzane i mogą zawierać złośliwe oprogramowanie Cryptojacking.

  • Obserwuj swój telefon, aby uniknąć nadmiernego rozładowania baterii lub przegrzania. Gdy tylko zostanie to wykryte, natychmiast zakończ aplikacje, które to powodują.

  • Utrzymuj swoje urządzenie i aplikacje zaktualizowane, aby naprawić i zamknąć luki w zabezpieczeniach.

  • Użyj przeglądarki, która chroni przed Cryptojackingiem lub zainstaluj popularne dodatki do przeglądarek, takie jak MinerBlock, NoCoin i Adblock.

  • Zainstaluj mobilne oprogramowanie antywirusowe i aktualizuj je, jeśli to możliwe.


Darmowe prezenty i fałszywe aplikacje do wydobywania kryptowalut

To są aplikacje, które udają, że wydobywają kryptowaluty dla swoich użytkowników, ale w rzeczywistości nie robią nic poza wyświetlaniem reklam. Zachęcają użytkowników do utrzymywania aplikacji otwartych, zwiększając nagrody użytkowników z czasem. Niektóre aplikacje zachęcają użytkowników do zostawiania pięciogwiazdkowych ocen, aby zdobyć nagrody, a oczywiście żadne z tych aplikacji nie wydobywa kryptowalut, a ich użytkownicy nie otrzymali żadnych nagród.

Aby chronić się przed tym oszustwem, zrozum, że dla większości kryptowalut wydobycie wymaga wysoko wyspecjalizowanego sprzętu (ASIC), co oznacza, że wydobycie na urządzeniu mobilnym jest niemożliwe. Nawet ilości, które udałoby się wydobyć, byłyby znikome, więc lepiej unikać jakichkolwiek z tych aplikacji.



Aplikacje Clipper

Te aplikacje zmieniają adresy kryptowalut, które kopiujesz, i zastępują je adresami napastnika. W związku z tym, chociaż ofiara może skopiować poprawny adres odbiorcy, adres, który napastnik wkleja, jest adresem, który wkleja, aby przetworzyć transakcję, a tym samym uzyskać środki.

Aby uniknąć stania się ofiarą tych aplikacji, oto kilka środków ostrożności, które możesz podjąć podczas wykonywania transakcji:

  • Zawsze sprawdzaj dwa lub trzy razy adres, który wklejasz w polu odbiorcy. Transakcje w blockchainie są nieodwracalne, więc zawsze musisz być ostrożny.

  • Lepiej sprawdzić cały adres, zamiast jego części. Niektóre aplikacje są wystarczająco sprytne, aby wklejać adresy, które przypominają Twój docelowy adres.



Wymiana SIM


W oszustwie związanym z wymianą karty SIM, przestępcy internetowi mogą uzyskać dostęp do numeru telefonu użytkownika i nim zarządzać. Robią to, wykorzystując techniki inżynierii społecznej, aby oszukać operatorów telefonów komórkowych, aby wydali im nową kartę SIM. Najbardziej znanym przypadkiem oszustwa związanym z wymianą SIM był biznesmen i pionier kryptowalut Michael Terpin. Twierdził, że AT&T zlekceważył jego dane uwierzytelniające związane z telefonem, co doprowadziło do utraty tokenów o wartości ponad 20 milionów dolarów.

Gdy przestępcy internetowi uzyskają dostęp do Twojego numeru telefonu, mogą go użyć do obejścia wszelkiej 2FA, która na tym polega. Następnie mogą uzyskać dostęp do Twoich portfeli i kont handlowych kryptowalut.

Innym sposobem, w jaki przestępcy internetowi mogą działać, jest monitorowanie Twoich wiadomości SMS. Luki w sieciach telekomunikacyjnych mogą pozwolić przestępcom na przechwycenie Twoich wiadomości, które mogą zawierać kod 2FA wysłany do Ciebie.

To, co szczególnie niepokoi w tym ataku, to fakt, że użytkownicy nie są zobowiązani do podejmowania żadnych działań, takich jak pobieranie fałszywego oprogramowania lub klikanie złośliwych linków.


Aby zapobiec staniu się ofiarą takich sztuczek, oto kilka kroków, które należy wziąć pod uwagę:

  • Nie używaj swojego numeru telefonu komórkowego do 2FA przez SMS. Zamiast tego użyj aplikacji takich jak Google Authenticator lub Authy, aby zabezpieczyć swoje konta. W ten sposób przestępcom internetowym będzie trudniej uzyskać dostęp do tych aplikacji, nawet jeśli mają Twój numer telefonu. Możesz również użyć urządzeń 2FA, takich jak YubiKey lub Google Security Titan Key.

  • Nie ujawniaj informacji osobistych w mediach społecznościowych, takich jak Twój numer telefonu komórkowego. Przestępcy internetowi mogą przechwycić te informacje i użyć ich do podszywania się pod Ciebie w innym miejscu.

  • Nigdy nie ogłaszaj w mediach społecznościowych, że posiadasz kryptowaluty, ponieważ uczyni to z Ciebie cel. A jeśli jesteś w sytuacji, w której wszyscy wiedzą, że posiadasz, powinieneś unikać ujawniania informacji osobistych, w tym platform lub portfeli, które używasz.

  • Ustal z dostawcami usług telefonicznych środki ochrony konta. Może to oznaczać dodanie PIN-u lub hasła do konta i określenie, że tylko użytkownicy posiadający znajomość hasła mogą wprowadzać zmiany w koncie. Możesz również zażądać, aby takie zmiany były dokonywane osobiście i nie były dozwolone przez telefon.


WiFi

Przestępcy internetowi nieustannie szukają punktów dostępu w urządzeniach mobilnych, szczególnie tych używających kryptowalut. Tym punktem dostępu jest dostęp do sieci WiFi. Publiczna sieć WiFi jest niebezpieczna, a użytkownicy powinni podjąć środki ostrożności przed połączeniem się z nią. Ryzykują, że przestępcy internetowi uzyskają dostęp do danych na ich urządzeniach mobilnych. Te środki ostrożności zostały omówione w artykule na temat publicznego WiFi.


Zakończenie

Smartfony stały się istotną częścią naszego życia. W rzeczywistości są tak ściśle związane z Twoją tożsamością cyfrową, że mogą stać się Twoimi największymi słabościami. Przestępcy internetowi są tego świadomi i będą nieustannie szukać sposobów na wykorzystanie tego. Zabezpieczanie urządzeń mobilnych przestało być opcją. Stało się koniecznością. Bądź bezpieczny.