Indsendelse til fællesskabet – Forfatter: WhoTookMyCrypto.com
2017 var et bemærkelsesværdigt år for kryptovalutabranchen, da dens hurtige stigning i værdiansættelser drev den ind i mainstream-medierne. Ikke overraskende resulterede det i enorm interesse fra både offentligheden såvel som cyberkriminelle. Den relative anonymitet, der tilbydes af kryptovalutaer, har gjort dem til en favorit blandt kriminelle, der ofte bruger dem til at omgå traditionelle banksystemer og undgå økonomisk overvågning fra regulatorer.
I betragtning af at folk bruger mere tid på deres smartphones end computere, er det derfor ikke overraskende, at cyberkriminelle også har vendt deres opmærksomhed mod disse. Den følgende gennemgang fremhæver, hvordan svindlere er målrettede mod kryptovalutabrugere via deres mobile enheder sammen med et par trin, som brugerne kan tage for at beskytte sig selv.
Falske kryptovalutaapps
Falske børsapps for kryptovaluta
Det mest kendte eksempel på en falsk børsapp for kryptovaluta er sandsynligvis Poloniex. Før lanceringen af deres officielle mobilhandelsapp i juli 2018 viste Google Play allerede flere falske Poloniex-børsapps, som med vilje var designet til at være funktionelle. Mange brugere, der downloadede disse falske apps, fik deres Poloniex-legitimationsoplysninger kompromitteret, og deres kryptovalutaer blev stjålet. Nogle apps gik endda et skridt videre og anmodede om legitimationsoplysninger for brugernes Gmail-konti. Det er vigtigt at fremhæve, at kun konti uden totrinsgodkendelse (2FA) blev kompromitteret.
Følgende trin kan hjælpe med at beskytte dig mod sådanne svindelnumre.
Kontrollér børsens officielle hjemmeside for at se, om de rent faktisk tilbyder en mobil handelsapp. I så fald skal du bruge linket på deres websted.
Læs anmeldelser og vurderinger. Falske apps har ofte mange dårlige anmeldelser med folk, der klager over at blive snydt, så sørg for at kontrollere dem, før du downloader. Du bør dog også være skeptisk over for apps, der præsenterer perfekte vurderinger og kommentarer. Enhver legitim app har sin rimelige andel af negative anmeldelser.
Kontrollér oplysningerne om appudviklere. Se efter, om der angives en legitim virksomhed, e-mail og et websted. Du bør også foretage en online søgning på de angivne oplysninger for at se, om de virkelig er relateret til den officielle børs.
Kontrollér antallet af downloads. Antallet af downloads bør også overvejes. Det er usandsynligt, at en meget populær kryptovalutabørs ville have et lille antal downloads.
Aktivér totrinsgodkendelse på dine konti. Selvom den ikke er 100 % sikker, er totrinsgodkendelse meget sværere at omgå og kan gøre en enorm forskel, når det kommer til beskyttelse af dine midler, selvom dine legitimationsoplysninger til login er blevet phished.
Falske tegnebogsapps til kryptovaluta
Der er mange forskellige typer falske apps. En variation søger at få personlige oplysninger fra brugere som f.eks. deres adgangskoder til tegnebog og private nøgler.
I nogle tilfælde leverer falske apps tidligere genererede offentlige adresser til brugerne. Så de antager, at midler skal deponeres på disse adresser. De får dog ikke adgang til de private nøgler og har dermed ikke adgang til midler, der sendes til dem.
Sådanne falske tegnebøger er blevet oprettet til populære kryptovalutaer såsom Ethereum og Neo, og desværre mistede mange brugere deres midler. Her er nogle forebyggende skridt, der kan tages for at undgå at blive offer:
De forholdsregler, der er fremhævet i segmentet for udvekslingsapps ovenfor, gælder ligeledes. En yderligere forholdsregel, du kan tage, når du beskæftiger dig med tegnebogsapps, er dog at sikre, at der genereres helt nye adresser, når du først åbner appen, og at du er i besiddelse af de private nøgler (eller mnemoniske seeds). En legitim tegnebogsapp giver dig mulighed for at eksportere de private nøgler, men det er også vigtigt at sikre, at genereringen af nye nøglepar ikke kompromitteres. Så du skal bruge en velrenommeret software (helst open source).
