Che cos'è una truffa crypto honeypot e come individuarla?

Che cos'è un crypto honeypot e perché viene utilizzato?

I programmi di contratti intelligenti su una rete decentralizzata di nodi possono essere eseguiti su blockchain moderne come Ethereum. I contratti intelligenti stanno diventando sempre più popolari e preziosi, il che li rende un obiettivo più allettante per gli aggressori. Diversi contratti intelligenti sono stati presi di mira dagli hacker negli ultimi anni.

Tuttavia, una nuova tendenza sembra prendere piede; vale a dire, gli aggressori non sono più alla ricerca di contratti suscettibili, ma stanno adottando una strategia più proattiva. Invece, mirano a indurre le loro vittime a cadere in trappole inviando contratti che sembrano vulnerabili ma contengono trappole nascoste. Honeypot è un termine usato per descrivere questo tipo unico di contratto. Ma cos'è una trappola crittografica honeypot?

Gli honeypot sono contratti intelligenti che sembrano avere un problema di progettazione che consente a un utente arbitrario di drenare Ether (la valuta nativa di Ethereum) dal contratto se l'utente invia in anticipo una determinata quantità di Ether al contratto. Tuttavia, quando l'utente cerca di sfruttare questo apparente difetto, una botola ne apre una seconda, ancora sconosciuta, impedendo all'etere di prosciugarsi. Allora, cosa fa un honeypot?

L'obiettivo è che l'utente si concentri interamente sulla debolezza visibile e ignori qualsiasi segno che il contratto abbia una seconda vulnerabilità. Gli attacchi Honeypot funzionano perché le persone sono spesso facilmente ingannate, proprio come in altri tipi di frode. Di conseguenza, le persone non possono sempre quantificare il rischio di fronte alla loro avarizia e supposizioni. Quindi, gli honeypot sono illegali?

Come funziona una truffa honeypot?

Negli attacchi informatici crittografici come gli honeypot, il denaro dell'utente verrà imprigionato e solo il creatore dell'honeypot (attaccante) sarà in grado di recuperarli. Un honeypot di solito funziona in tre fasi:

Per impostare gli honeypot nei contratti intelligenti di Ethereum, un utente malintenzionato non ha bisogno di competenze specifiche. Un attaccante, in realtà, ha le stesse abilità di un normale utente di Ethereum. Hanno solo bisogno dei soldi per impostare il contratto intelligente e attirarlo. Un'operazione honeypot, in generale, consiste in un computer, programmi e dati che imitano il comportamento di un sistema reale che potrebbe essere attraente per gli aggressori, come i dispositivi Internet of Things, un sistema bancario o un'utilità pubblica o una rete di transito.

Anche se sembra una parte della rete, è isolata e monitorata. Poiché gli utenti legittimi non hanno motivo di accedere a un honeypot, tutti i tentativi di comunicare con esso sono considerati ostili. Gli honeypot sono spesso distribuiti nella zona demilitarizzata (DMZ) di una rete. Questa strategia lo separa dalla rete di produzione leader mantenendolo connesso. Un honeypot nella DMZ può essere monitorato da lontano mentre gli aggressori vi accedono, riducendo il pericolo di una rete principale compromessa.

Per rilevare i tentativi di infiltrazione nella rete interna, gli honeypot possono essere posizionati all'esterno del firewall esterno, di fronte a Internet. La posizione effettiva dell'honeypot dipende da quanto è complesso, dal tipo di traffico che vuole attirare e da quanto è vicino alle risorse aziendali critiche. Sarà sempre isolato dall'ambiente di produzione, indipendentemente da dove è posizionato.

La registrazione e la visualizzazione dell'attività dell'honeypot fornisce informazioni sul grado e sul tipo di minacce che un'infrastruttura di rete deve affrontare mentre distoglie l'attenzione degli aggressori dalle risorse del mondo reale. Gli honeypot possono essere rilevati dai criminali informatici e utilizzati contro l'azienda che li ha creati. I criminali informatici hanno anche utilizzato gli honeypot per ottenere informazioni su ricercatori o organizzazioni, fungere da esche e diffondere disinformazione.

Gli honeypot sono spesso ospitati su macchine virtuali. Ad esempio, se l'honeypot è compromesso da malware, può essere ripristinato rapidamente. Ad esempio, un honeynet è composto da due o più honeypot su una rete, mentre un'honey farm è una raccolta centralizzata di honeypot e strumenti di analisi.

