แม้ Web3 ผู้ประกาศข่าวประเสริฐได้โน้มน้าวคุณลักษณะด้านความปลอดภัยดั้งเดิมของบล็อคเชนมาเป็นเวลานาน กระแสเงินที่ไหลเข้าสู่อุตสาหกรรมทำให้เป็นโอกาสที่ดึงดูดใจสำหรับแฮกเกอร์ หลอกลวง และโจร
เมื่อผู้ไม่หวังดีประสบความสำเร็จในการละเมิดความปลอดภัยทางไซเบอร์ของ Web3 ผู้ใช้มักจะมองข้ามภัยคุกคามที่พบบ่อยที่สุดของความโลภของมนุษย์ FOMO และความไม่รู้ มากกว่าเพราะข้อบกพร่องในเทคโนโลยี
การหลอกลวงจำนวนมากให้ผลตอบแทนมหาศาล การลงทุน หรือผลประโยชน์พิเศษ FTC เรียกโอกาสในการทำเงินและการลงทุนเหล่านี้ หลอกลวง.
เงินก้อนโตในการหลอกลวง
ตามวันที่ 2022 มิถุนายน รายงาน โดยคณะกรรมาธิการการค้าแห่งสหพันธรัฐ เงินดิจิตอลกว่า 1 พันล้านดอลลาร์ถูกขโมยไปตั้งแต่ปี 2021 และแหล่งล่าของแฮกเกอร์เป็นที่ที่ผู้คนรวมตัวกันทางออนไลน์
“เกือบครึ่งหนึ่งของผู้ที่รายงานว่าสูญเสีย crypto ไปกับการหลอกลวงตั้งแต่ปี 2021 กล่าวว่ามันเริ่มต้นด้วยโฆษณา โพสต์ หรือข้อความบนแพลตฟอร์มโซเชียลมีเดีย” FTC กล่าว
แม้ว่าการหลอกลวงจะฟังดูดีเกินจริง แต่ผู้ที่อาจเป็นเหยื่ออาจระงับความไม่เชื่อเนื่องจากความผันผวนที่รุนแรงของตลาด crypto ผู้คนไม่อยากพลาดสิ่งที่ยิ่งใหญ่ต่อไป
ผู้โจมตีกำหนดเป้าหมาย NFTs
พร้อมกับ cryptocurrencies NFTSหรือโทเค็นที่ไม่สามารถเปลี่ยนได้ได้กลายเป็น เป็นที่นิยมมากขึ้น เป้าหมายของนักต้มตุ๋น; ตามบริษัทรักษาความปลอดภัยทางไซเบอร์ของ Web3 ทีอาร์เอ็ม แล็บส์ในสองเดือนหลังจากเดือนพฤษภาคม 2022 ชุมชน NFT สูญเสียเงินไปประมาณ 22 ล้านดอลลาร์จากการโจมตีแบบหลอกลวงและฟิชชิ่ง
คอลเลกชั่น “บลูชิพ” เช่น เบื่อ Ape Yacht Club (BAYC) เป็นเป้าหมายที่มีค่าอย่างยิ่ง ในเดือนเมษายน พ.ศ. 2022 บัญชี Instagram ของ BAYC คือ hacked โดยนักต้มตุ๋นที่เปลี่ยนเส้นทางเหยื่อไปยังไซต์ที่ระบายกระเป๋าเงิน Ethereum ของ crypto และ NFTs NFT 91 แห่ง ซึ่งมีมูลค่ารวมกันกว่า 2.8 ล้านดอลลาร์ ถูกขโมยไป หลายเดือนต่อมา a การใช้ประโยชน์จากความไม่ลงรอยกัน เห็น NFTs มูลค่า 200 ETH ถูกขโมยจากผู้ใช้
