Τα κρυπτονομίσματα έχουν εξελιχθεί από ένα άγνωστο παράπλευρο έργο σε ένα έργο πολλών δισεκατομμυρίων δολαρίων. εναλλακτική κατηγορία περιουσιακών στοιχείων την τελευταία δεκαετία. Ενώ το blockchain σχεδιάστηκε για ασφαλείς συναλλαγές, η αμετάβλητη και διαδικτυακή φύση της τεχνολογίας την καθιστά ελκυστικό στόχο για κυβερνοεπιθέσεις. Η σωστή κυβερνουγιεινή είναι επιτακτική για όποιον κατέχει κρυπτονομίσματα.
Πολλοί εγκληματίες χρησιμοποιούν την κοινωνική μηχανική για να ξεγελάσουν τους χρήστες ώστε να παραδώσουν τα διαπιστευτήρια του λογαριασμού τους ή τα κρυπτονομίσματά τους. Άλλοι παραβιάζουν ανταλλακτήρια κρυπτονομισμάτων και ηλεκτρονικά πορτοφόλια για να κλέψουν κρυπτονομίσματα. Είναι σημαντικό να κατανοείτε αυτές τις επιθέσεις και να λαμβάνετε τις σωστές προφυλάξεις για να αποφύγετε να πέσετε θύμα.
Ας ρίξουμε μια ματιά σε τρεις από τις πιο συνηθισμένες επιθέσεις και στα βήματα που μπορείτε να κάνετε για να προστατευτείτε.
Παραβιασμένα ανταλλακτήρια κρυπτονομισμάτων
hackers πρόσφατα έκλεψε περισσότερα από 7,000 bitcoin από την Binance, το μεγαλύτερο ανταλλακτήριο κρυπτονομισμάτων στον κόσμο σε όγκο, τον Μάιο του 2019. Η επίθεση καταδεικνύει ότι ακόμη και τα μεγαλύτερα ανταλλακτήρια δεν είναι άτρωτα σε κυβερνοεπιθέσεις παρά τις επενδύσεις τους στην ασφάλεια.
Η εξελιγμένη κυβερνοεπίθεση μετέφερε κρυπτονομίσματα αξίας τότε 41 εκατομμυρίων δολαρίων — και τώρα 83 εκατομμυρίων δολαρίων — σε μία μόνο συναλλαγή, αφού απέκτησε πρόσβαση σε κλειδιά API χρήστη, κωδικούς επαλήθευσης δύο παραγόντων και άλλες πληροφορίες. Οι επιτιθέμενοι μεταφέρουν τώρα το bitcoin σε διάφορους λογαριασμούς σε μια προσπάθεια να ξεπλύνουν και να εξαργυρώσουν τα κλεμμένα τους κεφάλαια.
Το Ασφαλές Ταμείο Περιουσιακών Στοιχείων της Binance για Χρήστες, ή SAFU, καλύπτοντας τις ζημίες από την επίθεση. Το πρόγραμμα SAFU διατηρεί το δέκα τοις εκατό όλων των τελών συναλλαγών που δημιουργούνται από το χρηματιστήριο για την προστασία των χρηστών σε περίπτωση επίθεσης. Τα κρυπτονομίσματα αποθηκεύονται στο δικό τους ψυχρό πορτοφόλι για να προστατεύονται σε περίπτωση κυβερνοεπίθεσης — αλλά δεν έχουν όλα τα χρηματιστήρια τέτοιου είδους πολιτικές.
Υπάρχουν διάφοροι τρόποι για να προστατευτείτε από αυτές τις επιθέσεις σε ανταλλακτήρια:
- ΑσφάλισηΠολλά ανταλλακτήρια έχουν κάποιο είδος ασφαλιστικής πολιτικής για τους χρήστες, ώστε να διασφαλίζεται ότι το κεφάλαιό τους είναι ασφαλές ακόμη και σε περίπτωση επίθεσης. Για παράδειγμα, η Coinbase έχει σε ισχύ ασφαλιστική πολιτική και διατηρεί λιγότερο από το δύο τοις εκατό των κεφαλαίων των πελατών στο διαδίκτυο, όπου είναι εκτεθειμένη σε επίθεση.
- Έλεγχος ταυτότητας δύο παραγόντωνΠολλά ανταλλακτήρια υποστηρίζουν τον έλεγχο ταυτότητας δύο παραγόντων, ο οποίος απαιτεί τόσο κωδικό πρόσβασης όσο και κωδικό ασφαλείας για την πρόσβαση σε έναν λογαριασμό. Αυτοί οι κωδικοί ασφαλείας αποστέλλονται μέσω μηνύματος SMS σε κινητό τηλέφωνο ή είναι προσβάσιμοι μέσω μιας εφαρμογής smartphone, όπως π.χ. Επαληθευτής Google.
