Levinud petuskeemid mobiiliseadmetes
Avaleht
Artiklid
Levinud petuskeemid mobiiliseadmetes

Levinud petuskeemid mobiiliseadmetes

Algaja
Avaldatud May 13, 2019Värskendatud Oct 4, 2022
8m

Panus kogukonda – autor: WhoTookMyCrypto.com

2017 oli krüptorahatööstuse jaoks märkimisväärne aasta, kuna nende väärtuste kiire kasv viis nad peavoolumeediasse. Pole üllatav, et see äratas tohutut huvi nii üldsuse kui ka küberkurjategijate seas. Krüptoraha pakutav suhteline anonüümsus on muutnud need kurjategijate lemmikuks, kes kasutavad neid sageli traditsioonilistest pangandussüsteemidest mööda hiilimiseks ja regulaatorite finantsjärelevalve vältimiseks.

Arvestades, et inimesed veedavad oma nutitelefonides rohkem aega kui lauaarvutites, pole seega üllatav, et ka küberkurjategijad on tähelepanu neile pööranud. Järgmises arutelus tuuakse esile, kuidas petturid on oma mobiilseadmete kaudu sihikule võtnud krüptoraha kasutajaid ning mõned sammud, mida kasutajad saavad enda kaitsmiseks astuda.


Võltsid krüptoraharakendused

Võltsid krüptobörsi rakendused

Kõige tuntum näide võlts krüptobörsi rakendusest on ilmselt Poloniexi oma. Enne ametliku mobiilse kauplemisrakenduse välja andmist 2018. aasta juulis oli Google Plays juba üleval mitmed võltsitud Poloniexi börsirakendused, mis olid tahtlikult loodud funktsionaalseteks. Paljude kasutajate, kes need petturlikud rakendused alla laadisid, Poloniexi sisselogimise identimisteave rikuti ja nende krüptoraha varastati. Mõned rakendused astusid isegi sammu kaugemale, nõudes kasutajate Gmaili kontode sisselogimise identimisteavet. Oluline on rõhutada, et ohtu sattusid ainult ilma kahefaktorilise autentimiseta (2FA) kontod.

Järgmised sammud aitavad sind selliste pettuste eest kaitsta.

  • Kontrolli börsi ametlikku veebisaiti, et näha, kas nad tõesti pakuvad mobiilset kauplemisrakendust. Kui jah, kasuta nende veebisaidil olevat linki.

  • Loe arvustusi ja hinnanguid. Petturlikel rakendustel on sageli palju halbu arvustusi ja inimesed kurdavad pettuse üle, seega kontrolli neid enne allalaadimist kindlasti. Siiski peaksid olema skeptiline ka rakenduste suhtes, mis esitavad täiuslikke hinnanguid ja kommentaare. Igal seaduslikul rakendusel on oma osa negatiivseid arvustusi.

  • Kontrolli rakenduse arendaja teavet. Tee kindlaks, kas on olemas seaduslik ettevõte, e-posti aadress ja veebisait. Samuti peaksid esitatud teabe kohta veebiotsingut tegema, et näha, kas see on tõesti ametliku teabevahetusega seotud.

  • Kontrolli allalaadimiste arvu. Arvestada tuleks ka allalaadimiste arvuga. On ebatõenäoline, et väga populaarsel krüptobörsil oleks väike allalaadimiste arv.

  • Aktiveeri oma kontodel 2FA. Kuigi 2FA pole 100% turvaline, on sellest palju raskem mööda minna ja see võib sinu raha kaitsmisel oluliselt kaasa aidata, isegi kui sinu sisselogimise identimisteave on andmepüügiga varastatud.


Võltsid krüpto rahakotirakendused

Võltsrakendusi on palju erinevat tüüpi. Ühe variandi eesmärk on hankida kasutajatelt isiklikku teavet, näiteks nende rahakoti paroole ja privaatseid võtmeid.

Mõnel juhul pakuvad võltsrakendused kasutajatele eelnevalt loodud avalikke aadresse. Seega nad eeldavad, et raha tuleb nendele aadressidele deponeerida. Kuid nad ei pääse privaatsetele võtmetele ega seega neile saadetud vahenditele ligi.

Sellised võltsrahakotid on loodud populaarsetele krüptorahadele nagu Ethereum ja Neo ning kahjuks jäid paljud kasutajad oma rahast ilma. Siin on mõned ennetavad toimingud, mida saab teha ohvriks langemise vältimiseks:

  • Eespool börsirakenduse rakenduse lõigus esile tõstetud ettevaatusabinõud on samaväärsed. Täiendav ettevaatusabinõu, mida saad rahakotirakendustega töötades võtta, on aga veenduda, et rakenduse esmakordsel avamisel luuakse uhiuued aadressid ja et sul on privaatsed võtmed (või seemnefraas). Õiguspärane rahakotirakendus võimaldab sul eksportida privaatseid võtmeid, kuid samuti on oluline tagada, et uute võtmepaaride loomine ei oleks ohus. Seega peaksid kasutama mainekat tarkvara (eelistatavalt avatud lähtekoodiga).

