ในโลกของ cryptocurrencies การเงินกระจายอำนาจ (defi) และ Web3 airdrops กลายเป็นเรื่องธรรมดาในอุตสาหกรรม อย่างไรก็ตาม ในขณะที่ airdrops ดูเหมือนเป็นเงินฟรี แต่มีแนวโน้มเพิ่มขึ้นของการหลอกลวงแบบฟิชชิ่งแบบ airdrop ที่ขโมยเงินของผู้คนเมื่อพวกเขาพยายามรับสินทรัพย์ดิจิทัลที่เรียกว่า 'ฟรี' ต่อไปนี้คือการดูสองวิธีที่ผู้โจมตีใช้การหลอกลวงแบบฟิชชิ่ง airdrop เพื่อขโมยเงินและวิธีที่คุณสามารถป้องกันตัวเองได้
Airdrops ไม่ได้หมายถึง 'คริปโตฟรี' เสมอไป — โปรโมชั่นแจก Airdrop จำนวนมากกำลังมองหาเพื่อปล้นคุณ
Airdrops มีความหมายเหมือนกันกับกองทุน crypto ฟรี มากจนการหลอกลวง crypto ที่เพิ่มขึ้นที่เรียกว่า airdrop phishing เป็นที่แพร่หลาย หากคุณเป็นผู้มีส่วนร่วมในชุมชน crypto และใช้แพลตฟอร์มโซเชียลมีเดียเช่น Twitter หรือ Facebook คุณอาจเคยเห็นโพสต์สแปมจำนวนหนึ่งที่โฆษณา airdrops ทุกประเภท
โดยปกติ บัญชีคริปโต Twitter ยอดนิยมจะสร้างทวีตและตามมาด้วยนักต้มตุ๋นที่โฆษณาการพยายามฟิชชิ่งแบบ airdrop และบัญชีจำนวนมากที่บอกว่าพวกเขาได้รับเงินฟรี คนส่วนใหญ่จะไม่ตกหลุมรักการหลอกลวงแบบ airdrop เหล่านี้ แต่เนื่องจาก airdrops ถือเป็น crypto ฟรี จึงมีคนจำนวนมากที่สูญเสียเงินจากการตกเป็นเหยื่อของการโจมตีประเภทนี้
การโจมตีครั้งแรกใช้วิธีการโฆษณาแบบเดียวกันบนโซเชียลมีเดีย เนื่องจากมีคนหรือบอทจำนวนหนึ่งคอยลิงก์ที่นำไปสู่หน้าเว็บหลอกลวงแบบฟิชชิ่งแบบ airdrop เว็บไซต์ที่น่าสงสัยอาจดูถูกกฎหมายและแม้กระทั่งคัดลอกองค์ประกอบบางส่วนจากโครงการ Web3 ยอดนิยม แต่ในท้ายที่สุด พวกสแกมเมอร์ก็ต้องการขโมยเงิน การหลอกลวงทางอากาศฟรีอาจเป็นโทเค็นการเข้ารหัสลับที่ไม่รู้จัก หรืออาจเป็นสินทรัพย์ดิจิทัลที่เป็นที่นิยมเช่น BTC, ETH, SHIB, DOGE และอื่นๆ
การโจมตีครั้งแรกมักจะแสดงให้เห็นว่า airdrop เป็นลูกหนี้ แต่บุคคลนั้นต้องใช้กระเป๋าเงิน Web3 ที่เข้ากันได้เพื่อเรียกเงินที่เรียกว่า 'ฟรี' เว็บไซต์จะนำไปสู่หน้าที่แสดงกระเป๋าเงิน Web3 ยอดนิยมทั้งหมด เช่น Metamask และอื่นๆ แต่คราวนี้ เมื่อคลิกลิงก์ของกระเป๋าเงิน จะมีข้อผิดพลาดปรากฏขึ้นและเว็บไซต์จะถามผู้ใช้ถึงวลีเริ่มต้น
หากต้องการรับการสนับสนุน ให้เปิด MetaMask และไปที่ "สนับสนุน" หรือ "รับความช่วยเหลือ" ภายในเมนูดรอปดาวน์ อย่าไว้ใจใครก็ตามที่ส่งข้อความถึงคุณโดยตรง ไม่ว่าในสถานการณ์ใด คุณไม่ควรมอบ Secret Recovery Phrase ให้กับใครก็ตามหรือป้อนลงในไซต์ใด ๆ!