- Μοναδικοί κωδικοί πρόσβασηςΠολλοί άνθρωποι χρησιμοποιούν αδύναμους κωδικούς πρόσβασης σε πολλούς λογαριασμούς χωρίς να τους αλλάζουν σε τακτική βάση, γεγονός που αποτελεί σημαντικό κίνδυνο ασφαλείας. Είναι καλή ιδέα να διασφαλίσετε ότι οι κωδικοί πρόσβασης είναι μοναδικοί για κάθε λογαριασμό και ενημερώνονται σε τακτική βάση (π.χ. κάθε τρεις μήνες).
Κόλπο ανταλλαγής SIM
Ο έλεγχος ταυτότητας δύο παραγόντων έχει γίνει ένας δημοφιλής τρόπος για την προστασία των κρυπτονομισμάτων από κυβερνοεπιθέσεις. Ακόμα και αν κλαπεί ένας κωδικός πρόσβασης, οι εγκληματίες δεν μπορούν να έχουν πρόσβαση στον λογαριασμό χωρίς πρόσβαση στο τηλέφωνο ή την εφαρμογή ελέγχου ταυτότητας του στόχου. Είναι εύκολο να υποθέσουμε ότι αυτά τα μέτρα... κρατήστε τον λογαριασμό σας ασφαλή, αλλά υπάρχουν ορισμένοι τρόποι με τους οποίους οι εγκληματίες του κυβερνοχώρου μπορούν ακόμα να αποκτήσουν πρόσβαση.
Οι αλλαγές SIM συμβαίνουν όταν οι εισβολείς παρουσιάζονται ως κάτοχοι των αριθμών κινητών τηλεφώνων των θυμάτων και πείθουν τους παρόχους τηλεπικοινωνιών να τους παραχωρήσουν πρόσβαση στις κλήσεις και τα μηνύματά τους με μια κάρτα SIM. Με πρόσβαση σε έναν έγκυρο αριθμό τηλεφώνου, οι εισβολείς μπορούν να παρακάμψουν τις μεθόδους ελέγχου ταυτότητας δύο παραγόντων λαμβάνοντας κωδικούς επιβεβαίωσης μέσω μηνύματος κειμένου ή ζητώντας επαναφορά κωδικού πρόσβασης.
Για παράδειγμα, ο επενδυτής και επιχειρηματίας κρυπτονομισμάτων Michael Terpin πρόσφατα κέρδισε μια καταδικαστική απόφαση ύψους 75 εκατομμυρίων δολαρίων εναντίον του Nicholas Truglia, του χάκερ που χρησιμοποίησε την παραβίαση της ανταλλαγής SIM για να αποκτήσει τον έλεγχο του λογαριασμού του Terpin και να κλέψει κρυπτονομίσματα αξίας 23.8 εκατομμυρίων δολαρίων το 2018. Ο Truglia χρησιμοποίησε την ίδια τεχνική για να εξαπατήσει τουλάχιστον έξι άλλα θύματα.
Υπάρχουν διάφοροι τρόποι για να προστατευτείτε από αυτές τις επιθέσεις:
- Cold StorageΟι μακροπρόθεσμοι επενδυτές μπορούν να διατηρούν το μεγαλύτερο μέρος των κρυπτονομισμάτων τους αποθηκευμένο εκτός σύνδεσης σε ψυχρή αποθήκευση και μόνο τα νομίσματα που χρειάζονται σε ανταλλακτήρια ή ηλεκτρονικά πορτοφόλια. Για παράδειγμα, το Ledger Nano ή το Trezor είναι δύο δημοφιλή πορτοφόλια υλικού για την ασφαλή αποθήκευση κρυπτονομισμάτων εκτός σύνδεσης.
- Ορίστε έναν κωδικό PINΠολλοί πάροχοι ασύρματων δικτύων επιτρέπουν στους χρήστες να δημιουργήσουν έναν κωδικό PIN ή έναν κωδικό πρόσβασης στον λογαριασμό τους, κάτι που προσθέτει ένα ακόμη επίπεδο προστασίας από επιθέσεις ανταλλαγής SIM. Αυτοί οι κωδικοί PIN ή οι κωδικοί πρόσβασης θα πρέπει να διαφέρουν από τους κωδικούς πρόσβασης που χρησιμοποιούνται σε άλλους λογαριασμούς που θα μπορούσαν να παραβιαστούν.