ผู้ถือ BAYC ที่มีชื่อเสียงก็ตกเป็นเหยื่อของการหลอกลวงเช่นกัน วันที่ 17 พฤษภาคม นักแสดงและโปรดิวเซอร์ สีเขียวเซท ทวีตว่าเขาตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่งซึ่งส่งผลให้มีการขโมย NFT สี่รายการ รวมถึง Bored Ape #8398 นอกจากการเน้นย้ำถึงภัยคุกคามที่เกิดจากการโจมตีแบบฟิชชิ่งแล้ว ยังอาจทำให้รายการโทรทัศน์/สตรีมมิงในธีม NFT ตกรางซึ่งวางแผนโดย Green "โรงเตี๊ยมม้าขาว" BAYC NFTs รวมถึงสิทธิ์ในการอนุญาตให้ใช้ NFT เพื่อวัตถุประสงค์ทางการค้า เช่นในกรณีของ เบื่อ&หิว ร้านอาหารจานด่วน ใน ลองบีช, แคลิฟอร์เนีย
คิดว่าฉันกำลังสร้าง GutterCat โคลน - ลิงก์ฟิชชิ่งดูสะอาดตา
— เซทกรีน (@SethGreen) May 17, 2022
ในช่วงเซสชั่น Twitter Spaces วันที่ 9 มิถุนายน สีเขียว กล่าวว่าเขาได้กู้คืน JPEG ที่ถูกขโมยมาหลังจากจ่าย 165 ETH (มากกว่า 295,000 ดอลลาร์ในตอนนั้น) ให้กับบุคคลที่ซื้อ NFT หลังจากที่มันถูกขโมย
“ฟิชชิ่งยังคงเป็นเวกเตอร์แรกของการโจมตี” Luis Lubeck วิศวกรความปลอดภัยที่บริษัทรักษาความปลอดภัยทางไซเบอร์ของ Web3 ฮาลบอร์นบอก ถอดรหัส.
Lubeck กล่าวว่าผู้ใช้ควรระวังเว็บไซต์ปลอมที่ขอข้อมูลรับรองกระเป๋าเงิน ลิงก์ที่ลอกแบบมา และโครงการปลอม
จากข้อมูลของ Lubeck การหลอกลวงแบบฟิชชิ่งอาจเริ่มต้นด้วยวิศวกรรมสังคม บอกผู้ใช้เกี่ยวกับการเปิดตัวโทเค็นก่อนกำหนดหรือว่าพวกเขาจะจ่ายเงิน 100 เท่า API ต่ำ หรือบัญชีของพวกเขาถูกละเมิดและต้องเปลี่ยนรหัสผ่าน ข้อความเหล่านี้มักมีระยะเวลาจำกัดในการดำเนินการ ซึ่งทำให้ผู้ใช้กลัวว่าจะพลาดหรือที่เรียกว่า FOMO
ในกรณีของ Green การโจมตีแบบฟิชชิ่งมาจากลิงก์ที่ลอกแบบมา
คิดว่าฉันกำลังสร้าง GutterCat โคลน - ลิงก์ฟิชชิ่งดูสะอาดตา
— เซทกรีน (@SethGreen) May 17, 2022
โคลนฟิชชิ่งคือการโจมตีที่นักต้มตุ๋นเข้าใช้เว็บไซต์ อีเมล หรือแม้แต่ลิงก์ง่ายๆ และสร้างสำเนาที่เกือบจะสมบูรณ์แบบซึ่งดูเหมือนถูกต้องตามกฎหมาย กรีนคิดว่าเขากำลังสร้างโคลน "GutterCat" โดยใช้สิ่งที่กลายเป็นเว็บไซต์ฟิชชิ่ง
