Innsending fra fellesskapet – forfatter: WhoTookMyCrypto.com
2017 var et spesielt år for kryptobransjen, for da fikk den raske verdiøkningen mye publisitet i massemediene. Ikke overraskende førte dette til enorm interesse fra både folk generelt og nettkriminelle. Den relative anonymiteten som tilbys av kryptovaluta, har gjort krypto til en favoritt blant kriminelle, som ofte bruker det til å omgå tradisjonelle banksystemer og unngå økonomisk overvåking fra myndigheter.
Ettersom folk bruker mer tid på smarttelefonene sine enn på stasjonære datamaskiner, er det ikke overraskende at nettkriminelle også har oppmerksomheten rettet mot dem. Den følgende informasjonen fremhever hvordan svindlere målrettet angriper kryptobrukere gjennom mobilenheter, i tillegg til noen skritt brukerne kan ta for å beskytte seg selv.
Falske kryptoapper
Falske kryptobørsapper
Det mest kjente eksemplet på en falsk kryptobørsapp er sannsynligvis Poloniex. Før lanseringen av den offisielle mobilappen for trading i juli 2018 hadde Google Play allerede flere falske Poloniex-børsapper, som med vilje var designet for å fungere. Mange brukere som lastet ned disse svindelappene, avslørte Poloniex-påloggingsinformasjonen sin, og kryptovalutaen deres ble stjålet. Noen apper tok det til og med et skritt videre og ba om påloggingsinformasjonen til brukernes Gmail-kontoer. Det er viktig å understreke at det bare var kontoer uten tofaktorautentisering (2FA) som ble hacket.
Følgende tiltak kan bidra til å beskytte deg mot slike svindelforsøk.
Sjekk børsens offisielle nettsted for å bekrefte at de faktisk tilbyr en mobilapp for handel. Bruk i så fall lenken på nettstedet deres.
Les anmeldelser og vurderinger. Svindelapper har ofte mange dårlige anmeldelser fra folk som klager over at de har blitt svindlet, så husk å sjekke dette før du laster ned. Men du bør også være skeptisk til apper som har perfekte vurderinger og kommentarer. De aller fleste legitime apper har også en del negative anmeldelser.
Sjekk informasjonen om apputvikleren. Se etter informasjon om et legitimt selskap, en e-postadresse og et nettsted. Du bør også utføre et nettsøk på informasjonen som er oppgitt, for å se om den faktisk er knyttet til den offisielle børsen.
Sjekk antall nedlastinger. Antall nedlastinger bør også vurderes. Det er usannsynlig at en veldig populær kryptovalutabørs har et lavt antall nedlastinger.
Aktiver tofaktorautentisering (2FA) på kontoene dine. Selv om 2FA ikke er 100 % sikkert, er det mye vanskeligere å omgå og kan utgjøre en stor forskjell for å beskytte pengene dine, selv om påloggingsinformasjonen din skulle bli utsatt for phishing.
Falske kryptolommebokapper
Det finnes mange forskjellige typer falske apper. En av variantene prøver å innhente personopplysninger fra brukerne, deriblant lommebokpassord og private nøkler.
I noen tilfeller deler falske apper ut tidligere genererte offentlige adresser til brukere. Så de antar at pengene skal settes inn på disse adressene. Men de får ikke tilgang til de private nøklene og har dermed ikke tilgang til noen av pengene som sendes dit.
Slike falske lommebøker har blitt laget for populære kryptovalutaer som Ethereum og Neo, og dessverre har mange brukere mistet pengene sine. Her er noen forebyggende tiltak som kan treffes for å unngå å bli et offer:
Forholdsreglene som er fremhevet i børsappsegmentet ovenfor, er like viktige. Men en ekstra forholdsregel du kan ta når du har å gjøre med lommebokapper, er å sørge for at det genereres helt nye adresser når du åpner appen første gang, og at du har de private nøklene (eller mnemoniske frøene). En legitim lommebokapp lar deg eksportere de private nøklene, men det er også viktig å sikre at genereringen av nye nøkkelpar ikke blir utsatt for angrep. Så du bør bruke en anerkjent programvare (helst åpen kildekode).
Selv om appen gir deg en privat nøkkel (eller frø), bør du sjekke om de offentlige adressene kan utledes og fås tilgang til fra disse. For eksempel er det noen Bitcoin-lommebøker som lar brukere importere private nøkler eller frø for å visualisere adressene og få tilgang til pengene. For å redusere risikoen for at nøkler og frø blir utsatt for angrep, kan du utføre dette på en datamaskin med "air-gap" ("luftlommer", altså frakoblet internett).
Kryptokaprende apper
"Cryptojacking" (kryptokapring) har vært en populær favoritt blant nettkriminelle på grunn av lave inngangsbarrierer og lave kostnader. I tillegg gir det dem potensialet for langsiktig fast inntekt. Til tross for at mobilenheter har lav prosessorkraft sammenlignet med PC-er, blir de i økende grad et mål for kryptokapring.
Bortsett fra kryptokapring i nettleser, utvikler nettkriminelle også programmer som ser ut til å være legitime spill-, nytte- eller utdanningsapper. Men mange av disse appene er designet for å kjøre skript for kryptomining i hemmelighet i bakgrunnen.
Det finnes også kryptokapringsapper som utgir seg for å være legitime tredjepartsminere, men belønningene går til apputvikleren istedenfor til brukerne.
Noe som er enda verre er at nettkriminelle har blitt stadig mer avanserte, og de bruker lette algoritmer for mining for å unngå å bli oppdaget.
Kryptokapring er utrolig skadelig for mobilenheten din, ettersom det reduserer ytelsen og gir økt slitasje. Enda verre er det at de potensielt kan fungere som trojanske hester for enda mer skadelig programvare.
