رغم أن Web3 لطالما روج الإنجيليون لميزات الأمان الأصلية لـ blockchain ، فإن تدفق الأموال المتدفقة إلى الصناعة يجعلها فرصة مغرية للمتسللين ، المحتالين ولصوص.
عندما ينجح الفاعلون السيئون في اختراق الأمن السيبراني لـ Web3 ، فغالبًا ما يرجع ذلك إلى تجاهل المستخدمين للتهديدات الأكثر شيوعًا للجشع البشري والجهل والخوف ، وليس بسبب العيوب في التكنولوجيا.
تعد العديد من عمليات الاحتيال بمكافآت كبيرة أو استثمارات أو امتيازات حصرية ؛ تسمي FTC فرص كسب الأموال والاستثمار الحيل.
أموال طائلة في عمليات الاحتيال
بحسب 2022 يونيو تقرير من قبل لجنة التجارة الفيدرالية ، تمت سرقة أكثر من 1 مليار دولار من العملات المشفرة منذ عام 2021. وأراضي صيد المتسللين هي المكان الذي يتجمع فيه الناس عبر الإنترنت.
قالت لجنة التجارة الفيدرالية: "ما يقرب من نصف الأشخاص الذين أفادوا بأنهم فقدوا العملة المشفرة في عملية احتيال منذ عام 2021 قالوا إن الأمر بدأ بإعلان أو منشور أو رسالة على منصة وسائط اجتماعية".
على الرغم من أن الهجمات الاحتيالية تبدو جيدة جدًا لدرجة يصعب تصديقها ، إلا أن الضحايا المحتملين قد يوقفون عدم التصديق نظرًا للتقلب الشديد في سوق العملات المشفرة ؛ لا يريد الناس تفويت الفرصة الكبيرة التالية.
المهاجمون يستهدفون NFTs
جنبا إلى جنب مع العملات المشفرة ، NFTS، أو الرموز المميزة غير القابلة للاستبدال ، أصبحت ملف شعبية متزايدة هدف المحتالين ؛ وفقًا لشركة Web3 للأمن السيبراني معامل TRM، في الشهرين التاليين لشهر مايو 2022 ، خسر مجتمع NFT ما يقدر بنحو 22 مليون دولار في عمليات الاحتيال وهجمات التصيد الاحتيالي.
مجموعات "الرقائق الزرقاء" مثل نادي اليخوت القرد الملل (BAYC) هدف ثمين بشكل خاص. في أبريل 2022 ، كان حساب BAYC Instagram اخترق من قبل المحتالين الذين حولوا الضحايا إلى موقع استنزف محافظ Ethereum الخاصة بهم من التشفير و NFTs. تمت سرقة حوالي 91 NFTs بقيمة إجمالية تزيد عن 2.8 مليون دولار. بعد أشهر ، أ استغلال الخلاف شهد سرقة NFTs بقيمة 200 ETH من المستخدمين.
وقع حاملو BAYC البارزون ضحية لعمليات الاحتيال أيضًا. في 17 مايو الممثل والمنتج سيث غرين قام بالتغريد بأنه كان ضحية لعملية احتيال تصيد أسفرت عن سرقة أربعة من NFTs ، بما في ذلك Bored Ape # 8398. بالإضافة إلى تسليط الضوء على التهديد الذي تشكله هجمات التصيد الاحتيالي ، كان من الممكن أن تؤدي إلى إخراج برنامج تلفزيوني / متدفق يحمل عنوان NFT من المخطط بواسطة Green ، "White Horse Tavern". تتضمن BAYC NFTs حقوق الترخيص لاستخدام NFT لأغراض تجارية ، كما في حالة بالملل والجوع مطعم للوجبات السريعة في لونج بيتش ، كاليفورنيا.
اعتقدت أنني كنت أقوم بسك استنساخ GutterCat - بدا رابط التصيد نظيفًا
- سيث جرين (SethGreen) 17 مايو 2022
خلال جلسة 9 يونيو على Twitter Spaces ، أخضر قال إنه استعاد JPEG المسروق بعد دفع 165 ETH (أكثر من 295,000 دولار في ذلك الوقت) لشخص اشترى NFT بعد سرقته.