  • Isegi kui rakendus annab sulle privaatse võtme (või seemnefraasi), peaksid kontrollima, kas neist saab tuletada avalikke aadresse ja kas neile saab juurde pääseda. Näiteks võimaldavad mõned Bitcoini rahakotid kasutajatel importida oma privaatsed võtmeid või seemnefraasid, et kuvada aadresse ja pääseda ligi vahenditele. Võtmete ja seemnefraaside rikkumise ohu minimeerimiseks võid seda teha air-gapiga (ilma Interneti-ühenduseta).


Krüptokaaperdamise rakendused (Cryptojacking)

Krüptokaaperdamine on olnud küberkurjategijate seas kuum lemmik tänu madalatele sisenemisbarjääridele ja üldkuludele. Lisaks pakub see neile potentsiaali pikaajaliseks korduvaks sissetulekuks. Vaatamata arvutitega võrreldes väiksemale töötlemisvõimsusele, muutuvad mobiilseadmed üha enam krüptokaaperdamise sihtmärgiks.

Lisaks veebibrauseri krüptokaaperdamisele arendavad küberkurjategijad ka programme, mis näivad olevat legitiimsed mängu-, utiliidi- või hariduslikud rakendused. Paljud neist rakendustest on aga loodud krüptokaevandamise skriptide taustal salaja käitamiseks.

Samuti on krüptokaaperdamise rakendusi, mida reklaamitakse seaduslike kolmanda osapoole kaevandajatele, kuid preemiad edastatakse kasutajate asemel rakenduse arendajale.

Asja teeb hullemaks see, et küberkurjategijad on muutunud üha peenemaks, kasutades tuvastamise vältimiseks kergeid kaevandamisalgoritme.

Krüptokaaperdamine on sinu mobiilseadmetele uskumatult kahjulik, kuna need halvendavad jõudlust ja kiirendavad kulumist. Veelgi hullem, nad võivad potentsiaalselt toimida trooja hobustena õelama pahavara jaoks. 

Nende eest kaitsmiseks saab võtta järgmisi samme.

  • Laadi rakendusi alla ainult ametlikest kauplustest, näiteks Google Playst. Piraatrakendusi ei skaneerita ja need sisaldavad tõenäolisemalt krüptokaaperdamise skripte.

  • Jälgi oma telefoni akut liigse tühjenemise või ülekuumenemise suhtes. Pärast tuvastamist lõpeta seda põhjustavate rakenduste kasutamine.

  • Hoia oma seadet ja rakendusi ajakohasena, et turvanõrkused saaksid paigatud.

  • Kasuta veebibrauserit, mis kaitseb krüptokaaperdamise eest, või installi mainekaid brauseri pluginad, nagu MinerBlock, NoCoin ja Adblock.

  • Võimalusel installi mobiilne viirusetõrjetarkvara ja hoia seda ajakohasena.


Tasuta kingitused ja võltsitud krüptokaevandusrakendused

Need on rakendused, mis teesklevad, et kaevandavad oma kasutajate jaoks krüptoraha, kuid ei tee tegelikult midagi peale reklaamide kuvamise. Need motiveerivad kasutajaid rakendusi avatuna hoidma, kajastades kasutajate hüvede suurenemist aja jooksul. Mõned rakendused motiveerivad kasutajaid preemiate saamiseks isegi 5-tärniseid hinnanguid andma. Loomulikult ei kaevandanud ükski neist rakendustest ja nende kasutajad ei saanud kunagi preemiaid.

Selle pettuse eest kaitsmiseks tuleb mõista, et enamiku krüptorahade kaevandamiseks on vaja kõrgelt spetsialiseeritud riistvara (ASIC), mis tähendab, et seda pole mobiilseadmes võimalik kaevandada. Mis iganes koguseid sa kaevandad, on parimal juhul tühised. Hoia sellistest rakendustest eemal.


Clipperi rakendused

Sellised rakendused muudavad sinu kopeeritud krüptoraha aadresse ja asendavad need ründaja aadressidega. Seega, kuigi ohver võib kopeerida õige saaja aadressi, asendatakse see, mis ta tehingu töötlemiseks kleebib, ründaja aadressiga.