Selvom appen giver dig en privat nøgle (eller seed), skal du kontrollere, om de offentlige adresser kan udledes og tilgås fra dem. F.eks. giver nogle bitcoin-tegnebøger brugerne mulighed for at importere deres private nøgler eller seeds for at visualisere adresserne og få adgang til midlerne. For at minimere risikoen for, at nøgler og seeds kompromitteres, kan du udføre dette på en computer, der ikke er forbundet til internettet.
Kryptojacking-apps
Kryptojacking har været en varm favorit blandt cyberkriminelle på grund af de lave adgangsbarrierer og lave omkostninger, der kræves. Desuden giver det dem potentialet for langsigtet tilbagevendende indkomst. På trods af deres lavere processorkraft sammenlignet med pc'er bliver mobile enheder i stigende grad et mål for kryptojacking.
Bortset fra kryptojacking i webbrowser udvikler cyberkriminelle også programmer, der ser ud til at være legitime spil-, hjælpe- eller uddannelsesapps. Imidlertid er mange af disse apps designet til hemmeligt at køre kryptominingscripts i baggrunden.
Der er også kryptojacking-apps, der annonceres som legitime tredjepartsminere, men belønningerne leveres til appudvikleren i stedet for brugerne.
For at gøre tingene værre er cyberkriminelle blevet mere og mere sofistikerede og implementerer lette miningalgoritmer for at undgå afsløring.
Kryptojacking er utrolig skadeligt for dine mobile enheder, da det forringer ydeevnen og fremskynder slitage. Endnu værre så kan de potentielt fungere som trojanske heste for mere forbryderisk malware.
Følgende trin kan tages for at beskytte sig mod dem.
Download kun apps fra officielle butikker såsom Google Play. Piratkopierede apps er ikke forudscannet og er mere tilbøjelige til at indeholde kryptojacking-scripts.
Overvåg din telefon for overdreven batteridræning eller overophedning. Hvis det registreres, skal du afslutte apps, der forårsager dette.
Hold din enhed og dine apps opdateret, så sikkerhedssårbarheder bliver rettet.
Brug en webbrowser, der beskytter mod kryptojacking, eller installer velrenommerede browser-plug-ins såsom MinerBlock, NoCoin og Adblock.
Hvis det er muligt, skal du installere mobil antivirussoftware og holde den opdateret.
Gratis giveaway og falske kryptominerapps
Dette er apps, der foregiver at udvinde kryptovalutaer for deres brugere, men faktisk ikke gør andet end at vise annoncer. De tilskynder brugerne til at holde apps åbne ved at afspejle en stigning i brugerens belønninger over tid. Nogle apps tilskynder endda brugere til at give 5-stjernede vurderinger for at få belønninger. Selvfølgelig var ingen af disse apps faktisk mining, og deres brugere modtog aldrig nogen belønninger.
For at beskytte mod denne fidus skal du forstå, at mining for de fleste kryptovalutaer kræver højt specialiseret hardware (ASIC'er), hvilket betyder, at det ikke er muligt at mine på en mobilenhed. Uanset hvilke beløb, du miner, ville det i bedste fald være trivielt. Hold dig væk fra sådanne apps.
Clipper-apps
Sådanne apps ændrer de kryptovalutaadresser, du kopierer, og erstatter dem med angriberens. Således, mens et offer kan kopiere den korrekte modtageradresse, erstattes den, de indsætter for at behandle transaktionen, med angriberens.
For at undgå at blive offer for sådanne apps er her nogle forholdsregler, du kan tage, når du behandler transaktioner.
