Вклад сообщества - Автор: WhoTookMyCrypto.com


2017 год стал историческим для криптовалютной индустрии. Высокий рост рынка означал, что средства массовой информации стали уделять этому пространству гораздо больше внимания. Естественно, это вызвало интерес не только у широкой общественности, но и у киберпреступников. Поскольку криптовалюты обеспечивают определенную степень анонимности, они стали одной из любимых альтернатив среди преступников, которые часто используют их для обхода традиционных банковских систем и уклонения от финансового надзора со стороны регулирующих органов.

Учитывая, что люди проводят больше времени на своих смартфонах, чем на настольных компьютерах, неудивительно, что киберпреступники также обратили свое внимание на мобильные устройства. В следующем обсуждении рассказывается о том, как мошенники атакуют пользователей криптовалюты через их смартфоны, а также о некоторых мерах предосторожности, которые они могут предпринять, чтобы защитить себя от этих атак.


Криптовалютные мошеннические приложения

Мошеннические приложения для обмена

Случай с Poloniex, вероятно, является самым известным примером мошеннического приложения для обмена криптовалютой. До официального запуска своего торгового приложения в июле 2018 года Google Play уже перечислил несколько поддельных брокерских приложений Poloniex, которые были намеренно разработаны так, чтобы быть функциональными. У нескольких пользователей, загрузивших эти приложения, были скомпрометированы данные для входа в Poloniex и украдены их криптовалюты. Некоторые приложения пошли еще дальше, запрашивая данные для входа в учетные записи Gmail пользователей. Важно подчеркнуть, что были скомпрометированы только учетные записи без двухфакторной проверки (2FA).

Следующие шаги могут помочь защититься от такого рода мошенничества.

  • Посетите официальный сайт брокера, чтобы убедиться, что он предлагает мобильное приложение для торговли. Если да, воспользуйтесь ссылкой, представленной на официальном сайте.

  • Читайте комментарии и оценки. Мошеннические приложения обычно имеют много негативных отзывов от людей, жалующихся на мошенничество, поэтому проверьте их перед загрузкой. Однако вам также следует опасаться приложений с отличными отзывами и рейтингами. Любое легальное приложение имеет определенный процент отрицательных отзывов. 

  • Проверьте информацию о разработчике приложения. Убедитесь, что указаны законное название компании, адрес электронной почты и официальный веб-сайт.  Вам также следует провести онлайн-исследование представленной информации, чтобы убедиться, что она действительно связана с официальным брокером.

  • Проверьте количество загрузок. Эту информацию также следует учитывать: очень популярная биржа криптовалют вряд ли будет иметь небольшое количество загрузок.

  • Включите двухфакторную проверку (2FA). Хотя 2FA не на 100% безопасен, его гораздо сложнее обойти, и он может существенно повлиять на защиту ваших средств, даже если ваши учетные данные для входа были взломаны.


Поддельные приложения для криптовалютных кошельков

Существует несколько типов поддельных приложений. Один из этих типов пытается получить личную информацию от пользователей, такую ​​как пароли их кошельков и закрытые ключи.

В некоторых случаях поддельные приложения предоставляют пользователям заранее сгенерированные публичные адреса. Тем самым давая им понять, что средства необходимо вносить по этим адресам. Однако они не получают доступа к закрытым ключам и, следовательно, не имеют доступа к средствам, отправленным на эти адреса.

Эти типы поддельных кошельков были созданы для популярных криптовалют, таких как Ethereum и Neo, и, к сожалению, многие пользователи потеряли свои монеты. Вот некоторые меры предосторожности, которые вы можете предпринять, чтобы не стать жертвой:

  • Изложенные выше меры предосторожности в равной степени применимы и к сегменту брокерских приложений. Однако дополнительная мера предосторожности, которую вы можете принять при работе с приложениями-кошельками, заключается в том, чтобы гарантировать, что новые адреса генерируются, как только вы открываете приложение в первый раз, и что у вас есть закрытые ключи (или мнемонические начальные числа). Легитимное приложение-кошелек позволяет экспортировать закрытые ключи, но также важно обеспечить, чтобы создание новых пар ключей не было скомпрометировано. Поэтому вам следует использовать приложение с хорошей репутацией (желательно с открытым исходным кодом). 