เมื่อกรีนเชื่อมต่อกระเป๋าเงินของเขากับเว็บไซต์ฟิชชิ่งและลงนามในธุรกรรมเพื่อสร้าง NFT เขาให้แฮกเกอร์เข้าถึงคีย์ส่วนตัวของเขาและในทางกลับกัน Bored Apes ของเขา
ประเภทของการโจมตีทางไซเบอร์
การละเมิดความปลอดภัยสามารถส่งผลกระทบต่อทั้งบริษัทและบุคคล แม้ว่าจะไม่ใช่รายการที่สมบูรณ์ แต่โดยทั่วไปแล้วการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายไปที่ Web3 จะจัดอยู่ในหมวดหมู่ต่อไปนี้:
- ? ฟิชชิ่ง: หนึ่งในรูปแบบการโจมตีทางไซเบอร์ที่เก่าแก่ที่สุดแต่พบได้บ่อยที่สุด การโจมตีแบบฟิชชิ่งมักมาในรูปแบบของอีเมลและรวมถึงการส่งการสื่อสารที่เป็นการฉ้อโกง เช่น ข้อความและข้อความบนโซเชียลมีเดียที่ดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ นี้ อาชญากรรม ยังสามารถอยู่ในรูปแบบของเว็บไซต์ที่ถูกบุกรุกหรือเข้ารหัสอย่างมีเจตนาร้าย ซึ่งสามารถระบาย crypto หรือ NFT ออกจากกระเป๋าเงินบนเบราว์เซอร์ที่แนบมาเมื่อเชื่อมต่อกระเป๋าเงินเข้ารหัสลับ
- ? มัลแวร์: ย่อมาจากซอฟต์แวร์ที่เป็นอันตราย คำที่เป็นร่มนี้ครอบคลุมโปรแกรมหรือโค้ดใดๆ ที่เป็นอันตรายต่อระบบ มัลแวร์สามารถเข้าสู่ระบบผ่านอีเมล ข้อความ และข้อความฟิชชิ่ง
- ? เว็บไซต์ที่ถูกบุกรุก: เว็บไซต์ที่ถูกต้องตามกฎหมายเหล่านี้ถูกขโมยโดยอาชญากรและใช้เพื่อจัดเก็บมัลแวร์ที่ผู้ใช้ไม่สงสัยต้องดาวน์โหลดเมื่อคลิกลิงก์ รูปภาพ หรือไฟล์
- ? การปลอมแปลง URL: ยกเลิกการเชื่อมโยงเว็บไซต์ที่ถูกบุกรุก เว็บไซต์ปลอมแปลงเป็นเว็บไซต์อันตรายที่เป็นโคลนของเว็บไซต์ที่ถูกต้องตามกฎหมาย หรือที่เรียกว่า URL Phishing ไซต์เหล่านี้สามารถเก็บเกี่ยวชื่อผู้ใช้ รหัสผ่าน บัตรเครดิต สกุลเงินดิจิทัล และข้อมูลส่วนบุคคลอื่นๆ
- ? ส่วนขยายเบราว์เซอร์ปลอม: ตามชื่อที่แนะนำ การหาประโยชน์เหล่านี้ใช้ส่วนขยายเบราว์เซอร์ปลอมเพื่อหลอกผู้ใช้ crypto ให้ป้อนข้อมูลประจำตัวหรือคีย์ลงในส่วนขยายที่ช่วยให้อาชญากรไซเบอร์เข้าถึงข้อมูลได้
การโจมตีเหล่านี้มักมุ่งเป้าไปที่การเข้าถึง ขโมย และทำลายข้อมูลที่ละเอียดอ่อน หรือในกรณีของ Green คือ Bored Ape NFT
คุณสามารถทำอะไรเพื่อป้องกันตัวเอง?