La distribuzione e l'amministrazione di Honeypot possono essere aiutate da soluzioni sia open source che commerciali. Sono disponibili sistemi Honeypot venduti separatamente e Honeypot combinati con altri software di sicurezza e pubblicizzati come tecnologia di inganno. Il software Honeypot può essere trovato su GitHub, che può aiutare i nuovi arrivati ​​a imparare come utilizzare gli honeypot.

Tipi di honeypot

Esistono due tipi di honeypot basati sulla progettazione e l'implementazione di contratti intelligenti: honeypot di ricerca e produzione. Gli honeypot per la ricerca raccolgono informazioni sugli attacchi e vengono utilizzati per analizzare il comportamento ostile in natura.

Acquisiscono informazioni sulle tendenze degli aggressori, sulle vulnerabilità e sui ceppi di malware che gli avversari stanno attualmente prendendo di mira osservando sia il tuo ambiente che il mondo esterno. Queste informazioni possono aiutarti a decidere le difese preventive, le priorità delle patch e gli investimenti futuri.

D'altra parte, gli honeypot di produzione hanno lo scopo di rilevare la penetrazione attiva della rete e ingannare l'attaccante. Gli honeypot forniscono ulteriori opportunità di monitoraggio e colmano le lacune di rilevamento comuni che circondano l'identificazione delle scansioni di rete e del movimento laterale; quindi, ottenere i dati rimane una responsabilità principale.

Gli honeypot di produzione eseguono servizi che normalmente verrebbero eseguiti nel tuo ambiente insieme al resto dei tuoi server di produzione. Gli honeypot per la ricerca sono più complicati e memorizzano più tipi di dati rispetto agli honeypot per la produzione.

Ci sono anche molti livelli all'interno degli honeypot di produzione e ricerca, a seconda del livello di sofisticatezza richiesto dalla tua azienda:

  • Honeypot ad alta interazione: è paragonabile a un honeypot puro in quanto gestisce un gran numero di servizi, ma è meno sofisticato e contiene meno dati. Sebbene gli honeypot ad alta interazione non siano destinati a replicare sistemi di produzione su vasta scala, eseguono (o sembrano eseguire) tutti i servizi comunemente associati ai sistemi di produzione, inclusi i sistemi operativi funzionanti.

La società di distribuzione può osservare le abitudini e le strategie degli aggressori utilizzando questo modulo honeypot. Gli honeypot ad alta interazione richiedono molte risorse e sono difficili da mantenere, ma i risultati possono valerne la pena.

  • Honeypot a interazione intermedia: imitano le caratteristiche del livello dell'applicazione ma non dispongono del sistema operativo. Cercano di interferire o confondere gli aggressori in modo che le aziende abbiano più tempo per capire come rispondere in modo appropriato a un attacco.
  • Honeypot a bassa interazione: questo è l'honeypot più popolare utilizzato in un ambiente di produzione. Gli honeypot a bassa interazione eseguono alcuni servizi e vengono utilizzati principalmente come strumento di rilevamento tempestivo. Molti team di sicurezza installano molti honeypot su diversi segmenti della loro rete perché sono semplici da configurare e mantenere.
  • Honeypot puro: questo sistema di produzione su larga scala viene eseguito su più server. È pieno di sensori e include dati "riservati" e informazioni sull'utente. Le informazioni che forniscono sono inestimabili, anche se possono essere complesse e difficili da gestire.

Diverse tecnologie honeypot

Di seguito sono riportate alcune delle tecnologie honeypot in uso:

  • Honeypot client: la maggior parte degli honeypot sono server in ascolto di connessioni. Gli honeypot client cercano attivamente i server dannosi che prendono di mira i client e tengono d'occhio l'honeypot per eventuali modifiche sospette o impreviste. Questi sistemi sono generalmente virtualizzati e dispongono di un piano di contenimento per mantenere al sicuro il team di ricerca.
  • Honeypot di malware: identificano il malware utilizzando replica consolidati e canali di attacco. Gli honeypot (come Ghost) sono stati progettati per assomigliare ai dispositivi di archiviazione USB. Ad esempio, se una macchina viene infettata da malware che si diffonde tramite USB, l'honeypot ingannerà il malware per infettare il dispositivo simulato.
  • Honeynet: un honeynet è una rete di diversi honeypot piuttosto che un singolo sistema. Gli Honeynet sono progettati per seguire le azioni e le motivazioni di un aggressore, pur contenendo tutte le comunicazioni in entrata e in uscita.
  • I relay di posta aperti e i proxy aperti vengono simulati utilizzando honeypot di spam. Gli spammer si invieranno prima un'e-mail per testare l'inoltro di posta disponibile. Se hanno successo, invieranno un'enorme quantità di spam. Questa forma di honeypot può rilevare e riconoscere il test e bloccare con successo l'enorme quantità di spam che segue.
  • Honeypot di database: poiché le iniezioni di linguaggio di query strutturate possono spesso non essere rilevate dai firewall, alcune organizzazioni distribuiranno un firewall di database per creare database di esca e fornire supporto per l'honeypot.

