Kryptovaluutat ovat kehittyneet hämäräperäisestä sivuprojektista miljardiluokan toimijaksi. vaihtoehtoinen omaisuusluokka viimeisen vuosikymmenen aikana. Vaikka lohkoketju suunniteltiin turvallisia transaktioita varten, teknologian muuttumaton ja verkossa tapahtuva luonne tekee siitä houkuttelevan kohteen kyberhyökkäyksille. Asianmukainen kyberhygienia on välttämätöntä kaikille kryptovaluuttaa hallussaan pitäville.
Monet rikolliset käyttävät sosiaalista manipulointia huijatakseen käyttäjiä luovuttamaan tilitietonsa tai kryptovaluuttaa. Toiset taas hakkeroivat kryptopörssejä ja nettilompakoita varastaakseen kryptovaluuttaa. On tärkeää ymmärtää nämä hyökkäykset ja ryhtyä oikeisiin varotoimiin uhriksi joutumisen välttämiseksi.
Tarkastellaanpa kolmea yleisintä hyökkäystä ja keinoja suojella itseäsi.
Hakkeroitujen kryptopörssien
hakkerit varasti äskettäin yli 7 000 bitcoinia Binancelta, maailman suurimmalta kryptopörssiltä, toukokuussa 2019. Hyökkäys osoittaa, että edes suurimmat pörssit eivät ole immuuneja kyberhyökkäyksille huolimatta niiden investoinneista turvallisuuteen.
Hienostuneessa kyberhyökkäyksessä siirrettiin tuolloin 41 miljoonan dollarin – ja nyt 83 miljoonan dollarin – arvosta kryptovaluuttaa yhdellä tapahtumalla päästyään käsiksi käyttäjien API-avaimiin, kaksivaiheisiin todennuskoodeihin ja muihin tietoihin. Hyökkääjät siirtävät nyt bitcoineja eri tileille yrittääkseen pestä ja nostaa varastettuja varojaan.
Binancen turvallinen omaisuusrahasto käyttäjille, eli SAFU, kattaa hyökkäyksestä aiheutuneet tappiot. SAFU-ohjelma pidättää kymmenen prosenttia kaikista pörssin tuottamista kaupankäyntimaksuista käyttäjien suojaamiseksi hyökkäyksen sattuessa. Kolikot tallennetaan omaan kylmälompakkoonsa, jotta ne pysyvät suojattuina kyberhyökkäyksen sattuessa – mutta kaikilla pörsseillä ei ole tällaisia käytäntöjä.
Näiltä hyökkäyksiltä pörsseissä voi suojautua useilla tavoilla:
- VakuutusMonilla pörsseillä on jonkinlainen vakuutus käyttäjille sen varmistamiseksi, että heidän pääomansa on turvassa myös hyökkäyksen sattuessa. Esimerkiksi Coinbasella on käytössä vakuutus ja se pitää alle kahta prosenttia asiakkaidensa varoista verkossa, jossa se on alttiina hyökkäyksille.
- Kaksitasoinen todennusMonet pörssit tukevat kaksivaiheista todennusta, joka vaatii sekä salasanan että turvakoodin tilin käyttämiseen. Nämä turvakoodit lähetetään tekstiviestinä matkapuhelimeen tai niihin pääsee käsiksi älypuhelinsovelluksen, kuten Google Authenticator.
- Ainutlaatuiset salasanatMonet ihmiset käyttävät heikkoja salasanoja useilla tileillä vaihtamatta niitä säännöllisesti, mikä on merkittävä tietoturvariski. On hyvä varmistaa, että salasanat ovat yksilöllisiä kullekin tilille ja että ne päivitetään säännöllisesti (esim. kolmen kuukauden välein).
SIM-kortin vaihtohakkerointi
Kaksivaiheisesta todennuksesta on tullut suosittu tapa suojata kryptovaluuttoja kyberhyökkäyksiltä. Vaikka salasana varastettaisiin, rikolliset eivät pääse tilille ilman pääsyä kohteen puhelimeen tai todennussovellukseen. On helppo olettaa, että nämä toimenpiteet pidä tilisi turvassa, mutta kyberrikolliset voivat silti päästä käsiksi joihinkin tarkoituksiin.
SIM-korttien vaihtoja tapahtuu, kun hyökkääjät esiintyvät uhrien matkapuhelinnumeroiden omistajina ja suostuttelevat teleoperaattorit antamaan heille pääsyn puheluihin ja viesteihin SIM-kortin avulla. Käyttämällä voimassa olevaa puhelinnumeroa hyökkääjät voivat ohittaa kaksivaiheisen todennusmenetelmän vastaanottamalla vahvistuskoodeja tekstiviestitse tai pyytämällä salasanan vaihtoa.
Esimerkiksi kryptovaluuttasijoittaja ja yrittäjä Michael Terpin voitti äskettäin 75 miljoonan dollarin tuomio Nicholas Trugliaa vastaan, hakkeria, joka käytti SIM-kortinvaihtohakkerointia saadakseen Terpinin tilin haltuunsa ja varastaakseen 23.8 miljoonan dollarin arvosta kryptovaluuttaa vuonna 2018. Truglia käytti samaa tekniikkaa huijatakseen ainakin kuutta muuta uhria.
Näiltä hyökkäyksiltä voi suojautua useilla tavoilla:
- KylmävarastoPitkäaikaiset sijoittajat saattavat säilyttää suurimman osan kryptovaluutastaan offline-tilassa kylmäsäilytyksessä ja vain tarvitsemansa kolikot pörsseissä tai nettilompakoissa. Esimerkiksi Ledger Nano tai Trezor ovat kaksi suosittua laitteistolompakkoa kryptovaluuttojen turvalliseen offline-säilytykseen.
- Aseta PIN -koodiMonet langattomat operaattorit antavat käyttäjien luoda PIN-koodin tai salasanan tililleen, mikä lisää suojauskerroksen SIM-kortin vaihtohyökkäyksiä vastaan. Näiden PIN-koodien tai salasanan tulisi olla erilaiset kuin muiden sellaisten tilien salasanat, jotka saattavat vaarantua.
- Vaihtoehtoinen todennusTodennussovellukset saattavat olla turvallisempia kuin tekstiviestipohjainen kaksivaiheinen todennus. Fyysiset kaksivaiheiset todennusmenetelmät, kuten Yubikeys, ovat vieläkin turvallisempia, koska ne vaativat hyökkääjiltä USB-laitteen fyysistä varastamista TFA-koodien käyttämiseksi.
Mikä on sosiaalinen suunnittelu?
Sosiaalista manipulointia tapahtuu, kun rikolliset huijausuhrit siirtämään kryptovaluuttaa lompakkoihinsa tai luovuttamaan tilitietojaan – usein rahan lupauksella.
Yleisin sosiaalisen manipuloinnin hyökkäys on pyramidihuijaus eli niin kutsuttu korkeatuottoinen sijoitusohjelma eli HYIP. Näiden huijausten tekijät pyytävät uhreja sijoittamaan kryptovaluuttansa "rahastoon", joka tuottaa tietyn prosenttiosuuden kuukausittain. Huijaus toimii mainostetulla tavalla, kunnes uusilta käyttäjiltä ei tule tarpeeksi rahaa vanhojen käyttäjien maksamiseen.
Toinen yleinen sosiaalisen manipuloinnin hyökkäys liittyy ilmaisiin kryptovaluuttojen arvontoihin. Hyökkääjät esiintyvät yrityksinä tai julkkiksina ja tarjoavat houkuttelevan arvonnan, mutta transaktion mahdollistamiseksi vaaditaan pieni investointi. He voivat esimerkiksi pyytää sinua lähettämään 50 dollarin arvosta bitcoineja saadakseen 200 dollarin arvosta, jotta he tietävät lompakkosi osoitteen.
Näiltä hyökkäyksiltä voi suojautua useilla tavoilla:
- Ole skeptinenUseimmat ilmaisen kryptovaluutan tai keskimääräistä korkeamman tuoton tarjoukset ovat joko korkean riskin tai suoria huijauksia. Ole varovainen näiden tarjousten suhteen – varsinkin jos ne ovat rajoitetun ajan tarjouksia, jotka edellyttävät toimintaasi heti. Jos et ole varma, kysy neuvoa ammattilaiselta.
- Sääntely ja maineLaillisia kryptovaluuttarahastoja sääntelevät valtio tai toimialaryhmät, kuten SEC tai FINRA. Niillä on myös vakiintunut maine suurten sijoittajien tai muiden rahastojen rahastojen keskuudessa. Jos et ole varma, kysy neuvoa talousneuvojalta.
Bottom Line
Kryptovaluuttojen arvon dramaattinen nousu on tehnyt niistä houkuttelevan kohteen kyberhyökkäyksille. Vaikka useimmat hyökkäykset tehdään sosiaalisen manipuloinnin avulla, on olemassa useita teknisiä hakkerointeja, jotka voidaan välttää asianmukaisilla turvatoimilla. Pidä mielessä mainitsemamme vinkit tilisi suojaamiseksi ja voit olla huoletta tietäen, että olet turvassa yleisiltä hyökkäyksiltä.
Rekisteröidy ZenLedgeriin kryptovaluuttatapahtumien seuraamiseen ja suosittujen verolomakkeiden automaattiseen valmisteluun.