Lubeck กล่าวว่าวิธีที่ดีที่สุดในการป้องกันตัวเองจากฟิชชิ่งคือการไม่ตอบกลับอีเมล ข้อความ SMS โทรเลข Discord หรือข้อความ WhatsApp จากบุคคลที่ไม่รู้จัก บริษัท หรือบัญชี “ฉันจะไปให้ไกลกว่านั้น” Lubeck กล่าวเสริม “อย่าป้อนข้อมูลประจำตัวหรือข้อมูลส่วนบุคคลหากผู้ใช้ไม่ได้เริ่มการสื่อสาร”
Lubeck ไม่แนะนำให้ป้อนข้อมูลประจำตัวหรือข้อมูลส่วนบุคคลของคุณเมื่อใช้ WiFi หรือเครือข่ายสาธารณะหรือที่แชร์ นอกจากนี้ Lubeck ยังบอก ถอดรหัส ว่าผู้คนไม่ควรมีความรู้สึกผิด ๆ เกี่ยวกับความปลอดภัยเพราะพวกเขาใช้ระบบปฏิบัติการหรือโทรศัพท์ประเภทใดประเภทหนึ่งโดยเฉพาะ
“เมื่อเราพูดถึงกลโกงประเภทนี้: ฟิชชิ่ง การแอบอ้างเป็นหน้าเว็บ ไม่สำคัญว่าคุณกำลังใช้ iPhone, Linux, Mac, iOS, Windows หรือ Chromebook” เขากล่าว “ตั้งชื่ออุปกรณ์ ปัญหาอยู่ที่ไซต์ ไม่ใช่อุปกรณ์ของคุณ”
รักษา crypto และ NFT ของคุณให้ปลอดภัย
มาดูแผนปฏิบัติการ “Web3” กันดีกว่า
หากเป็นไปได้ ให้ใช้ฮาร์ดแวร์หรือช่องระบายอากาศ กระเป๋าสตางค์ เพื่อจัดเก็บสินทรัพย์ดิจิทัล อุปกรณ์เหล่านี้ ซึ่งบางครั้งเรียกว่า "ห้องเย็น" จะลบ crypto ของคุณออกจากอินเทอร์เน็ตจนกว่าคุณจะพร้อมใช้งาน แม้ว่าจะเป็นเรื่องปกติและสะดวกที่จะใช้กระเป๋าเงินบนเบราว์เซอร์เช่น MetaMaskโปรดจำไว้ว่า สิ่งใดก็ตามที่เชื่อมต่อกับอินเทอร์เน็ตมีโอกาสที่จะถูกแฮ็ก
หากคุณใช้กระเป๋าสตางค์บนมือถือ เบราว์เซอร์ หรือเดสก์ท็อป หรือที่เรียกว่า hot wallet ให้ดาวน์โหลดจากแพลตฟอร์มอย่างเป็นทางการ เช่น Google Play Store, App Store ของ Apple หรือเว็บไซต์ที่ผ่านการตรวจสอบแล้ว อย่าดาวน์โหลดจากลิงก์ที่ส่งทางข้อความหรืออีเมล แม้ว่าแอพที่เป็นอันตรายสามารถหาทางเข้าร้านค้าอย่างเป็นทางการได้ แต่ก็ปลอดภัยกว่าการใช้ลิงก์
หลังจากทำธุรกรรมเสร็จแล้ว ให้ยกเลิกการเชื่อมต่อกระเป๋าเงินจากเว็บไซต์
อย่าลืมเก็บคีย์ส่วนตัว วลีเมล็ดพันธุ์ และรหัสผ่านไว้เป็นส่วนตัว หากคุณถูกขอให้แบ่งปันข้อมูลนี้เพื่อเข้าร่วมในการลงทุนหรือการทำเหมืองแร่ ถือเป็นการหลอกลวง
ลงทุนในโครงการที่คุณเข้าใจเท่านั้น หากไม่ชัดเจนว่าโครงการทำงานอย่างไร ให้หยุดและค้นคว้าเพิ่มเติม
ละเว้นกลวิธีที่มีความกดดันสูงและกำหนดเวลาที่รัดกุม บ่อยครั้งที่นักต้มตุ๋นจะใช้สิ่งนี้เพื่อพยายามเรียกใช้ FOMO และทำให้ผู้ที่อาจเป็นเหยื่อไม่ต้องคิดหรือค้นคว้าเกี่ยวกับสิ่งที่พวกเขาได้รับการบอกกล่าว
สุดท้ายแต่ไม่ท้ายสุด หากฟังดูดีเกินจริง อาจเป็นการหลอกลวง
ติดตามข่าวสาร crypto รับการอัปเดตทุกวันในกล่องจดหมายของคุณ
ที่มา: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg