In de wereld van cryptocurrencies, gedecentraliseerde financiën (defi) en Web3 zijn airdrops gemeengoed geworden in de industrie. Hoewel airdrops klinken als gratis geld, is er een groeiende trend van airdrop phishing-zwendel die het geld van mensen stelen wanneer ze proberen de zogenaamde 'gratis' crypto-activa te bemachtigen. Het volgende is een blik op twee verschillende manieren waarop aanvallers airdrop phishing-zwendel gebruiken om geld te stelen en hoe u uzelf kunt beschermen.
Airdrops betekenen niet altijd 'gratis crypto' - veel airdrop-weggeefacties willen u beroven
Airdrops zijn synoniem geweest met gratis crypto-fondsen, zozeer zelfs dat een toenemende crypto-zwendel genaamd airdrop phishing wijdverbreid is geworden. Als je een deelnemer bent in de crypto-gemeenschap en sociale-mediaplatforms zoals Twitter of Facebook gebruikt, heb je waarschijnlijk een aantal spamberichten gezien waarin allerlei soorten airdrops worden geadverteerd.
Gewoonlijk maakt een populair Twitter-crypto-account een tweet en het wordt gevolgd door een hele reeks oplichters die reclame maken voor airdrop-phishingpogingen en tal van accounts die zeggen dat ze gratis geld hebben ontvangen. De meeste mensen zullen niet vallen voor deze airdrop-zwendel, maar omdat airdrops als gratis crypto worden beschouwd, zijn er een aantal mensen die geld hebben verloren door het slachtoffer te worden van dit soort aanvallen.
De eerste aanval gebruikt dezelfde advertentiemethode op sociale media, aangezien een aantal mensen of bots een link plaatsen die leidt naar de airdrop phishing-scams-webpagina. De verdachte website ziet er misschien heel legitiem uit en kopieert zelfs enkele elementen van populaire Web3-projecten, maar uiteindelijk proberen de oplichters geld te stelen. De gratis airdrop-zwendel kan een onbekende crypto-token zijn, of het kan ook een populair bestaand digitaal activum zijn, zoals BTC, ETH, SHIB, DOGE en meer.
De eerste aanval laat meestal zien dat de airdrop te ontvangen is, maar de persoon moet een compatibele Web3-portemonnee gebruiken om de zogenaamde 'gratis' fondsen op te halen. De website zal leiden naar een pagina die alle populaire Web3-portefeuilles zoals Metamask en anderen toont, maar deze keer, wanneer op de link van de portemonnee wordt geklikt, verschijnt er een foutmelding en zal de site de gebruiker om de seed-zin vragen.
Om ondersteuning te krijgen, opent u MetaMask en navigeert u naar "Ondersteuning" of "Hulp krijgen" in het vervolgkeuzemenu. Vertrouw niemand die u een direct bericht heeft gestuurd. ONDER GEEN ENKELE OMSTANDIGHEID mag u ooit uw geheime herstelzin aan iemand geven of op een site invoeren!
— MetaMask-ondersteuning (@MetaMaskSupport) 29 april 2022
Dit is waar dingen duister worden omdat een Web3-portemonnee nooit om de seed of 12-24 geheugensteun zal vragen, tenzij de gebruiker actief een portemonnee herstelt. Nietsvermoedende gebruikers van airdrop phishing-zwendel kunnen echter denken dat de fout legitiem is en hun seed op de webpagina invoeren, wat uiteindelijk leidt tot het verlies van al het geld dat in de portemonnee is opgeslagen.
Kortom, de gebruiker gaf de aanvallers gewoon de privésleutels door te vallen voor de Web3-portemonnee-foutpagina die om een geheugensteuntje vroeg. Een persoon mag nooit zijn seed of 12-24 geheugensteuntje invoeren als daarom wordt gevraagd door een onbekende bron, en tenzij het nodig is om een portemonnee te herstellen, is het echt nooit nodig om een seed-frase online in te voeren.
Het geven van een schaduwrijke Dapp-machtiging is niet het beste idee
De tweede aanval is wat lastiger en de aanvaller gebruikt de technische details van code om de gebruiker van de Web3-portemonnee te beroven. Evenzo zal de airdrop phishing-zwendel worden geadverteerd op sociale media, maar deze keer wanneer de persoon de webportal bezoekt, kunnen ze hun Web3-portemonnee gebruiken om "verbinding te maken" met de site.
De aanvaller heeft de code echter zo geschreven dat de gebruiker, in plaats van de site leestoegang te geven tot saldi, de site uiteindelijk volledige toestemming geeft om het geld in de Web3-portemonnee te stelen. Dit kan gebeuren door simpelweg een Web3-portemonnee te verbinden met een scam-site en deze toestemming te geven. De aanval kan worden voorkomen door simpelweg geen verbinding te maken met de site en weg te lopen, maar er zijn veel mensen die zijn gevallen voor deze phishing-aanval.
Hier is de nieuwste phishing-zwendel
1️⃣ Airdrop een token
2️⃣ Bouw een website met dezelfde naam zodat deze gemakkelijk te vinden is
3️⃣ Wanneer u vindt wat lijkt te staken voor dit token, geeft de Approve txn onbeperkte besteding van andere tokens (dwz SNX)Dan halen ze de token uit je portemonnee. pic.twitter.com/vICIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) 20 december 2021
Een andere manier om een portemonnee te beveiligen, is door ervoor te zorgen dat de Web3-machtigingen van de portemonnee zijn verbonden met sites die de gebruiker vertrouwt. Als er gedecentraliseerde applicaties (dapps) zijn die duister lijken, moeten gebruikers de machtigingen verwijderen als ze per ongeluk verbinding hebben gemaakt met de dapp door te vallen voor de 'gratis' crypto-zwendel. Meestal is het echter te laat en zodra de dapp toestemming heeft om toegang te krijgen tot het geld van de portemonnee, wordt de crypto van de gebruiker gestolen via de kwaadaardige codering die op de dapp wordt toegepast.
De beste manier om jezelf tegen de twee bovengenoemde aanvallen te beschermen, is door je seed-zin nooit online in te voeren, tenzij je met opzet een portemonnee herstelt. Daarnaast is het ook een goede manier om nooit verbinding te maken of Web3-portemonnee-machtigingen te geven aan duistere Web3-websites en dapps die u niet kent. Deze twee aanvallen kunnen grote verliezen veroorzaken bij nietsvermoedende beleggers als ze niet oppassen voor de huidige airdrop-phishing-trend.
Kent u iemand die het slachtoffer is geworden van deze vorm van phishing? Hoe herken je pogingen tot cryptophishing? Laat ons uw mening weten in de opmerkingen.
Beeldkredieten: Shutterstock, Pixabay, Wiki Commons
Disclaimer: Dit artikel is alleen voor informatieve doeleinden. Het is geen direct aanbod of verzoek tot een aanbod om te kopen of verkopen, of een aanbeveling of goedkeuring van producten, diensten of bedrijven. Bitcoin.com geeft geen beleggings-, belasting-, juridische of boekhoudkundige adviezen. Noch het bedrijf, noch de auteur is verantwoordelijk, direct of indirect, voor enige schade of verlies veroorzaakt of vermeend veroorzaakt te zijn door of in verband met het gebruik van of vertrouwen op enige inhoud, goederen of diensten genoemd in dit artikel.
Bron: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/