Cybersicherheit in Web3: Schützen Sie sich selbst (und Ihr Affen-JPEG)

Obwohl Web3 Evangelisten haben lange die nativen Sicherheitsfunktionen der Blockchain angepriesen, die Geldflut, die in die Branche fließt, macht sie zu einer verlockenden Perspektive für Hacker, Betrüger und Diebe.

Wenn es Angreifern gelingt, die Web3-Cybersicherheit zu durchbrechen, liegt dies oft eher an den Benutzern, die die häufigsten Bedrohungen wie menschliche Gier, FOMO und Ignoranz übersehen, als an Fehlern in der Technologie.

Viele Betrügereien versprechen große Auszahlungen, Investitionen oder exklusive Vergünstigungen; die FTC nennt diese Gelegenheiten zum Geldverdienen und Investitionen Betrug.

Viel Geld in Betrügereien

Laut einem Juni 2022 berichten Laut der Federal Trade Commission wurden seit 1 über 2021 Milliarde Dollar in Kryptowährung gestohlen. Und die Jagdgründe der Hacker sind der Ort, an dem sich Menschen online versammeln.

„Fast die Hälfte der Personen, die seit 2021 berichteten, Krypto durch einen Betrug verloren zu haben, gaben an, dass es mit einer Anzeige, einem Post oder einer Nachricht auf einer Social-Media-Plattform begann“, sagte die FTC.

Obwohl betrügerische Anmache zu gut klingen, um wahr zu sein, könnten potenzielle Opfer angesichts der intensiven Volatilität des Kryptomarktes ungläubig sein; Die Leute wollen das nächste große Ding nicht verpassen.

Angreifer, die auf NFTs abzielen

Zusammen mit Kryptowährungen, NFTs, oder nicht fungible Token, sind zu einem geworden zunehmend populär Ziel für Betrüger; laut der Cybersicherheitsfirma Web3 TRM-Labore, verlor die NFT-Community in den zwei Monaten nach Mai 2022 schätzungsweise 22 Millionen US-Dollar durch Betrug und Phishing-Angriffe.

„Blue-Chip“-Sammlungen wie z Der Bored Ape Yacht Club (BAYC) sind ein besonders geschätztes Ziel. Im April 2022 wurde der BAYC-Instagram-Account gehackt von Betrügern, die Opfer auf eine Website umgeleitet haben, die ihre Ethereum-Geldbörsen mit Krypto und NFTs geleert hat. Etwa 91 NFTs mit einem Gesamtwert von über 2.8 Millionen US-Dollar wurden gestohlen. Monate später, a Discord-Exploit sah, wie NFTs im Wert von 200 ETH von Benutzern gestohlen wurden.

Auch hochkarätige BAYC-Inhaber sind Opfer von Betrügereien geworden. Am 17. Mai Schauspieler und Produzent Seth Green twitterte, dass er Opfer eines Phishing-Betrugs wurde, der zum Diebstahl von vier NFTs führte, darunter Bored Ape #8398. Es hätte nicht nur die Bedrohung durch Phishing-Angriffe hervorgehoben, sondern auch eine von Green geplante NFT-Fernseh-/Streaming-Show „White Horse Tavern“ zum Scheitern gebracht haben können. BAYC NFTs beinhalten Lizenzrechte zur Nutzung der NFT für kommerzielle Zwecke, wie im Fall der Gelangweilt und hungrig Fast-Food-Restaurant in Long Beach, Kalifornien.

Während einer Twitter Spaces-Sitzung am 9. Juni Grün sagte, dass er das gestohlene JPEG wiedergefunden habe, nachdem er 165 ETH (damals mehr als 295,000 Dollar) an eine Person gezahlt hatte, die das NFT gekauft hatte, nachdem es gestohlen worden war.

„Phishing ist immer noch der erste Angriffsvektor“, sagt Luis Lubeck, Sicherheitsingenieur bei der Cybersicherheitsfirma Web3. Halbborn, Sagte Entschlüsseln.

Lübeck sagt, dass Benutzer gefälschte Websites beachten sollten, die nach Wallet-Anmeldeinformationen, geklonten Links und gefälschten Projekten fragen.

Laut Lübeck kann ein Phishing-Betrug mit Social Engineering beginnen, indem der Benutzer über einen frühen Token-Start oder das 100-fache seines Geldes, eine niedrige API oder dass sein Konto verletzt wurde und eine Passwortänderung erfordert, informiert wird. Diese Nachrichten haben normalerweise eine begrenzte Zeit zum Handeln, was die Angst eines Benutzers, etwas zu verpassen, weiter verstärkt, auch bekannt als FOMO.

Im Fall von Green kam der Phishing-Angriff über einen geklonten Link.

Klon-Phishing ist ein Angriff, bei dem ein Betrüger eine Website, E-Mail oder sogar einen einfachen Link nimmt und eine nahezu perfekte Kopie erstellt, die legitim aussieht. Green dachte, er würde „GutterCat“-Klone über eine Phishing-Website erstellen.

Als Green seine Brieftasche mit der Phishing-Website verband und die Transaktion zur Prägung der NFT unterzeichnete, gab er den Hackern Zugriff auf seine privaten Schlüssel und damit auf seine gelangweilten Affen.