Her er noen tiltak for å beskytte seg mot dem.
Bare last ned apper fra offisielle butikker, for eksempel Google Play. Piratkopierte apper blir ikke forhåndsskannet, og det er mer sannsynlig at de inneholder kryptokapringsskript.
Overvåk telefonen din for å oppdage høyt batteriforbruk eller overoppheting. Hvis du oppdager dette, må du kvitte deg med appene som forårsaker det.
Hold enheten og appene oppdatert slik at sikkerhetssårbarheter blir rettet.
Bruk en nettleser som beskytter mot kryptokapring, eller installer anerkjente nettleserutvidelser som MinerBlock, NoCoin og Adblock.
Hvis du kan, så installer mobil antivirusprogramvare og hold den oppdatert.
Gratis "giveaway" og falske apper for kryptomining
Dette er apper som påstår at de driver mining av kryptovaluta for brukerne, men som faktisk ikke gjør noe annet enn å vise annonser. De får brukerne til å holde appene åpne ved å vise en økning i brukerens belønninger over tid. Noen apper oppmuntrer til og med brukerne til å gi 5-stjernersvurderinger mot å få belønninger. Men det var selvfølgelig ingen av disse appene som faktisk drev mining, og brukerne mottok aldri noen belønninger.
For å beskytte deg mot lignende svindel må du forstå at de fleste kryptovalutaer som benytter mining, krever helt spesiell maskinvare (ASIC), noe som betyr at det ikke er mulig å drive mining på en mobilenhet. Uansett hvor mye du skulle drive mining, ville det beste i fall gi marginale resultater. Hold deg unna slike apper.
Clipper-apper
Slike apper endrer kryptovalutaadressene du kopierer, og erstatter dem med angriperens adresser. Selv om offeret kopierer riktig mottakeradresse, erstattes den ved innliming, slik at transaksjonen behandles med angriperens adresse.
For å unngå å bli offer for slike apper kan du ta visse forholdsregler når du behandler transaksjoner.
Dobbelt- og trippelsjekk alltid adressen du limer inn i mottakerfeltet. Transaksjoner på blokkjeder kan ikke reverseres, så du bør alltid være forsiktig.
Det er best å verifisere hele adressen, ikke bare deler av den. Noen apper er smarte nok til å lime inn adresser som ligner på den egentlige adressen.
SIM-bytte
I en SIM-byttesvindel får en nettkriminell tilgang til en brukers telefonnummer. Det gjør de ved å bruke sosial manipulering for å lure mobiloperatører til å utstede et nytt SIM-kort til dem. Den mest kjente svindelen med SIM-bytte involverte kryptovalutagründeren Michael Terpin. Han mener at AT&T var uaktsom i håndteringen av mobillegitimasjonen hans, noe som førte til at han mistet tokener verdt mer enn 20 millioner amerikanske dollar.
Når nettkriminelle har fått tilgang til telefonnummeret ditt, kan de bruke det til å omgå all tofaktorautentisering som benytter det. Derfra kan de jobbe seg inn i kryptovalutalommebøkene og børsene du bruker.
En annen metode nettkriminelle kan bruke, er å overvåke SMS-kommunikasjonen din. Feil i kommunikasjonsnettverkene kan gjøre det mulig for kriminelle å fange opp meldingene dine, som kan inkludere tofaktorkoden som sendes til deg.
Det som gjør slike angrep spesielt bekymringsfulle, er at brukerne ikke nødvendigvis foretar en handling, for eksempel å laste ned falsk programvare eller klikke på en ondsinnet lenke.
For å hindre at du blir offer for slik svindel, bør du vurdere disse tiltakene.
Ikke bruk mobilnummeret ditt for tofaktorautentisering via SMS. Bruk heller apper som Google Authenticator eller Authy for å sikre kontoene dine. Nettkriminelle kan ikke få tilgang til disse appene selv om de har telefonnummeret ditt. Alternativt kan du bruke maskinvare for tofaktorautentisering som YubiKey eller Googles Titan Security Key.
Ikke avslør personlig identifiserende opplysninger på sosiale medier, for eksempel mobilnummeret ditt. Nettkriminelle kan fange opp slik informasjon og bruke den til å utgi seg for å være deg andre steder.
Du må aldri opplyse på sosiale medier at du eier kryptovaluta, for da blir du et mål. Eller hvis det har seg slik at alle uansett vet at du har krypto, så unngå å avsløre personopplysninger, inkludert hvilke børser eller lommebøker du bruker.
Be mobiloperatøren om å beskytte kontoen din. Det kan innebære at du knytter en pin-kode eller et passord til kontoen din og bestemmer at det bare er brukere som kan pin-koden, som kan gjøre endringer i kontoen. Alternativt kan du kreve at slike endringer gjøres ved personlig oppmøte og ikke over telefon.
Wifi
Nettkriminelle prøver hele tiden å få tilgang til mobilenheter, spesielt de som eies av kryptovaluta-brukere. Én måte å få tilgang på er via wifi. Offentlig wifi er usikkert, og de som bruker det, bør ta forholdsregler før de kobler seg til. Hvis ikke risikerer de at nettkriminelle får tilgang til dataene på mobilenhetene deres. Disse forholdsreglene tas opp i artikkelen om offentlig wifi.
Avsluttende tanker
Mobiltelefoner har blitt en viktig del av livet. Faktisk er de så tett knyttet opp mot den digitale identiteten din at de kan bli en stor sårbarhet. Nettkriminelle er klar over dette og kommer til å fortsette å finne måter å utnytte dette på. Du kan ikke lenger tenke at det er valgfritt å sikre mobilenheten din. Det har blitt helt nødvendig. Vær sikker.