"لا يزال التصيد الاحتيالي هو الموجه الأول للهجوم" ، هذا ما قاله لويس لوبيك ، مهندس الأمان في شركة Web3 للأمن السيبراني ، هالبورنوقال فك تشفير.
يقول لوبيك إنه يجب على المستخدمين أن يكونوا على دراية بمواقع الويب المزيفة التي تطلب بيانات اعتماد المحفظة والروابط المستنسخة والمشاريع المزيفة.
وفقًا لـ Lubeck ، قد تبدأ عملية احتيال التصيد بالهندسة الاجتماعية ، لإخبار المستخدم بإطلاق رمز مبكر أو أنه سيحصل على 100 ضعف أمواله ، أو واجهة برمجة تطبيقات منخفضة ، أو أن حسابه قد تم اختراقه ويتطلب تغيير كلمة المرور. عادةً ما تأتي هذه الرسائل بوقت محدود للتصرف ، مما يزيد من خوف المستخدم من الضياع ، والمعروف أيضًا باسم FOMO.
في حالة جرين ، جاء هجوم التصيد عبر رابط مستنسخ.
اعتقدت أنني كنت أقوم بسك استنساخ GutterCat - بدا رابط التصيد نظيفًا
- سيث جرين (SethGreen) 17 مايو 2022
استنساخ التصيد الاحتيالي هو هجوم يأخذ فيه المخادع موقعًا إلكترونيًا أو بريدًا إلكترونيًا أو حتى رابطًا بسيطًا وينشئ نسخة شبه كاملة تبدو شرعية. اعتقد جرين أنه كان يسك نسخ "GutterCat" باستخدام ما تبين أنه موقع ويب للتصيد الاحتيالي.
عندما ربط جرين محفظته بموقع التصيد الاحتيالي ووقع المعاملة لصك NFT ، منح المتسللين الوصول إلى مفاتيحه الخاصة ، وبالتالي ، القرود الملل.
أنواع الهجمات الإلكترونية
يمكن أن تؤثر الخروقات الأمنية على كل من الشركات والأفراد. على الرغم من أنها ليست قائمة كاملة ، إلا أن الهجمات الإلكترونية التي تستهدف Web3 تندرج عادةً في الفئات التالية:
- ? التصيد: واحدة من أقدم أشكال الهجمات الإلكترونية وأكثرها شيوعًا ، تأتي هجمات التصيد عادةً في شكل بريد إلكتروني وتتضمن إرسال اتصالات احتيالية مثل النصوص والرسائل على وسائل التواصل الاجتماعي التي يبدو أنها تأتي من مصدر حسن السمعة. هذه جرائم الإنترنت يمكن أن يتخذ أيضًا شكل موقع ويب مخترق أو مشفر بشكل ضار يمكنه استنزاف العملة المشفرة أو NFT من المحفظة المستندة إلى المستعرض المرفقة بمجرد توصيل المحفظة المشفرة.
- ؟ ☠️ البرمجيات الخبيثة: باختصار للبرامج الضارة ، يغطي هذا المصطلح الشامل أي برنامج أو رمز ضار بالأنظمة. يمكن أن تدخل البرامج الضارة إلى النظام من خلال رسائل البريد الإلكتروني والنصوص والرسائل المخادعة.
- ? مواقع الويب المعرضة للاختراق: يتم اختطاف هذه المواقع الشرعية من قبل المجرمين واستخدامها لتخزين البرامج الضارة التي يقوم المستخدمون بتنزيلها بمجرد النقر فوق ارتباط أو صورة أو ملف.
- ? انتحال URL: إلغاء ربط المواقع المخترقة ؛ مواقع الويب المخادعة هي مواقع ضارة مستنسخة من مواقع ويب شرعية. يُعرف أيضًا باسم URL Phishing ، يمكن لهذه المواقع جمع أسماء المستخدمين وكلمات المرور وبطاقات الائتمان والعملات المشفرة والمعلومات الشخصية الأخرى.