Arten von Cyberangriffen

Sicherheitsverletzungen können sowohl Unternehmen als auch Einzelpersonen betreffen. Obwohl die Liste nicht vollständig ist, fallen Cyberangriffe auf Web3 typischerweise in die folgenden Kategorien:

• ? Phishing: Phishing-Angriffe, eine der ältesten und gleichzeitig häufigsten Formen von Cyberangriffen, erfolgen häufig in Form von E-Mails und umfassen das Senden betrügerischer Mitteilungen wie Texte und Nachrichten in sozialen Medien, die scheinbar von einer seriösen Quelle stammen. Dies Cyber-Kriminalität kann auch die Form einer kompromittierten oder böswillig codierten Website annehmen, die Krypto oder NFT aus einer angeschlossenen browserbasierten Brieftasche entleeren kann, sobald eine Krypto-Brieftasche verbunden ist.
• ?‍☠️ Malware: Dieser Überbegriff für bösartige Software (Malware) umfasst alle Programme oder Codes, die für Systeme schädlich sind. Malware kann über Phishing-E-Mails, -SMS und -Nachrichten in ein System eindringen.
• ? Kompromittierte Websites: Diese legitimen Websites werden von Kriminellen gekapert und zum Speichern von Malware verwendet, die ahnungslose Benutzer herunterladen, sobald sie auf einen Link, ein Bild oder eine Datei klicken.
• ? URL-Spoofing: Verbindung zu kompromittierten Websites aufheben; Gespoofte Websites sind bösartige Websites, die Klone legitimer Websites sind. Auch als URL-Phishing bekannt, können diese Seiten Benutzernamen, Passwörter, Kreditkarten, Kryptowährung und andere persönliche Informationen sammeln.
• ? Gefälschte Browsererweiterungen: Wie der Name schon sagt, verwenden diese Exploits gefälschte Browsererweiterungen, um Krypto-Benutzer dazu zu bringen, ihre Zugangsdaten oder Schlüssel in eine Erweiterung einzugeben, die dem Cyberkriminellen Zugriff auf die Daten gewährt.

Diese Angriffe zielen normalerweise darauf ab, auf vertrauliche Informationen zuzugreifen, diese zu stehlen und zu zerstören, oder, im Fall von Green, ein Bored Ape NFT.

Was können Sie tun, um sich zu schützen?

Lübeck sagt, dass der beste Weg, sich vor Phishing zu schützen, darin besteht, niemals auf eine E-Mail, SMS, Telegramm, Discord oder WhatsApp-Nachricht von einer unbekannten Person, Firma oder einem unbekannten Konto zu antworten. „Ich werde noch weiter gehen“, fügte Lübeck hinzu. „Geben Sie niemals Zugangsdaten oder persönliche Informationen ein, wenn der Benutzer die Kommunikation nicht gestartet hat.“

Lübeck empfiehlt, Ihre Zugangsdaten oder persönlichen Informationen nicht einzugeben, wenn Sie öffentliche oder gemeinsam genutzte WLANs oder Netzwerke verwenden. Außerdem erzählt Lübeck Entschlüsseln dass Menschen kein falsches Sicherheitsgefühl haben sollten, weil sie ein bestimmtes Betriebssystem oder einen bestimmten Telefontyp verwenden.

„Wenn wir über diese Arten von Betrug sprechen: Phishing, Webseiten-Imitation, spielt es keine Rolle, ob Sie ein iPhone, Linux, Mac, iOS, Windows oder Chromebook verwenden“, sagt er. „Benennen Sie das Gerät; Das Problem ist die Website, nicht Ihr Gerät.“

Bewahren Sie Ihre Krypto und NFTs sicher auf

Sehen wir uns einen eher „Web3“-Aktionsplan an.

Verwenden Sie nach Möglichkeit Hardware oder Air-Gap Brieftaschen um digitale Assets zu speichern. Diese Geräte, die manchmal als „Cold Storage“ bezeichnet werden, entfernen Ihre Krypto aus dem Internet, bis Sie bereit sind, sie zu verwenden. Es ist zwar üblich und bequem, browserbasierte Wallets wie z MetaMask, denken Sie daran, dass alles, was mit dem Internet verbunden ist, gehackt werden kann.

Wenn Sie eine mobile, Browser- oder Desktop-Wallet verwenden, die auch als Hot Wallet bezeichnet wird, laden Sie sie von offiziellen Plattformen wie dem Google Play Store, dem App Store von Apple oder verifizierten Websites herunter. Laden Sie niemals von Links herunter, die per SMS oder E-Mail gesendet wurden. Obwohl bösartige Apps ihren Weg in offizielle Stores finden können, ist dies sicherer als die Verwendung von Links.

Trennen Sie nach Abschluss Ihrer Transaktion die Brieftasche von der Website.

Achten Sie darauf, Ihre privaten Schlüssel, Seed-Phrasen und Passwörter geheim zu halten. Wenn Sie aufgefordert werden, diese Informationen weiterzugeben, um an einer Investition oder Prägung teilzunehmen, handelt es sich um einen Betrug.

Investieren Sie nur in Projekte, die Sie verstehen. Wenn es unklar ist, wie das Schema funktioniert, hören Sie auf und recherchieren Sie weiter.

Ignorieren Sie Hochdrucktaktiken und knappe Fristen. Betrüger verwenden dies häufig, um zu versuchen, FOMO aufzurufen und potenzielle Opfer dazu zu bringen, nicht darüber nachzudenken oder Nachforschungen darüber anzustellen, was ihnen gesagt wird.

Last but not least, wenn es zu gut klingt, um wahr zu sein, handelt es sich wahrscheinlich um einen Betrug.