Cyberbeveiliging in Web3: uzelf beschermen (en uw aap JPEG)

Hoewel Web3 evangelisten hebben de native beveiligingskenmerken van blockchain al lang aangeprezen, de stortvloed van geld die de industrie binnenstroomt, maakt het een verleidelijk vooruitzicht voor hackers, oplichters en dieven.

Wanneer kwaadwillenden erin slagen de cyberbeveiliging van Web3 te doorbreken, is het vaak te wijten aan gebruikers die de meest voorkomende bedreigingen van menselijke hebzucht, FOMO en onwetendheid over het hoofd zien, in plaats van vanwege gebreken in de technologie.

Veel oplichting beloven grote uitbetalingen, investeringen of exclusieve voordelen; de FTC noemt dit kansen en investeringen om geld te verdienen oplichting.

Veel geld in oplichting

Volgens een 2022 juni verslag door de Federal Trade Commission is sinds 1 meer dan $ 2021 miljard aan cryptocurrency gestolen. En de jachtgebieden van hackers zijn waar mensen online verzamelen.

"Bijna de helft van de mensen die sinds 2021 meldden dat ze crypto kwijt waren aan een oplichterij, zei dat het begon met een advertentie, post of bericht op een social media-platform", aldus de FTC.

Hoewel frauduleuze come-ons te mooi klinken om waar te zijn, kunnen potentiële slachtoffers hun ongeloof opschorten gezien de intense volatiliteit van de cryptomarkt; mensen willen het volgende grote ding niet missen.

Aanvallers die zich richten op NFT's

Samen met cryptocurrencies, NFT's, of niet-fungible tokens, zijn een geworden toenemende populariteit doelwit voor oplichters; volgens Web3 cyberbeveiligingsbedrijf TRM-Labs, verloor de NFT-gemeenschap in de twee maanden na mei 2022 naar schatting $ 22 miljoen aan oplichting en phishing-aanvallen.

"Blue-chip" collecties zoals Bored Ape Yachtclub (BAYC) zijn een bijzonder gewaardeerd doelwit. In april 2022 was het BAYC Instagram-account gehackt door oplichters die slachtoffers hebben omgeleid naar een site die hun Ethereum-portefeuilles van crypto en NFT's heeft leeggezogen. Ongeveer 91 NFT's, met een gezamenlijke waarde van meer dan $ 2.8 miljoen, werden gestolen. Maanden later, een Exploitatie van onenigheid zag NFT's ter waarde van 200 ETH gestolen van gebruikers.

High-profile BAYC-houders zijn ook het slachtoffer geworden van oplichting. Op 17 mei, acteur en producer Seth Green tweette dat hij het slachtoffer was van een phishing-zwendel die resulteerde in de diefstal van vier NFT's, waaronder Bored Ape #8398. Naast het benadrukken van de dreiging van phishing-aanvallen, zou het een door Green geplande televisie-/streamingshow met NFT-thema, "White Horse Tavern", hebben kunnen laten ontsporen. BAYC NFT's omvatten licentierechten om de NFT voor commerciële doeleinden te gebruiken, zoals in het geval van de Verveeld en hongerig fastfoodrestaurant in Long Beach, Californië.

Tijdens een Twitter Spaces-sessie van 9 juni, Groen zei dat hij de gestolen JPEG had teruggevonden nadat hij 165 ETH (toen meer dan $ 295,000) had betaald aan een persoon die de NFT had gekocht nadat deze was gestolen.

"Phishing is nog steeds de eerste aanvalsvector", zegt Luis Lubeck, beveiligingsingenieur bij het cyberbeveiligingsbedrijf Web3. Halborn, Vertelde decoderen.

Lubeck zegt dat gebruikers op de hoogte moeten zijn van nepwebsites die om portemonnee-inloggegevens, gekloonde links en nepprojecten vragen.

Volgens Lubeck kan een phishing-zwendel beginnen met social engineering, waarbij de gebruiker wordt verteld over een vroege token-lancering of dat hij zijn geld 100x zal betalen, een lage API heeft, of dat zijn account is gehackt en een wachtwoordwijziging vereist. Deze berichten komen meestal met een beperkte tijd om te handelen, waardoor de angst van een gebruiker om iets te missen nog groter wordt, ook wel bekend als FOMO.

In het geval van Green kwam de phishing-aanval via een gekloonde link.

Clone phishing is een aanval waarbij een oplichter een website, e-mail of zelfs een eenvoudige link gebruikt en een bijna perfecte kopie maakt die er legitiem uitziet. Green dacht dat hij "GutterCat"-klonen aan het maken was met behulp van wat een phishing-website bleek te zijn.

Toen Green zijn portemonnee verbond met de phishing-website en de transactie ondertekende om de NFT te slaan, gaf hij de hackers toegang tot zijn privésleutels en, op zijn beurt, zijn Bored Apes.