  • Даже если приложение предоставляет вам закрытый ключ (или начальное число), вы должны проверить, можно ли с его помощью генерировать публичные адреса и получать к ним доступ. Например, некоторые биткойн-кошельки позволяют пользователям импортировать свои личные ключи или начальные значения для просмотра адресов и доступа к своим средствам. Чтобы свести к минимуму риск компрометации ключей или семян, вам следует делать это на компьютере, отключенном от Интернета.


Приложения для криптоджекинга

Криптоджекинг пользуется популярностью среди мошенников из-за низких входных барьеров и небольших затрат. Кроме того, этот тип мошенничества интересен тем, что дает мошенникам возможность получать регулярный и долгосрочный доход. Несмотря на более низкую вычислительную мощность по сравнению с настольными компьютерами, мобильные устройства становятся постоянной мишенью для криптоджекинга.

Помимо криптоджекинга с использованием веб-браузера, мошенники также разрабатывают игры, утилиты и образовательные программы, которые кажутся законными. Однако многие из этих программ разработаны для выполнения сценариев (команд) для тайного майнинга криптовалют. 

Существуют также приложения для криптоджекинга, которые рекламируются как официальные майнеры, но вознаграждение получают разработчик приложения, а не пользователи.

Что еще хуже, мошенники становятся все более изощренными, запуская очень легкие алгоритмы майнинга, чтобы избежать обнаружения.

Криптоджекинг чрезвычайно вреден для ваших мобильных устройств, поскольку снижает производительность и ускоряет износ внутренних компонентов. Хуже того, он может выступать в качестве потенциального троянского коня для других, более опасных инфекций. 

Следующие шаги можно предпринять для предотвращения криптоджекинга.

  • Скачивайте только те приложения, которые доступны в официальных магазинах, например Google Play. Пиратские приложения не подвергались предварительному сканированию и, скорее всего, содержат скрипты для криптоджекинга.

  • Следите за своим мобильным телефоном, чтобы выявить чрезмерное использование батареи или перегрев. После выявления закройте приложения, вызывающие проблему.

  • Постоянно обновляйте свое устройство и приложения, чтобы уязвимости безопасности часто устранялись.

  • Используйте веб-браузер с защитой от криптоджекинга или установите надежные плагины, такие как MinerBlock, NoCoin и Adblock.

  • Если есть возможность, установите антивирусные программы и регулярно обновляйте их.


Поддельные приложения для майнинга криптовалюты и лотереи

Эти приложения делают вид, что добывают криптовалюту для своих пользователей, но на самом деле они не делают ничего, кроме показа рекламы. Они поощряют пользователей оставлять приложения открытыми, обещая предполагаемое вознаграждение с течением времени. Некоторые из них даже поощряют пользователей оставлять в магазине 5-звездочные отзывы, используя такие же обещания. Конечно, ни одно из этих приложений на самом деле не занимается майнингом криптовалют, и их пользователи никогда не получат никаких вознаграждений.

Чтобы защитить себя от мошенничества такого типа, необходимо понимать, что в большинстве криптовалют для майнинга обязательным условием является узкоспециализированное оборудование, называемое ASIC, а это означает, что майнинг с помощью мобильного устройства невозможен. Любая сумма, которую вам удастся добыть, в лучшем случае будет крошечной. Держитесь подальше от этих приложений.


Приложения для стрижки

Эти приложения изменяют адреса криптовалют, которые вы копируете, и заменяют их адресами злоумышленника. Таким образом, хотя жертва копирует правильный адрес, как только она его вставляет, он заменяется действительным адресом, но принадлежащим злоумышленнику.

