Časté podvody spojené s mobilními zařízeními
Časté podvody spojené s mobilními zařízeními
Domů
Články
Časté podvody spojené s mobilními zařízeními

Časté podvody spojené s mobilními zařízeními

Začátečníci
Zveřejněno May 13, 2019Aktualizováno Oct 4, 2022
8m

Příspěvek z naší komunity – Autor: WhoTookMyCrypto.com

Rok 2017 byl mimořádný rok pro kryptoměnové odvětví. Kryptoměny se tehdy díky rychlému růstu jejich hodnoty dostaly do mainstreamových médií. Proto asi nikoho nepřekvapí, že o ně kromě široké veřejnosti projevili obrovský zájem kyberzločinci. Relativní anonymita kryptoměn láká zločince, kteří je často používají jako způsob, jak obcházet tradiční bankovní systémy a vyhnout se finančnímu dohledu ze strany regulačních orgánů.

Vzhledem k tomu, že lidé tráví na chytrých telefonech více času než na stolních počítačích, není divu, že se kyberzločinci zaměřili právě na ně. Tento článek proto upozorňuje na to, jak se podvodníci zaměřují na mobilní zařízení uživatelů kryptoměn, a přináší také několik kroků, kterými se uživatelé mohou bránit.


Falešné kryptoměnové aplikace

Falešné aplikace kryptoměnových burz

Nejznámějším příkladem falešné aplikace kryptoměnové burzy je pravděpodobně ta pro burzu Poloniex. Ještě před spuštěním oficiální mobilní aplikace v červenci 2018 bylo na Google Play hned několik falešných aplikací burzy Poloniex, které byly záměrně navrženy tak, aby byly funkční. Mnoha uživatelům, kteří si tyto podvodné aplikace stáhli, byly odcizeny přihlašovací údaje k burze Poloniex a následně i kryptoměny. Některé aplikace šly ještě dál a požadovaly přihlašovací údaje k Gmailu. Je důležité zdůraznit, že problémy měly pouze účty bez dvoufázového ověření (2FA).

S ochranou před takovými podvody vám mohou pomoct následující kroky.

  • Ověřte si na oficiálních stránkách burzy, že má skutečně mobilní obchodní aplikaci. Pokud ji má, použijte odkaz na jejich webu.

  • Přečtěte si recenze a hodnocení. Podvodné aplikace mají často mnoho špatných recenzí, ve kterých si lidé stěžují, že je někdo podvedl, tak si je nezapomeňte před stažením projít. Měli byste ale být skeptičtí i k aplikacím, které mají jen perfektní hodnocení a komentáře. Každá legitimní aplikace má svůj podíl negativních recenzí.

  • Prohlédněte si informace o vývojáři aplikace. Podívejte se, jestli je v nich uvedena legitimní společnost, e-mailová adresa a webové stránky. Měli byste si také poskytnuté informace vyhledat online, abyste zjistili, jestli skutečně souvisí s oficiální burzou.

  • Podívejte se na počet stažení. Ten je také potřeba posoudit. Je velmi nepravděpodobné, že by oblíbená kryptoměnová burza měla malý počet stažení.

  • Aktivujte na svých účtech dvoufázové ověření (2FA). Sice není 100% bezpečné, ale 2FA je mnohem obtížnější obejít a v ochraně vašich finančních prostředků může hrát velkou roli, když vaše přihlašovací údaje někdo získá phishingovým útokem.


Falešné aplikace kryptoměnových peněženek

Existuje mnoho různých typů těchto falešných aplikací. Jedna z variant se snaží získat osobní údaje uživatelů, například hesla k jejich peněženkám a soukromé klíče.

V některých případech falešné aplikace poskytují uživatelům předem vygenerované veřejné adresy. Předpokládají, že mají finanční prostředky vložit na tyto adresy, ale nedostanou přístup k soukromým klíčům, takže pak ani nemají přístup k prostředkům, které na tyto adresy poslali.