Selliste rakenduste ohvriks langemise vältimiseks on siin mõned ettevaatusabinõud, mida saad tehingute töötlemisel järgida.

  • Kontrolli kaks ja isegi kolm korda addressi, mida kopeerid saaja aadressiväljale. Plokiahela tehingud on pöördumatud, nii et peaksid olema alati ettevaatlik.

  • Parim on kontrollida kogu aadressi, mitte ainult selle osasid. Mõned rakendused on piisavalt intelligentsed, et kleepida aadresse, mis näevad välja sinu kavandatud aadressiga sarnased.


SIM-kaardi vahetus

SIM-kaardi vahetamise pettuse korral pääseb küberkurjategija ligi kasutaja telefoninumbrile. Nad teevad seda sotsiaalse insenertehnika abil, et meelitada mobiiltelefonioperaatoreid neile uut SIM-kaarti väljastama. Tuntuim SIM-kaardi vahetamise pettus oli seotud krüptoettevõtja Michael Terpiniga. Ta väitis, et AT&T käsitles hooletult tema mobiiltelefoni identimisteavet, mille tulemusena kaotas ta enam kui 20 miljoni USA dollari väärtuses tokeneid.

Kui küberkurjategijad on saanud juurdepääsu sinu telefoninumbrile, saavad nad seda kasutada mis tahes sellele tuginevast 2FA-st möödahiilimiseks. Sealt saavad nad liikuda sinu krüptorahakottidesse ja -börsidesse.

Teine meetod, mida küberkurjategijad saavad kasutada, on sinu SMS-ide jälgimine. Sidevõrkude vead võivad lubada kurjategijatel pealt kuulata sinu sõnumeid, mis võivad sisaldada sulle saadetud teise astme PIN-koodi.

Rünnaku teeb eriti murettekitavaks see, et kasutajad ei pea midagi ette võtma, näiteks võltstarkvara alla laadima või pahatahtlikul lingil klõpsama.

Selliste petuskeemide ohvriks langemise vältimiseks on siin mõned sammud, mida võiks kaaluda.

  • Ära kasuta oma mobiiltelefoni numbrit SMS-i 2FA jaoks. Selle asemel kasuta oma kontode kaitsmiseks rakendusi, nagu Google Authenticator või Authy. Küberkurjategijad ei pääse nendele rakendustele ligi isegi siis, kui neil on sinu telefoninumber. Teise võimalusena võid kasutada riistvaralist 2FA-d, näiteks YubiKey või Google'i Titani turvavõtit.

  • Ära avalda sotsiaalmeedias isikut tuvastavat teavet, näiteks oma mobiiltelefoni numbrit. Küberkurjategijad võivad koguda sellist teavet ja kasutada seda sinu nimel kuskil mujal. 

  • Sa ei tohiks kunagi kuulutada sotsiaalmeedias, et sul on krüptoraha, kuna see muudaks sind sihtmärgiks. Või kui olete olukorras, kus kõik juba teavad, et need kuuluvad sulle, väldi isikuandmete, sealhulgas kasutatavate börside või rahakottide avaldamist.

  • Jõua kokkuleppele oma konto kaitsmiseks oma mobiiltelefoniteenuse pakkujaga. See võib tähendada PIN-koodi või parooli lisamist oma kontole ja dikteerimist, et ainult PIN-koodi tundvad kasutajad saavad kontol muudatusi teha. Teise võimalusena võid nõuda selliste muudatuste tegemist isiklikult ja keelata need telefoni teel.


WiFi

Küberkurjategijad otsivad pidevalt juurdepääsupunkte mobiilseadmetesse, eriti krüptoraha kasutajate omadesse. Üks selline sisenemispunkt on WiFi-juurdepääs. Avalik WiFi on ebaturvaline ja kasutajad peaksid enne ühenduse loomist võtma ettevaatusabinõusid. Kui ei, siis on oht, et küberkurjategijad saavad juurdepääsu nendele mobiilseadmetes olevatele andmetele. Neid ettevaatusabinõusid on käsitletud avalikku WiFi-ühendust käsitlevas artiklis.


Lõppmärkused

Mobiiltelefonidest on saanud meie elu lahutamatu osa. Tegelikult on need sinu digitaalse identiteediga nii läbi põimunud, et neist võib saada sinu suurim haavatavus. Küberkurjategijad on sellest teadlikud ja jätkavad võimaluste leidmist selle ärakasutamiseks. Mobiilseadmete kaitsmine pole enam valiku küsimus. See on muutunud hädavajalikuks. Jää turvaliseks.

Jaga postitusi
Registreeri konto
Kasuta oma teadmisi, avades juba täna Binance'i konto.