Sicurezza informatica in Web3: proteggere te stesso (e la tua scimmia JPEG)

Sebbene Web3 gli evangelisti hanno a lungo propagandato le caratteristiche di sicurezza native della blockchain, il torrente di denaro che scorre nel settore lo rende una prospettiva allettante per gli hacker, truffatori e ladri.

Quando i malintenzionati riescono a violare la sicurezza informatica di Web3, spesso è colpa degli utenti che trascurano le minacce più comuni dell'avidità umana, della FOMO e dell'ignoranza, piuttosto che a causa di difetti nella tecnologia.

Molte truffe promettono grandi guadagni, investimenti o vantaggi esclusivi; la FTC chiama queste opportunità e investimenti per fare soldi truffe.

Un sacco di soldi nelle truffe

Secondo un 2022 giugno rapporto dalla Federal Trade Commission, dal 1 è stato rubato oltre 2021 miliardo di dollari in criptovaluta. E i terreni di caccia degli hacker sono i luoghi in cui le persone si radunano online.

"Quasi la metà delle persone che hanno riferito di aver perso criptovalute a causa di una truffa dal 2021 ha affermato che è iniziata con un annuncio, un post o un messaggio su una piattaforma di social media", ha affermato la FTC.

Sebbene gli accessi fraudolenti suonino troppo belli per essere veri, le potenziali vittime potrebbero sospendere l'incredulità data l'intensa volatilità del mercato delle criptovalute; le persone non vogliono perdersi la prossima grande cosa.

Gli aggressori prendono di mira gli NFT

Insieme alle criptovalute, NFTs, o token non fungibili, sono diventati an sempre più popolare bersaglio per truffatori; secondo la società di sicurezza informatica Web3 Laboratori TRM, nei due mesi successivi a maggio 2022, la comunità NFT ha perso circa 22 milioni di dollari a causa di truffe e attacchi di phishing.

Collezioni “Blue-chip” come Annoiato Ape Yacht Club (BAYC) sono un bersaglio particolarmente pregiato. Nell'aprile 2022, l'account Instagram BAYC era hacked da truffatori che hanno dirottato le vittime su un sito che ha prosciugato i loro portafogli Ethereum di criptovalute e NFT. Sono stati rubati circa 91 NFT, per un valore complessivo di oltre 2.8 milioni di dollari. Mesi dopo, a Sfruttamento della discordia ha visto NFT del valore di 200 ETH rubati agli utenti.

Anche i titolari di BAYC di alto profilo sono caduti vittime di truffe. Il 17 maggio, attore e produttore Seth Green ha twittato di essere stato vittima di una truffa di phishing che ha portato al furto di quattro NFT, tra cui Bored Ape #8398. Oltre a mettere in evidenza la minaccia rappresentata dagli attacchi di phishing, avrebbe potuto far deragliare uno spettacolo televisivo/streaming a tema NFT pianificato da Green, "White Horse Tavern". Le BAYC NFT includono i diritti di licenza per utilizzare la NFT per scopi commerciali, come nel caso del Annoiato e affamato ristorante fast food a Long Beach, CA.

Durante una sessione di Twitter Spaces del 9 giugno, Green ha detto di aver recuperato il JPEG rubato dopo aver pagato 165 ETH (più di $ 295,000 all'epoca) a una persona che aveva acquistato l'NFT dopo che era stato rubato.

"Il phishing è ancora il primo vettore di attacco", Luis Lubeck, ingegnere della sicurezza presso l'azienda di sicurezza informatica Web3, Halborn, Ha detto decrypt.

Lubeck afferma che gli utenti dovrebbero essere a conoscenza di siti Web falsi che richiedono credenziali del portafoglio, collegamenti clonati e progetti falsi.

Secondo Lubecca, una truffa di phishing potrebbe iniziare con l'ingegneria sociale, informando l'utente di un lancio anticipato di token o che aumenterà di 100 volte i propri soldi, un'API bassa o che il suo account è stato violato e richiede la modifica della password. Questi messaggi di solito arrivano con un tempo limitato per agire, aumentando ulteriormente la paura dell'utente di perdersi, nota anche come FOMO.

Nel caso di Green, l'attacco di phishing è arrivato tramite un collegamento clonato.

Il clone phishing è un attacco in cui un truffatore prende un sito Web, un'e-mail o anche un semplice collegamento e crea una copia quasi perfetta che sembra legittima. Green pensava di coniare cloni "GutterCat" utilizzando quello che si è rivelato essere un sito Web di phishing.