Takové falešné peněženky byly vytvořeny pro oblíbené kryptoměny, jako je Ethereum a Neo, a mnoho uživatelů tak bohužel o své prostředky přišlo. Zde je několik preventivních kroků, které můžete podniknout, abyste se nestali obětí tohoto podvodu:

  • Opatření zmíněná výše v části o burzovních aplikacích pořád platí. Když si ale stáhnete aplikaci kryptoměnové peněženky, doporučujeme vám si při prvním otevření aplikace ověřit, že se vygenerovaly zcela nové adresy a že k nim máte soukromé klíče (nebo mnemonickou seed frázi). Legitimní aplikace kryptoměnové peněženky umožňuje soukromé klíče exportovat, ale také je důležité zajistit, aby nebylo ohroženo generování nových párů klíčů. Proto byste měli použít renomovaný software (nejlépe s otevřeným zdrojovým kódem).

  • I když vám aplikace poskytne soukromý klíč (seed frázi), měli byste si ověřit, jestli je možné z něj odvodit veřejné adresy a získat k nim přístup. Některé bitcoinové peněženky například umožňují uživatelům importovat soukromé klíče nebo seed fráze, aby si mohli adresy vizualizovat a získat přístup k finančním prostředkům. Pokud chcete minimalizovat riziko, že vám klíče a seed frázi někdo odcizí, můžete je vygenerovat na počítači, který nikdy nebyl připojen k internetu.


Cryptojackingové aplikace

Cryptojacking (krádež kryptoměn) je mezi kyberzločinci velmi oblíbený díky tomu, že má nízké překážky vstupu a nízké režijní náklady. Navíc přináší možnost dlouhodobého opakovaného příjmu. Mobilní zařízení se stále častěji stávají terčem cryptojackingu, i když mají v porovnání s počítači nižší výpočetní výkon.

Kromě cryptojackingu přes webové prohlížeče vyvíjí kyberzločinci i programy, které se tváří jako legitimní herní, užitkové nebo vzdělávací aplikace. Mnoho z těchto aplikací je ale navrženo tak, aby na pozadí tajně spouštěly skripty pro těžbu kryptoměn.

Existují také cryptojackingové aplikace, které jsou inzerovány jako legitimní nástroje třetích stran na těžbu kryptoměn, ale odměny místo uživatelů získávají vývojáři aplikace.

Aby toho nebylo málo, kyberzločinci jsou čím dál sofistikovanější a nasazují lehké těžební algoritmy, aby je nikdo neodhalil.

Cryptojacking mobilním zařízením neuvěřitelně škodí, protože snižuje jejich výkon a zrychluje opotřebení. A co hůř, může potenciálně fungovat jako trojský kůň pro další škodlivý software. 

Proti cryptojackingu se můžete bránit následujícími kroky.

  • Aplikace stahujte pouze z oficiálních služeb, jako je Google Play. Pirátské aplikace se neprověřují a mnohem pravděpodobněji mohou obsahovat cryptojackingové skripty.

  • Hlídejte si, jestli se vám nadměrně nevybíjí baterie nebo se vám nepřehřívá telefon. Když takové chování odhalíte, ukončete aplikace, které ho způsobují.

  • Pravidelně své zařízení a aplikace kvůli opravám chyb zabezpečení aktualizujte.

  • Používejte webový prohlížeč, který má ochranu před cryptojackingem, nebo si do prohlížeče nainstalujte spolehlivé doplňky, jako je MinerBlock, NoCoin nebo Adblock.

  • Pokud je to možné, nainstalujte si mobilní antivir a pravidelně ho aktualizujte.


Odměny zdarma a falešné aplikace na těžbu kryptoměn

Jsou to aplikace, které předstírají, že uživatelům těží kryptoměny, ale ve skutečnosti jen zobrazují reklamy. Motivují uživatele k tomu, aby si aplikace nechali otevřené tím, že jim v průběhu času zvyšují odměny. Některé aplikace dokonce slibují odměny za to, že jim uživatelé dají pětihvězdičkové hodnocení. Žádná z těchto aplikací samozřejmě nikdy nic netěžila a uživatelé nikdy nedostali žádnou odměnu.

Tomuto podvodu se snadno vyhnete tak, že si uvědomíte, že těžba většiny kryptoměn vyžaduje vysoce specializovaný hardware (ASIC), což znamená, že těžba na mobilním zařízení není proveditelná. Cokoli byste vytěžili, by bylo bezvýznamné. Těmto aplikacím se vyhněte.