- Εναλλακτικός έλεγχος ταυτότηταςΟι εφαρμογές ελέγχου ταυτότητας ενδέχεται να είναι πιο ασφαλείς από τον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε SMS. Οι μέθοδοι φυσικού ελέγχου ταυτότητας δύο παραγόντων, όπως το Yubikeys, είναι ακόμη πιο ασφαλείς, καθώς απαιτούν από τους εισβολείς να κλέψουν φυσικά τη συσκευή USB για να έχουν πρόσβαση σε κωδικούς TFA.
Τι είναι η Κοινωνική Μηχανική;
Η κοινωνική μηχανική συμβαίνει όταν οι εγκληματίες... θύματα απάτης να μεταφέρουν κρυπτονομίσματα στα πορτοφόλια τους ή να παραδώσουν τα διαπιστευτήρια του λογαριασμού τους — συχνά με την υπόσχεση χρημάτων.
Η πιο συνηθισμένη επίθεση κοινωνικής μηχανικής είναι ένα πυραμιδικό σχήμα ή το λεγόμενο επενδυτικό πρόγραμμα υψηλής απόδοσης ή HYIP. Οι δράστες αυτών των συστημάτων ζητούν από τα θύματα να επενδύσουν το κρυπτονόμισμά τους σε ένα «κεφάλαιο» που αποδίδει ένα συγκεκριμένο ποσοστό κάθε μήνα. Η απάτη λειτουργεί όπως διαφημίζεται μέχρι να μην υπάρχουν αρκετά χρήματα που εισρέουν από νέους χρήστες για να αποπληρώσουν τους παλιούς χρήστες.
Μια άλλη συνηθισμένη επίθεση κοινωνικής μηχανικής περιλαμβάνει δωρεάν διανομές κρυπτονομισμάτων. Οι επιτιθέμενοι μιμούνται εταιρείες ή διασημότητες και προσφέρουν ένα ελκυστικό δώρο, αλλά απαιτείται μια μικρή επένδυση για να διευκολυνθεί η συναλλαγή. Για παράδειγμα, μπορεί να σας ζητήσουν να στείλετε bitcoin αξίας 50 δολαρίων για να λάβετε 200 δολάρια, ώστε να γνωρίζουν τη διεύθυνση του πορτοφολιού σας.
Υπάρχουν διάφοροι τρόποι για να προστατευτείτε από αυτές τις επιθέσεις:
- Να είστε δύσπιστοιΟι περισσότερες προσφορές για δωρεάν κρυπτονομίσματα ή υψηλότερες από τις μέσες αποδόσεις είναι είτε υψηλού κινδύνου είτε απάτες. Να είστε επιφυλακτικοί με οποιαδήποτε από αυτές τις προσφορές — ειδικά αν πρόκειται για προσφορές περιορισμένου χρόνου που απαιτούν να δράσετε τώρα. Εάν δεν είστε σίγουροι, ζητήστε τη συμβουλή ενός επαγγελματία.
- Κανονισμός και φήμηΤα νόμιμα κεφάλαια κρυπτονομισμάτων ρυθμίζονται από κυβερνητικές ή βιομηχανικές ομάδες, όπως η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) ή η FINRA. Έχουν επίσης εδραιώσει τη φήμη τους μεταξύ μεγάλων επενδυτών ή άλλων funds of funds. Εάν δεν είστε σίγουροι, ζητήστε τη συμβουλή ενός οικονομικού συμβούλου.
Η κατώτατη γραμμή
Η δραματική αύξηση της αξίας των κρυπτονομισμάτων τα έχει καταστήσει ελκυστικό στόχο για κυβερνοεπιθέσεις. Ενώ οι περισσότερες επιθέσεις πραγματοποιούνται μέσω κοινωνικής μηχανικής, υπάρχουν αρκετά τεχνικά hacks που μπορούν να αποφευχθούν με τις κατάλληλες προφυλάξεις ασφαλείας. Λάβετε υπόψη τις συμβουλές που αναφέραμε για να ασφαλίσετε τους λογαριασμούς σας και να είστε ήσυχοι γνωρίζοντας ότι είστε ασφαλείς από συνηθισμένες επιθέσεις.
Εγγραφείτε στο ZenLedger για την παρακολούθηση των συναλλαγών σας σε κρυπτονομίσματα και την αυτόματη προετοιμασία δημοφιλών φορολογικών εντύπων.