Soorten cyberaanvallen

Inbreuken op de beveiliging kunnen zowel bedrijven als individuen treffen. Hoewel dit geen volledige lijst is, vallen cyberaanvallen die gericht zijn op Web3 doorgaans in de volgende categorieën:

• ? Phishing: Een van de oudste maar meest voorkomende vormen van cyberaanvallen, phishing-aanvallen komen vaak voor in de vorm van e-mail en omvatten het verzenden van frauduleuze communicatie zoals teksten en berichten op sociale media die afkomstig lijken te zijn van een betrouwbare bron. Deze cybercrime kan ook de vorm aannemen van een gecompromitteerde of kwaadwillig gecodeerde website die de crypto of NFT uit een aangesloten browsergebaseerde portemonnee kan afvoeren zodra een cryptoportemonnee is aangesloten.
• ?‍☠️ Malware: Deze overkoepelende term staat voor kwaadaardige software en dekt alle programma's of codes die schadelijk zijn voor systemen. Malware kan een systeem binnendringen via phishing-e-mails, sms-berichten en berichten.
• ? Gecompromitteerde websites: Deze legitieme websites worden gekaapt door criminelen en gebruikt om malware op te slaan die nietsvermoedende gebruikers downloaden zodra ze op een link, afbeelding of bestand klikken.
• ? URL-spoofing: Ontkoppel gecompromitteerde websites; vervalste websites zijn kwaadaardige sites die klonen zijn van legitieme websites. Deze sites, ook wel bekend als URL-phishing, kunnen gebruikersnamen, wachtwoorden, creditcards, cryptocurrency en andere persoonlijke informatie verzamelen.
• ? Valse browserextensies: Zoals de naam al doet vermoeden, gebruiken deze exploits valse browserextensies om crypto-gebruikers te verleiden hun inloggegevens of sleutels in te voeren in een extensie die de cybercrimineel toegang geeft tot de gegevens.

Deze aanvallen zijn meestal gericht op het verkrijgen, stelen en vernietigen van gevoelige informatie of, in het geval van Green, een Bored Ape NFT.

Wat kunt u doen om uzelf te beschermen?

Lubeck zegt dat de beste manier om jezelf tegen phishing te beschermen, is om nooit te antwoorden op een e-mail, sms, Telegram, Discord of WhatsApp-bericht van een onbekende persoon, bedrijf of account. "Ik ga verder dan dat", voegde Lübeck eraan toe. "Voer nooit inloggegevens of persoonlijke informatie in als de gebruiker de communicatie niet heeft gestart."

Lubeck raadt aan om uw inloggegevens of persoonlijke gegevens niet in te voeren bij gebruik van openbare of gedeelde wifi of netwerken. Bovendien vertelt Lübeck decoderen dat mensen geen vals gevoel van veiligheid mogen hebben omdat ze een bepaald besturingssysteem of telefoontype gebruiken.

"Als we het hebben over dit soort oplichting: phishing, imitatie van webpagina's, het maakt niet uit of je een iPhone, Linux, Mac, iOS, Windows of Chromebook gebruikt", zegt hij. “Geef het apparaat een naam; het probleem is de site, niet je apparaat.”

Houd uw cryptovaluta en NFT's veilig

Laten we eens kijken naar een meer "Web3" actieplan.

Gebruik indien mogelijk hardware of air-gapped portefeuilles om digitale activa op te slaan. Deze apparaten, soms omschreven als 'koude opslag', verwijderen je crypto van internet totdat je klaar bent om het te gebruiken. Hoewel het gebruikelijk en handig is om browsergebaseerde portefeuilles te gebruiken, zoals: MetaMask, onthoud dat alles wat met internet is verbonden, het potentieel heeft om te worden gehackt.

Als u een portemonnee voor mobiel, browser of desktop gebruikt, ook wel bekend als een hot wallet, download deze dan van officiële platforms zoals de Google Play Store, Apple's App Store of geverifieerde websites. Download nooit van links die via sms of e-mail zijn verzonden. Hoewel kwaadaardige apps hun weg naar officiële winkels kunnen vinden, is het veiliger dan het gebruik van links.

Na het voltooien van uw transactie, koppelt u de portemonnee los van de website.

Zorg ervoor dat u uw privésleutels, seed-zinnen en wachtwoorden privé houdt. Als u wordt gevraagd om deze informatie te delen om deel te nemen aan een investering of het slaan van munten, is dat oplichterij.

Investeer alleen in projecten die u begrijpt. Als het onduidelijk is hoe de regeling werkt, stop dan en doe meer onderzoek.

Negeer hogedruktactieken en strakke deadlines. Vaak zullen oplichters dit gebruiken om te proberen FOMO in te roepen en potentiële slachtoffers ertoe te brengen niet na te denken over of onderzoek te doen naar wat hen wordt verteld.

Last but not least, als het te mooi klinkt om waar te zijn, is het waarschijnlijk oplichterij.