Aplikace měnící schránku kopírování

Tyto aplikace mění kryptoměnové adresy, které kopírujete, a nahrazují je adresami útočníka. Oběť tak sice může zkopírovat správnou adresu příjemce, ale ta, kterou vloží ke zpracování transakce, je nahrazena adresou útočníka.

Abyste se nestali obětí takových aplikací, můžete při zpracovávání transakcí přijmout určitá opatření.

  • Vždy si dvakrát nebo i třikrát zkontrolujte adresu, kterou vkládáte do pole příjemce. Blockchainové transakce jsou nevratné, takže byste měli být vždy opatrní.

  • Nejlepší je ověřit celou adresu, ne jen její část. Některé aplikace jsou tak inteligentní, že vkládají adresy, které vypadají podobně jako vaše zamýšlená adresa.


Výměna SIM karty

Při podvodu s výměnou SIM karty získá kyberzločinec přístup k telefonnímu číslu uživatele. Využívají k tomu techniky sociálního inženýrství, kterými se snaží oklamat mobilní operátory, aby jim vydali novou SIM kartu. Nejznámější podvod s výměnou SIM karty se týkal podnikatele v oblasti kryptoměn Michaela Terpina. Tvrdil, že společnost AT&T nedbale nakládala s jeho telefonními údaji, a on proto přišel o tokeny v hodnotě více než 20 milionů amerických dolarů.

Jakmile kyberzločinci získají přístup k vašemu telefonnímu číslu, mohou s jeho pomocí obejít jakékoli související dvoufázové ověření. Můžou se tak dostat do vašich kryptoměnových peněženek a účtů na burzách.

Další metoda, kterou mohou kyberzločinci použít, je sledování SMS komunikace. Chyby v komunikačních sítích mohou zločincům umožnit zachytit vaše zprávy obsahující PIN kód pro dvoufázové ověření.

Tento útok je obzvlášť znepokojivý tím, že uživatelé ani nemusí udělat nic špatně, jako například stáhnout falešný software nebo kliknout na škodlivý odkaz.

Abyste se nestali obětí těchto podvodů, zvažte následující kroky.

  • Nepoužívejte pro dvoufázové ověření telefonní číslo. Místo něj použijte k zabezpečení účtů aplikace, jako je Google Authenticator nebo Authy. K takovým aplikacím se kyberzločinci nedostanou ani v případě, že získají vaše telefonní číslo. Případně můžete použít hardwarové 2FA, například YubiKey nebo Titan Security Key společnosti Google.

  • Nezveřejňujte osobní identifikační údaje, jako je číslo mobilního telefonu, na sociálních sítích. Kyberzločinci mohou tyto informace získat a použít je k tomu, aby se za vás někde vydávali. 

  • Nikdy byste neměli na sociálních sítích sdělovat, že vlastníte kryptoměny, protože tak se stanete jejich terčem. Nebo pokud jste v pozici, kdy už všichni vědí, že je vlastníte, nesdělujte osobní údaje, jako jsou používané burzy nebo peněženky.

  • Domluvte se s mobilním operátorem na ochraně vašeho účtu. Můžete ke svému účtu přidat například PIN nebo heslo a nařídit operátorovi, že změny na účtu budou moct provádět jen uživatelé, kteří PIN nebo heslo znají. Případně můžete požadovat, aby takové změny byly prováděny osobně, a po telefonu je zakázat.


Wi-Fi

Kyberzločinci neustále hledají vstupní body do mobilních zařízení, zejména do zařízení uživatelů kryptoměn. Jedním z takových vstupních bodů je přístup k wi-Fi. Veřejné wi-Fi sítě jsou nezabezpečené a uživatelé by měli před připojením k nim přijmout určitá opatření. V opačném případě hrozí, že kyberzločinci získají přístup k datům v jejich mobilních zařízeních. Těmto opatřením jsme se už věnovali v článku o veřejných wi-Fi sítích.


Závěrem

Mobilní telefony se staly nezbytnou součástí našich životů. Ve skutečnosti jsou natolik provázané s naší digitální identitou, že mohou být nejzranitelnějším bodem našeho zabezpečení. Kyberzločinci to moc dobře ví a i nadále budou hledat způsoby, jak toho zneužít. Zabezpečení mobilních zařízení už není dobrovolné. Stala se z něj nutnost. Chraňte si svoje bezpečí.