Quando Green ha collegato il suo portafoglio al sito Web di phishing e ha firmato la transazione per coniare l'NFT, ha concesso agli hacker l'accesso alle sue chiavi private e, a loro volta, alle sue scimmie annoiate.

Tipi di attacchi informatici

Le violazioni della sicurezza possono interessare sia le aziende che gli individui. Sebbene non sia un elenco completo, gli attacchi informatici che prendono di mira Web3 rientrano in genere nelle seguenti categorie:

• ? Phishing: Una delle forme più antiche ma più comuni di attacco informatico, gli attacchi di phishing si presentano comunemente sotto forma di e-mail e includono l'invio di comunicazioni fraudolente come testi e messaggi sui social media che sembrano provenire da una fonte attendibile. Questo cybercrime può anche assumere la forma di un sito Web compromesso o codificato in modo dannoso che può drenare la crittografia o NFT da un portafoglio basato su browser collegato una volta che un portafoglio crittografico è stato collegato.
• ?‍☠️ Malware: Abbreviazione di software dannoso, questo termine generico copre qualsiasi programma o codice dannoso per i sistemi. Il malware può entrare in un sistema tramite e-mail, SMS e messaggi di phishing.
• ? Siti web compromessi: Questi siti Web legittimi vengono dirottati dai criminali e utilizzati per archiviare malware che utenti ignari scaricano quando fanno clic su un collegamento, un'immagine o un file.
• ? URL spoofing: Scollegare siti Web compromessi; i siti Web contraffatti sono siti dannosi che sono cloni di siti Web legittimi. Conosciuti anche come URL Phishing, questi siti possono raccogliere nomi utente, password, carte di credito, criptovaluta e altre informazioni personali.
• ? Estensioni del browser false: Come suggerisce il nome, questi exploit utilizzano estensioni del browser false per indurre gli utenti crittografici a inserire le proprie credenziali o chiavi in ​​un'estensione che dia al criminale informatico l'accesso ai dati.

Questi attacchi di solito mirano ad accedere, rubare e distruggere informazioni sensibili o, nel caso di Green, un NFT Bored Ape.

Cosa puoi fare per proteggerti?

Lubecca afferma che il modo migliore per proteggersi dal phishing è non rispondere mai a un messaggio di posta elettronica, SMS, Telegram, Discord o WhatsApp da una persona, un'azienda o un account sconosciuto. "Andrò oltre", ha aggiunto Lubecca. “Non inserire mai credenziali o dati personali se l'utente non ha avviato la comunicazione.”

Lubecca consiglia di non inserire le proprie credenziali o informazioni personali quando si utilizza Wi-Fi o reti pubbliche o condivise. Inoltre, racconta Lubecca decrypt che le persone non dovrebbero avere un falso senso di sicurezza perché usano un particolare sistema operativo o tipo di telefono.

"Quando parliamo di questo tipo di truffe: phishing, rappresentazione di pagine web, non importa se stai utilizzando un iPhone, Linux, Mac, iOS, Windows o Chromebook", afferma. “Dai un nome al dispositivo; il problema è il sito, non il tuo dispositivo.

Mantieni le tue criptovalute e NFT al sicuro

Diamo un'occhiata a un piano d'azione più "Web3".

Quando possibile, usa hardware o air gap wallet per archiviare risorse digitali. Questi dispositivi, a volte descritti come "celle frigorifere", rimuovono le tue criptovalute da Internet finché non sei pronto per usarle. Sebbene sia comune e conveniente utilizzare portafogli basati su browser come MetaMask, ricorda, qualsiasi cosa connessa a Internet ha il potenziale per essere violata.

Se utilizzi un portafoglio mobile, browser o desktop, noto anche come portafoglio caldo, scaricali da piattaforme ufficiali come Google Play Store, App Store di Apple o siti Web verificati. Non scaricare mai da link inviati tramite SMS o e-mail. Anche se le app dannose possono trovare la loro strada negli store ufficiali, è più sicuro dell'utilizzo dei collegamenti.

Dopo aver completato la transazione, disconnetti il ​​portafoglio dal sito web.

Assicurati di mantenere private le tue chiavi private, le frasi seed e le password. Se ti viene chiesto di condividere queste informazioni per partecipare a un investimento o conio, è una truffa.

Investi solo in progetti che capisci. Se non è chiaro come funziona lo schema, fermati e fai ulteriori ricerche.

Ignora le tattiche ad alta pressione e le scadenze ravvicinate. Spesso, i truffatori lo useranno per cercare di invocare FOMO e convincere le potenziali vittime a non pensare o fare ricerche su ciò che viene loro detto.

Ultimo ma non meno importante, se sembra troppo bello per essere vero, probabilmente è una truffa.