Come individuare un honeypot di criptovalute?

Esaminare la cronologia degli scambi è una tecnica per riconoscere una frode crittografica honeypot. Una criptovaluta dovrebbe generalmente consentirti di acquistarla e venderla ogni volta che lo desideri. Ci saranno molti acquisti per la moneta in una truffa honeypot, ma le persone avranno difficoltà a venderla. Ciò indica che non è una moneta legittima e dovresti evitarla.

Inoltre, l'approccio della scienza dei dati basato sul comportamento delle transazioni contrattuali può essere utilizzato per classificare i contratti come honeypot o non honeypot.

Dove possono sorgere gli honeypot nei contratti intelligenti di Ethereum?

Gli honeypot potrebbero apparire in tre diverse aree dell'implementazione dei contratti intelligenti di Ethereum. Questi sono i tre livelli:

  • La macchina virtuale Etheruem (EVM) - Sebbene l'EVM segua una serie consolidata di standard e regole, gli autori di contratti intelligenti possono presentare il loro codice in modi che a prima vista sono fuorvianti o poco chiari. Queste tattiche potrebbero essere costose per un hacker ignaro.
  • Il compilatore di solidità: il compilatore è la seconda area in cui gli sviluppatori di contratti intelligenti possono capitalizzare. Mentre alcuni bug a livello di compilatore sono ben documentati, altri potrebbero non esserlo. Questi honeypot possono essere difficili da scoprire a meno che il contratto non sia stato testato in condizioni reali.
  • L'esploratore blockchain Etherscan: il terzo tipo di honeypot si basa sul fatto che i dati presentati sugli esploratori blockchain sono incompleti. Sebbene molte persone credano implicitamente ai dati di Etherscan, non mostrano necessariamente l'intero quadro. D'altra parte, gli astuti sviluppatori di contratti intelligenti possono sfruttare alcune delle stranezze dell'esploratore.

Come proteggersi dalle truffe contrattuali Honeypot?

Questa sezione guida come uscire dalle truffe dell'honeypot per evitare di perdere i tuoi soldi. Sono disponibili strumenti per aiutarti a vedere i segnali rossi ed evitare queste valute. Ad esempio, usa Etherscan se la moneta che stai acquistando è sulla rete Ethereum o usa BscScan se la moneta in esame è sulla Binance Smart Chain.

Scopri l'ID token della tua moneta e inseriscilo nel sito Web appropriato. Vai a "Token Tracker" nella pagina successiva. Apparirà una scheda denominata "Titolari". Puoi vedere tutti i portafogli che contengono token e i pool di liquidità lì. Sfortunatamente, ci sono numerose combinazioni di elementi di cui essere a conoscenza. Di seguito sono riportate alcune delle bandiere rosse che dovresti sapere per proteggerti dalle truffe crittografiche honeypot:

  • Nessuna moneta morta: se più del 50% delle monete si trova in un portafoglio morto, un progetto è relativamente protetto dagli strappi (ma non dall'honeypot) (solitamente identificato come 0x000000000000000000000000000000000000dead). Se meno della metà delle monete è morta o nessuna è morta, sii cauto.
  • Nessuna verifica: le possibilità di un honeypot vengono quasi sempre eliminate se un'azienda affidabile le verifica.
  • Portafogli di grandi dimensioni: evita le criptovalute che hanno solo uno o pochi portafogli.
  • Esamina il loro sito web: dovrebbe essere abbastanza semplice; ma, se il sito web appare frettoloso e lo sviluppo è scarso, questo è un segnale di avvertimento! Un trucco è andare su whois.domaintools.com e digitare il nome del dominio per vedere quando è stato registrato per un sito web. Potresti essere abbastanza sicuro che si tratti di una frode se il dominio è stato registrato entro 24 ore o meno dall'inizio del progetto.
  • Controlla i loro social media: i progetti truffa di solito presentano foto rubate e di bassa qualità, problemi grammaticali e "messaggi spam" poco attraenti (come "lascia il tuo indirizzo ETH sotto!"), Nessun collegamento a informazioni rilevanti sul progetto e così via.