Kontrollér altid to og tre gange den adresse, du indsætter i modtagerfeltet. Blockchain-transaktioner er irreversible, så du skal altid være forsigtig.
Det er bedst at verificere hele adressen i stedet for kun dele af den. Nogle apps er intelligente nok til at indsætte adresser, der ligner din tilsigtede adresse.
SIM-udskiftning
I en SIM-udskiftningsfidus får en cyberkriminel adgang til en brugers telefonnummer. De gør dette ved at anvende social engineering-teknikker til at narre mobiltelefonoperatører til at udstede et nyt SIM-kort til dem. Den mest kendte SIM-udskiftingsfidus involverede kryptovalutaiværksætter Michael Terpin. Han hævdede, at AT&T var uagtsom i deres håndtering af hans mobiltelefonoplysninger, hvilket resulterede i, at han mistede tokens til en værdi af mere end 20 millioner USD.
Når cyberkriminelle har fået adgang til dit telefonnummer, kan de bruge det til at omgå enhver totrinsgodkendelse, der er afhængig af det. Derfra kan de arbejde sig ind i dine kryptovalutategnebøger og børser.
En anden metode, cyberkriminelle kan anvende, er at overvåge din SMS-kommunikation. Fejl i kommunikationsnetværk kan give kriminelle mulighed for at opfange dine meddelelser, som kan omfatte den anden pinkode i totrinsgodkendelsen, der er sendt til dig.
Det, der gør dette angreb særligt bekymrende, er, at brugerne ikke er forpligtede til at foretage nogen handling, f.eks. at downloade en falsk software eller klikke på et ondsindet link.
For at forhindre at blive offer for sådan svindel er der her nogle trin at overveje.
Brug ikke dit mobiltelefonnummer til totrinsgodkendelse via SMS. Brug i stedet apps såsom Google Authenticator eller Authy til at sikre dine konti. Cyberkriminelle kan ikke få adgang til disse apps, selvom de har dit telefonnummer. Alternativt kan du bruge totrinsgodkendelseshardware såsom YubiKey eller Googles Titan Security Key.
Afslør ikke personlige identificerende oplysninger på sociale medier såsom dit mobiltelefonnummer. Cyberkriminelle kan hente sådanne oplysninger og bruge dem til at efterligne dig andre steder.
Du bør aldrig annoncere på sociale medier, at du ejer kryptovalutaer, da dette ville gøre dig til et mål. Eller hvis du er i en position, hvor alle allerede ved, at du ejer dem, så undgå at videregive personlige oplysninger, herunder de børser eller tegnebøger, du bruger.
Lav aftaler med dine mobiltelefonudbydere for at beskytte din konto. Dette kan betyde at føje en pin- eller adgangskode til din konto og diktere, at det kun er brugere med kendskab til pinkoden, der kan foretage ændringer på kontoen. Alternativt kan du kræve, at sådanne ændringer foretages personligt og ikke tillade dem over telefonen.
Wi-fi
Cyberkriminelle søger konstant indgangspunkter til mobile enheder, især dem fra kryptovalutabrugere. Et sådant indgangspunkt er wi-fi-adgang. Offentlige wi-fi-netværk er usikre, og brugerne bør tage forholdsregler, før de opretter forbindelse til dem. Hvis ikke, risikerer de, at cyberkriminelle kan få adgang til dataene på deres mobile enheder. Disse forholdsregler er blevet omhandlet i artiklen om offentligt wi-fi.
Sammenfatning
Mobiltelefoner er blevet en væsentlig del af vores liv. Faktisk er de så sammenflettet med din digitale identitet, at de kan blive din største sårbarhed. Cyberkriminelle er opmærksomme på dette og vil fortsætte med at finde måder at udnytte dette på. Det er ikke længere valgfrit at sikre dine mobile enheder. Det er blevet en nødvendighed. Pas på dig selv.