— การสนับสนุน MetaMask (@MetaMaskSupport) April 29, 2022
นี่คือสิ่งที่ไม่ชัดเจนเนื่องจากกระเป๋าเงิน Web3 จะไม่ขอเมล็ดพันธุ์หรือวลีช่วยในการจำ 12-24 เว้นแต่ผู้ใช้กำลังกู้คืนกระเป๋าเงินอย่างแข็งขัน อย่างไรก็ตาม ผู้ใช้หลอกลวง airdrop phishing ที่ไม่สงสัยอาจคิดว่าข้อผิดพลาดนั้นถูกต้องตามกฎหมายและป้อนเมล็ดพันธุ์ของพวกเขาลงในหน้าเว็บซึ่งในที่สุดจะนำไปสู่การสูญเสียเงินทั้งหมดที่เก็บไว้ในกระเป๋าเงิน
โดยพื้นฐานแล้ว ผู้ใช้เพิ่งให้คีย์ส่วนตัวแก่ผู้โจมตีโดยไปที่หน้าข้อผิดพลาดกระเป๋าเงิน Web3 เพื่อขอวลีช่วยจำ บุคคลไม่ควรป้อน seed ของตนหรือวลีช่วยในการจำ 12-24 หากได้รับแจ้งจากแหล่งที่ไม่รู้จัก และถ้าไม่จำเป็นต้องกู้คืนกระเป๋าเงิน ก็ไม่จำเป็นต้องป้อน seed phrase ทางออนไลน์เลย
การให้สิทธิ์ Shady Dapp ไม่ใช่ความคิดที่ดีที่สุด
การโจมตีครั้งที่สองนั้นซับซ้อนกว่าเล็กน้อย และผู้โจมตีใช้เทคนิคของรหัสเพื่อขโมยผู้ใช้กระเป๋าเงิน Web3 ในทำนองเดียวกัน การหลอกลวงแบบฟิชชิ่งแบบ airdrop จะถูกโฆษณาบนโซเชียลมีเดีย แต่คราวนี้เมื่อบุคคลนั้นเข้าชมพอร์ทัลเว็บ พวกเขาสามารถใช้กระเป๋าเงิน Web3 เพื่อ "เชื่อมต่อ" กับไซต์ได้
อย่างไรก็ตาม ผู้โจมตีได้เขียนโค้ดในลักษณะที่ทำให้ผู้ใช้สามารถเข้าถึงยอดคงเหลือได้ แทนที่จะให้สิทธิ์การเข้าถึงแก่ไซต์ในท้ายที่สุด ผู้ใช้จะอนุญาตให้ไซต์ขโมยเงินในกระเป๋าเงิน Web3 ได้อย่างเต็มที่ สิ่งนี้สามารถเกิดขึ้นได้โดยเพียงแค่เชื่อมต่อกระเป๋าเงิน Web3 กับไซต์หลอกลวงและให้สิทธิ์ สามารถหลีกเลี่ยงการโจมตีได้โดยเพียงแค่ไม่เชื่อมต่อกับไซต์และเดินออกไป แต่มีผู้คนจำนวนมากที่ตกหลุมรักการโจมตีแบบฟิชชิ่งนี้
นี่คือกลโกงฟิชชิ่งล่าสุด
1️⃣ แอร์ดรอปโทเค็น
2️⃣ สร้างเว็บไซต์ด้วยชื่อเดียวกันเพื่อให้หาเจอได้ง่าย
3️⃣ เมื่อคุณพบสิ่งที่ดูเหมือนจะเดิมพันสำหรับโทเค็นนี้ Approve txn จะให้การใช้จ่ายโทเค็นอื่น ๆ ได้ไม่จำกัด (เช่น SNX)จากนั้นพวกเขาจะระบายกระเป๋าสตางค์ของโทเค็น pic.twitter.com/vICIeC5rGk
- DeFi พ่อ⟠ defidad.eth (@DeFi_Dad) December 20, 2021
อีกวิธีในการรักษาความปลอดภัยกระเป๋าเงินคือการทำให้แน่ใจว่าการอนุญาต Web3 ของกระเป๋าเงินนั้นเชื่อมต่อกับไซต์ที่ผู้ใช้เชื่อถือ หากมีแอปพลิเคชั่นกระจายอำนาจ (dapps) ที่ดูไม่ร่มรื่น ผู้ใช้ควรลบการอนุญาตหากพวกเขาเชื่อมต่อกับ dapp โดยไม่ได้ตั้งใจโดยตกเป็นเหยื่อการหลอกลวง crypto ที่ 'ฟรี' อย่างไรก็ตาม โดยปกติแล้ว มันจะสายเกินไป และเมื่อ dapp ได้รับอนุญาตให้เข้าถึงเงินของ wallet แล้ว crypto จะถูกขโมยจากผู้ใช้ผ่านการเข้ารหัสที่เป็นอันตรายที่ใช้กับ dapp
วิธีที่ดีที่สุดในการป้องกันตัวเองจากการโจมตีสองครั้งที่กล่าวถึงข้างต้นคือ อย่าป้อนวลีเริ่มต้นของคุณทางออนไลน์ เว้นแต่คุณจะตั้งใจกู้คืนกระเป๋าเงิน นอกจากนี้ยังเป็นรูปแบบที่ดีที่จะไม่เชื่อมต่อหรือให้สิทธิ์กระเป๋าเงิน Web3 แก่เว็บไซต์ Web3 และ dapp ที่ร่มรื่นซึ่งคุณไม่คุ้นเคยกับการใช้งาน การโจมตีสองครั้งนี้อาจก่อให้เกิดความสูญเสียครั้งใหญ่แก่นักลงทุนที่ไม่สงสัยหากพวกเขาไม่ระวังแนวโน้มฟิชชิ่งของ airdrop ในปัจจุบัน
คุณรู้จักใครที่ตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่งประเภทนี้หรือไม่? คุณมองเห็นความพยายามในการฟิชชิ่ง crypto ได้อย่างไร? แจ้งให้เราทราบความคิดของคุณในความคิดเห็น
เครดิตภาพ: Shutterstock, Pixabay, Wiki คอมมอนส์
ข้อจำกัดความรับผิดชอบ: บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้น ไม่ใช่ข้อเสนอโดยตรงหรือการชักชวนให้เสนอซื้อหรือขายหรือคำแนะนำหรือการรับรองผลิตภัณฑ์บริการหรือ บริษัท ใด ๆ Bitcoin.com ไม่ได้ให้คำแนะนำด้านการลงทุนภาษีกฎหมายหรือการบัญชี ทั้ง บริษัท และผู้แต่งไม่รับผิดชอบโดยตรงหรือโดยอ้อมสำหรับความเสียหายหรือการสูญเสียใด ๆ ที่เกิดหรือถูกกล่าวหาว่าเกิดจากหรือเกี่ยวข้องกับการใช้หรือการพึ่งพาเนื้อหาสินค้าหรือบริการใด ๆ ที่กล่าวถึงในบทความนี้
ที่มา: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/