- ? ملحقات متصفح وهمية: كما يوحي الاسم ، تستخدم هذه الاستغلال امتدادات متصفح وهمية لخداع مستخدمي التشفير لإدخال بيانات اعتمادهم أو مفاتيحهم في ملحق يمنح مجرمي الإنترنت الوصول إلى البيانات.
تهدف هذه الهجمات عادةً إلى الوصول إلى المعلومات الحساسة وسرقتها وتدميرها ، أو في حالة Green Ape Ape NFT.
ما يمكنك القيام به لحماية نفسك؟
يقول لوبيك إن أفضل طريقة لحماية نفسك من التصيد الاحتيالي هي عدم الرد على رسالة بريد إلكتروني أو نص SMS أو Telegram أو Discord أو WhatsApp من شخص أو شركة أو حساب غير معروف. وأضاف لوبيك: "سأذهب إلى أبعد من ذلك". "لا تدخل بيانات الاعتماد أو المعلومات الشخصية مطلقًا إذا لم يبدأ المستخدم الاتصال."
توصي Lubeck بعدم إدخال بيانات الاعتماد الخاصة بك أو المعلومات الشخصية عند استخدام شبكات WiFi أو شبكات عامة أو مشتركة. بالإضافة إلى ذلك ، يقول لوبيك فك تشفير أنه لا ينبغي أن يكون لدى الأشخاص شعور زائف بالأمان لأنهم يستخدمون نظام تشغيل أو نوع هاتف معين.
يقول: "عندما نتحدث عن هذه الأنواع من عمليات الخداع: التصيد الاحتيالي وانتحال هوية صفحات الويب ، لا يهم إذا كنت تستخدم iPhone أو Linux أو Mac أو iOS أو Windows أو Chromebook". "اسم الجهاز ؛ المشكلة هي الموقع وليس جهازك ".
حافظ على أمان تشفيرك و NFT
دعنا نلقي نظرة على المزيد من خطة عمل "Web3".
عندما يكون ذلك ممكنًا ، استخدم الأجهزة أو الهواء محافظ لتخزين الأصول الرقمية. هذه الأجهزة ، التي توصف أحيانًا باسم "التخزين البارد" ، تزيل تشفيرك من الإنترنت حتى تكون جاهزًا لاستخدامه. في حين أنه من الشائع والمريح استخدام المحافظ المستندة إلى المستعرض مثل MetaMaskتذكر أن أي شيء متصل بالإنترنت من المحتمل أن يتم اختراقه.
إذا كنت تستخدم محفظة هاتف محمول أو متصفح أو محفظة سطح مكتب ، والمعروفة أيضًا باسم المحفظة الساخنة ، فقم بتنزيلها من الأنظمة الأساسية الرسمية مثل متجر Google Play أو متجر تطبيقات Apple أو مواقع الويب التي تم التحقق منها. لا تقم أبدًا بالتنزيل من الروابط المرسلة عبر الرسائل النصية أو البريد الإلكتروني. على الرغم من أن التطبيقات الضارة يمكن أن تجد طريقها إلى المتاجر الرسمية ، إلا أنها أكثر أمانًا من استخدام الروابط.
بعد إتمام معاملتك ، افصل المحفظة عن الموقع.
تأكد من الحفاظ على خصوصية مفاتيحك الخاصة وعباراتك الأولية وكلمات مرورك. إذا طُلب منك مشاركة هذه المعلومات للمشاركة في استثمار أو سك العملة ، فهذه عملية احتيال.
استثمر فقط في المشاريع التي تفهمها. إذا لم يكن من الواضح كيف يعمل المخطط ، فتوقف وقم بإجراء المزيد من البحث.
تجاهل تكتيكات الضغط العالي والمواعيد النهائية الضيقة. في كثير من الأحيان ، سيستخدم المحتالون هذا لمحاولة استدعاء FOMO وجعل الضحايا المحتملين لا يفكرون أو يقومون بأبحاث حول ما يُقال لهم.
أخيرًا وليس آخرًا ، إذا بدا الأمر جيدًا لدرجة يصعب تصديقها ، فمن المحتمل أن تكون عملية احتيال.
ابق على اطلاع بأخبار العملات المشفرة ، واحصل على تحديثات يومية في صندوق الوارد الخاص بك.
المصدر: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg