Представление сообщества - Автор: WhoTookMyCrypto.com

2017 год был отличным годом для криптовалютного пространства, поскольку быстрый рост оценок привлек внимание средств массовой информации, что привлекло огромное внимание как широкой общественности, так и киберпреступников. Поскольку цифровые валюты стали фаворитами среди преступников, они часто используют их, чтобы обойти традиционные банковские системы и избежать финансового надзора со стороны регулирующих органов.

Учитывая, что люди проводят больше времени за смартфонами, чем за настольными компьютерами, неудивительно, что киберпреступники обращают на них свое внимание. В следующем обсуждении объясняется, как мошенники атакуют пользователей криптовалюты через их мобильные устройства, а также некоторые шаги, которые пользователи могут предпринять, чтобы защитить себя.


Поддельные приложения для цифровой валюты

Поддельные приложения платформы для торговли цифровой валютой

Самым известным примером поддельных приложений для торговли криптовалютой, вероятно, является Poloniex. Еще до запуска официального мобильного торгового приложения в июле 2018 года в Google Play уже было несколько специально разработанных приложений для поддельной платформы Poloniex. У многих пользователей, загрузивших эти мошеннические приложения, были скомпрометированы учетные данные для входа в Poloniex и украдены их криптовалюты. Некоторые приложения даже пошли дальше и запрашивают учетные данные для входа в учетные записи Gmail пользователей. Важно подчеркнуть, что взлому подвергаются только аккаунты без двухфакторной аутентификации (2FA).

Следующие шаги могут помочь защитить вас от мошенничества.

  • Посетите официальный сайт платформы, чтобы проверить, есть ли у них мобильное приложение или нет. Если платформа предлагает это, воспользуйтесь ссылкой, представленной на их веб-сайте.

  • Читайте отзывы и рейтинги. Мошеннические приложения часто имеют много плохих отзывов, и люди жалуются на мошенничество, поэтому обязательно проверьте их перед загрузкой. Однако вам также следует скептически относиться к приложениям, которые предлагают отличные рейтинги и обзоры, поскольку любое законное приложение имеет свою долю отрицательных отзывов.

  • Проверьте информацию о разработчике приложения. Узнайте, указана ли законная компания, адрес электронной почты и веб-сайт. Вам также следует выполнить онлайн-поиск предоставленной информации, чтобы узнать, действительно ли она связана с официальной платформой или нет.

  •  Проверьте количество загрузок. Вам также следует принять во внимание количество загрузок приложения, поскольку маловероятно, что популярное приложение платформы для торговли криптовалютой будет иметь небольшое количество загрузок.

  • Включите 2FA в своих учетных записях. Хотя 2FA не является на 100% безопасным, его сложно обойти, и он может существенно повлиять на защиту ваших средств. Даже если ваши данные для входа украдены.


Поддельные приложения для криптовалютных кошельков

Существует много разных типов поддельных приложений. Одна форма запрашивает личную информацию пользователей, такую ​​как пароли кошельков и закрытые ключи.

В некоторых случаях поддельные приложения предоставляют пользователям заранее сгенерированные публичные адреса. Поэтому они предполагают, что деньги зачисляются по этим адресам. Но у них нет доступа к закрытым ключам и, следовательно, они не могут получить доступ к отправленным им средствам.

Такие поддельные кошельки были созданы для популярных криптовалют, таких как Ethereum и Neo, и, к сожалению, многие пользователи потеряли таким образом свои деньги. Вот несколько профилактических шагов, которые можно предпринять, чтобы не стать жертвой:

  • Меры предосторожности, описанные выше в разделе «Применение платформы», применимы в равной степени. Однако дополнительная мера предосторожности, которую вы можете принять при работе с приложениями-кошельками, заключается в том, чтобы гарантировать, что при первом открытии приложения создаются новые адреса и что у вас есть закрытые ключи (мнемонические начальные числа). Легитимное приложение-кошелек позволяет экспортировать закрытые ключи, но также важно гарантировать, что создание новых пар ключей не будет скомпрометировано. Поэтому вам следует использовать надежное программное обеспечение (желательно с открытым исходным кодом).

  • Даже если приложение предоставляет вам закрытый ключ (или первичный ключ), вам следует проверить, можно ли получить публичные адреса и получить к ним доступ. Например, некоторые биткойн-кошельки позволяют пользователям импортировать свои личные ключи или начальные значения для визуализации адресов и доступа к средствам. Чтобы снизить риск компрометации ключей и семян. Сделать это можно на компьютере, отключенном от Интернета).


Приложения для криптоджекинга

Криптоджекинг был фаворитом среди киберпреступников из-за его низких барьеров и простоты. Более того, эти приложения предоставляют им возможность получения долгосрочного регулярного дохода. Несмотря на меньшую вычислительную мощность по сравнению с компьютерами, мобильные устройства все чаще становятся объектом криптоджекинга.

Независимо от криптоджекинга в веб-браузере. Киберпреступники также разрабатывают программное обеспечение, которое выглядит как законные игры, утилиты или образовательные приложения. Однако большинство этих приложений предназначены для запуска кодов криптоджекинга через браузер жертвы. Существуют также приложения для криптоджекинга, которые рекламируются как законные майнеры, но вознаграждение доставляется разработчику приложения, а не пользователям. Ситуация ухудшается, поскольку киберпреступники стали более изощренными и стали использовать облегченные алгоритмы майнинга, чтобы избежать обнаружения.

Криптоджекинг невероятно вреден для мобильных устройств, поскольку снижает производительность, замедляет работу устройства и, что еще хуже, может действовать как вредоносный троянский конь.


Для защиты от них можно предпринять следующие шаги.

  • Загружайте приложения только из официальных магазинов, таких как Google Play. Пиратские приложения не проходят предварительную проверку и могут содержать программное обеспечение для криптоджекинга.

  • Следите за своим телефоном на предмет чрезмерного разряда аккумулятора или перегрева. После обнаружения немедленно закройте приложения, вызывающие его.

  • Обновляйте свое устройство и приложения до тех пор, пока уязвимости безопасности не будут исправлены и закрыты.

  • Используйте браузер, защищающий от криптоджекинга, или установите популярные плагины для браузера, такие как MinerBlock, NoCoin и Adblock.

  • Установите мобильное антивирусное программное обеспечение и по возможности обновляйте его.


Бесплатные раздачи и поддельные приложения для майнинга криптовалюты

Это приложения, которые делают вид, что добывают криптовалюту для своих пользователей, но на самом деле ничего не делают, кроме показа рекламы. Они стимулируют пользователей оставлять приложения открытыми, увеличивая с течением времени вознаграждение для пользователей. Некоторые приложения поощряют пользователей оставлять 5-звездочные оценки, чтобы получить вознаграждение. Конечно, ни одно из этих приложений не майнит цифровую валюту, и их пользователи не получают никаких вознаграждений.

Я понимаю, что для защиты от этого мошенничества для майнинга большинства криптовалют требуется узкоспециализированное оборудование (ASIC), а это означает, что майнинг на мобильном устройстве невозможен. Даже суммы, которые вы сможете добыть, будут очень незначительными, поэтому лучше держаться подальше от любого из этих приложений.



Приложения Clipper

Эти приложения изменяют адреса копируемых ими цифровых валют и заменяют их адресами злоумышленника. Таким образом, хотя жертва может скопировать правильный адрес получателя, злоумышленник заменяет тот адрес, который он вставляет для обработки транзакции и, таким образом, получения денег.

Чтобы не стать жертвой этих приложений, вот некоторые меры предосторожности, которые вы можете принять при совершении транзакций:

  • Всегда дважды и трижды проверяйте адрес, который вы вставляете в поле получателя. Транзакции в блокчейне необратимы, поэтому вам всегда следует быть осторожным.

  • Лучше проверить весь адрес, а не его части. Некоторые приложения достаточно умны, чтобы вставлять адреса, похожие на предполагаемый адрес.



Замена SIM-карты


В ходе мошенничества с заменой SIM-карты киберпреступники получают доступ к номеру телефона пользователя и контролируют его. Они делают это, используя методы социальной инженерии, чтобы обманом заставить операторов мобильной связи выдать им новую SIM-карту. В самой известной афере с заменой SIM-карты участвовал предприниматель и пионер криптовалюты Майкл Терпин. Он утверждал, что AT&T проявила халатность при обращении с учетными данными его мобильного телефона, в результате чего он потерял жетоны на сумму более 20 миллионов долларов.

Как только киберпреступники получат доступ к вашему номеру телефона, они смогут использовать его для обхода любой 2FA на его основе. После этого они смогут получить доступ к вашим кошелькам и счетам для торговли цифровой валютой.

Еще один метод, который могут использовать киберпреступники, — это отслеживание ваших SMS-сообщений. Изъяны в сетях связи могут позволить преступникам перехватить ваши сообщения, которые могут включать отправленный вам двухфакторный код (2FA).

Что особенно беспокоит в этой атаке, так это то, что пользователям не требуется предпринимать какие-либо действия, такие как загрузка поддельного программного обеспечения или переход по вредоносной ссылке.


Чтобы не стать жертвой такого мошенничества, следует помнить о следующих шагах: 

  • Не используйте номер своего мобильного телефона для SMS-сообщений с 2FA. Вместо этого используйте такие приложения, как Google Authenticator или Authy, для защиты своих учетных записей. Киберпреступникам становится сложно получить доступ к этим приложениям, даже если у них есть ваш номер телефона. Кроме того, вы можете использовать оборудование 2FA, такое как YubiKey или Google Security Titan Key.

  • Не раскрывайте личную информацию в социальных сетях, например номер вашего мобильного телефона. Киберпреступники могут перехватить эту информацию и использовать ее, чтобы выдать себя за вас в другом месте.

  • Никогда не следует рекламировать в социальных сетях, что вы владеете криптовалютами, поскольку это сделает вас мишенью. Если вы находитесь в ситуации, когда все знают, что вы являетесь его владельцем, вам следует избегать раскрытия личной информации, включая платформы или кошельки, которые вы используете.

  • Договоритесь с поставщиками услуг мобильной связи о защите вашей учетной записи. Это может означать привязку PIN-кода или пароля к вашей учетной записи и требование, чтобы только пользователи, знающие PIN-код, могли вносить изменения в учетную запись. Вы также можете запросить такие изменения лично и не разрешать их по телефону.


Wi-Fi

Киберпреступники постоянно ищут точки входа в мобильные устройства, особенно пользователей криптовалют. Эта точка входа предназначена для доступа к сети Wi-Fi. Общественный Wi-Fi небезопасен, и пользователям следует принять меры предосторожности перед подключением к нему. Они рискуют, что киберпреступники получат доступ к данным на их мобильных устройствах. Эти меры предосторожности описаны в статье об общедоступном Wi-Fi.


Заключительные мысли

Мобильные телефоны стали неотъемлемой частью нашей жизни. На самом деле, оно настолько переплетено с вашей цифровой идентичностью, что может стать вашей самой большой уязвимостью. Киберпреступники знают об этом и всегда будут искать способы этим воспользоваться. Безопасность мобильного устройства не является обязательной. Это стало необходимостью. Будьте в безопасности