Чтобы не стать жертвой подобных приложений, вот некоторые меры предосторожности, которые вы можете принять при обработке транзакций.

  • Всегда проверяйте адрес, который вы вводите в поле получателя, как минимум два или три раза. Транзакции в блокчейне необратимы, поэтому всегда следует быть осторожным.

  • Лучше проверить весь адрес, а не только его части. Некоторые приложения достаточно умны, чтобы вставлять адреса, похожие на те, которые вы хотели.


Смена чипа

При мошенничестве с заменой SIM-карты мошенник получает доступ к номеру телефона пользователя. Они делают это, применяя методы социальной инженерии, чтобы обманом заставить операторов мобильной связи выдать новую SIM-карту. Самая известная на сегодняшний день афера с обменом чипов связана с криптовалютным предпринимателем по имени Майкл Терпин. Он утверждал, что оператор AT&T халатно относился к его телефонным учетным данным, что привело к потере монет на сумму, эквивалентную 20 миллионам долларов США.

Как только мошенники получат доступ к вашему номеру телефона, они смогут использовать его для обхода потенциальной защиты 2FA, основанной на текстовых сообщениях (SMS). Оттуда они имеют доступ к вашим криптовалютным кошелькам и брокерским счетам.

Еще один метод, который могут использовать мошенники, — это отслеживание ваших текстовых сообщений (SMS). Некоторые недостатки в сетях связи позволяют преступникам перехватывать ваши сообщения, которые могут включать ваш пароль защиты 2FA.

Что делает эту атаку особенно тревожной, так это то, что от пользователей не требуется выполнять какие-либо действия, такие как загрузка поддельных программ или переход по зараженным ссылкам.

Чтобы не стать еще одной жертвой такого мошенничества, вот несколько шагов, которые следует учитывать.

  • Не используйте свой номер телефона для получения паролей 2FA по SMS. Вместо этого используйте такие приложения, как Google Authenticator или Authy, для защиты своих учетных записей. Мошенники не смогут получить доступ к этим приложениям, даже если у них есть ваш номер телефона. Другой альтернативой является использование оборудования 2FA, такого как YubiKey или Google Titan Security Key.

  • Не раскрывайте личную информацию в социальных сетях, например номер телефона. Мошенники могут использовать эту информацию, чтобы выдать себя за вас в другом месте, будь то в социальных сетях или в физических местах. 

  • Никогда не следует публиковать в социальных сетях информацию о том, что вы владеете криптовалютой, это сделает вас мишенью. А если вы находитесь в ситуации, когда все знают, что у вас есть криптовалюты, избегайте раскрытия личной информации, например, кошельков и брокеров, которыми вы пользуетесь.

  • Обсудите со своими поставщиками мобильных телефонов более безопасный способ защиты вашей учетной записи. Хороший вариант — попросить привязать к вашей учетной записи пароль или ПИН-код, чтобы вносить в него изменения могли только те, у кого есть этот код. Альтернативно вы можете потребовать, чтобы все изменения вносились лично, запретив любые изменения по телефону.


Wi-Fi

Мошенники постоянно ищут уязвимости в мобильных устройствах, особенно в тех, у владельцев которых есть криптовалюты. Одной из таких уязвимостей является доступ к общедоступной сети Wi-Fi, и пользователи должны принять определенные меры предосторожности, прежде чем устанавливать соединение с ней. В противном случае они рискуют получить доступ к данным на своих мобильных устройствах мошенникам. Эти меры предосторожности были описаны в статье об общедоступном Wi-Fi.


Заключительные соображения

Мобильные телефоны стали неотъемлемой частью нашей жизни. Фактически, они настолько связаны с вашей цифровой личностью, что могут стать вашей самой большой уязвимостью. Преступники знают это и будут продолжать попытки найти способы воспользоваться этой проблемой. Защита ваших мобильных устройств больше не является необязательной, а необходимостью. Оставайтесь в безопасности.