Token Sniffer è un'altra eccellente risorsa per individuare le criptovalute honeypot. Cerca i risultati dell'"Audit automatico del contratto" inserendo l'ID token nell'angolo in alto a destra. Stai lontano dal progetto se ci sono avvisi. Poiché molti progetti ora utilizzano modelli di contratto, l'indicazione "Nessun precedente contratto token simile" può essere un falso positivo.

Se la tua moneta è elencata sulla Binance Smart Chain, vai su PooCoin, inserisci nuovamente il Token ID e monitora i grafici. Stai lontano se non ci sono portafogli che vendono o se solo uno o due portafogli vendono la moneta scelta. Molto probabilmente, è un miele. Non è un miele se molti portafogli vendono la moneta scelta. Infine, dovresti condurre una ricerca approfondita prima di separarti dai tuoi sudati guadagni quando acquisti criptovalute.

In che modo un honeypot è diverso da un honeynet?

Un honeynet è una rete composta da due o più honeypot. Può essere utile avere una rete honeypot connessa. Consente alle aziende di monitorare come un utente malintenzionato interagisce con una singola risorsa o punto di rete e come un invasore si sposta tra i punti della rete e interagisce con più punti contemporaneamente.

L'obiettivo è convincere gli hacker di aver violato con successo la rete; quindi, aggiungendo più false posizioni di rete al realismo dell'arrangiamento. Honeypot e honeynet con implementazioni più avanzate, come i firewall di nuova generazione, i sistemi di rilevamento delle intrusioni (IDS) e i gateway Web sicuri, sono indicati come tecnologia di inganno. I sistemi di rilevamento delle intrusioni si riferiscono a un dispositivo o un programma software che controlla attività ostili o violazioni delle policy su una rete. Le capacità automatizzate della tecnologia di inganno consentono a un honeypot di rispondere a potenziali aggressori in tempo reale.

Gli honeypot possono aiutare le aziende a stare al passo con il panorama dei rischi in continua evoluzione man mano che emergono le minacce informatiche. Gli honeypot forniscono informazioni vitali per garantire che un'organizzazione sia preparata e sono forse il mezzo migliore per catturare un aggressore sul fatto, anche se è impossibile prevedere e prevenire ogni attacco. Sono anche una buona fonte di conoscenza per i professionisti della sicurezza informatica.

Quali sono i pro e i contro degli honeypot?

Gli honeypot raccolgono dati da attacchi autentici e altre attività illecite, fornendo agli analisti una vasta conoscenza. Inoltre, ci sono meno falsi positivi. Ad esempio, i normali sistemi di rilevamento della sicurezza informatica possono generare molti falsi positivi, ma un honeypot riduce al minimo il numero di falsi positivi perché gli utenti autentici non hanno motivo di contattare l'honeypot.

Inoltre, gli honeypot sono investimenti utili poiché interagiscono solo con azioni dannose e non richiedono risorse ad alte prestazioni per elaborare enormi volumi di dati di rete alla ricerca di attacchi. Infine, anche se un utente malintenzionato utilizza la crittografia, gli honeypot possono rilevare attività dannose.

Sebbene gli honeypot forniscano molti vantaggi, presentano anche molti svantaggi e rischi. Ad esempio, gli honeypot raccolgono dati solo in caso di attacco. Non ci sono stati tentativi di accedere all'honeypot; quindi, non esistono dati per esaminare l'attacco.

Inoltre, il traffico dannoso acquisito dalla rete honeypot viene raccolto solo quando viene lanciato un attacco contro di essa; se un utente malintenzionato sospetta che una rete sia un honeypot, lo eviterà.

Gli honeypot sono generalmente riconoscibili dai sistemi di produzione legali, il che implica che hacker esperti possono facilmente distinguere un sistema di produzione da un sistema honeypot utilizzando tecniche di fingerprinting del sistema.

Nonostante il fatto che gli honeypot siano isolati dalla rete reale, alla fine si connettono in qualche modo per consentire agli amministratori di accedere ai dati in loro possesso. Poiché cerca di attirare gli hacker per ottenere l'accesso root, un honeypot ad alta interazione è spesso considerato più rischioso di uno a bassa interazione.

Nel complesso, gli honeypot aiutano i ricercatori a comprendere i rischi nei sistemi di rete, ma non dovrebbero essere usati al posto degli IDS standard. Ad esempio, se un honeypot non è configurato correttamente, potrebbe essere sfruttato per acquisire l'accesso a sistemi del mondo reale o un launchpad per attacchi ad altri sistemi.