Najcz臋stsze oszustwa na urz膮dzenia mobilne
Strona G艂贸wna
Artyku艂y
Najcz臋stsze oszustwa na urz膮dzenia mobilne

Najcz臋stsze oszustwa na urz膮dzenia mobilne

Pocz膮tkuj膮cy
Opublikowane May 13, 2019Zaktualizowane Oct 4, 2022
8m
Tekst autorstwa cz艂onka spo艂eczno艣ci Binance - Autor: WhoTookMyCrypto.com

Rok 2017 by艂 niezwyk艂ym rokiem dla bran偶y kryptowalut. Szybki wzrost wycen wielu kryptowalut nap臋dza艂 informacje o ca艂ej bran偶y w mediach g艂贸wnego nurtu. Nic dziwnego wi臋c, 偶e popularno艣膰 ta wzbudzi艂o ogromne zainteresowanie nie tylko opinii publicznej, ale i cyberprzest臋pc贸w. Wzgl臋dna anonimowo艣膰 oferowana przez kryptowaluty sprawi艂a, 偶e sta艂y si臋 one bardzo popularne w艣r贸d przest臋pc贸w, kt贸rzy cz臋sto wykorzystuj膮 je do omini臋cia tradycyjnych system贸w bankowych i unikni臋cia nadzoru finansowego ze strony r贸偶nych organ贸w pa艅stwowych.

Bior膮c pod uwag臋 fakt, 偶e obecnie ludzie sp臋dzaj膮 ju偶 wi臋cej czasu na swoich smartfonach ani偶eli na komputerach stacjonarnych, fakt, i偶 cyberprzest臋pcy po艣wi臋caj膮 coraz wi臋cej swojej uwagi w艂a艣nie mobilnym urz膮dzeniom nie powinien by膰 dla nikogo zaskoczeniem. W artykule skupimy si臋 na wyja艣nieniu i zilustrowaniu tego, w jaki spos贸b oszu艣ci atakuj膮 u偶ytkownik贸w kryptowalut na ich urz膮dzeniach mobilnych, ale tak偶e wska偶emy kilka krok贸w i dzia艂a艅, kt贸rych mog膮 podj膮膰 si臋 u偶ytkownicy, aby przed takimi pr贸bami atak贸w si臋 chroni膰.


Fa艂szywe aplikacje zwi膮zane z kryptowalutami

Fa艂szywe aplikacje gie艂d kryptowalut

Najbardziej znanym przyk艂adem aplikacji w 艣wiecie gie艂d kryptowalut, na kt贸rej przest臋pcy w g艂贸wnej mierze skupili swoj膮 uwag臋 i pod kt贸r膮 si臋 podszyli jest aplikacja gie艂dy Poloniex. Na kilka tygodni przed oficjalnym wydaniem aplikacji przez gie艂d臋 (tj. Lipiec 2018 r.) w sklepie Google Play (system Android) istnia艂o ju偶 kilka fa艂szywych aplikacji Poloniex, kt贸re celowo zaprojektowano tak, aby na pierwszy rzut oka nie zorientowa膰 si臋, 偶e co艣 jest z nimi nie tak. Wielu u偶ytkownik贸w, kt贸rzy zdecydowali si臋 na pobranie fa艂szywych aplikacji, wierz膮c w ich prawdziwo艣膰 logowa艂o si臋 na swoje konta i podaj膮c wszelkie wymagane przez aplikacj臋 informacje, aby chwil臋 p贸藕niej po偶egna膰 si臋 ze swoimi kryptowalutami. Niekt贸re z fa艂szywych aplikacji sz艂y nawet o krok dalej 偶膮daj膮c danych logowania u偶ytkownik贸w do ich kont Gmail. Co jednak wa偶ne, przest臋pcy wykradali 艣rodki jedynie z kont na kt贸rych nieaktywne by艂o uwierzytelniania dwusk艂adnikowego (2FA).

Aby uchroni膰 si臋 przed podobnymi atakami, zapami臋taj te z艂ote zasady:

  • Przed pobraniem aplikacji gie艂dy sprawd藕 jej oficjaln膮 stron臋 internetow膮, aby upewni膰 si臋 czy rzeczywi艣cie oferuje ona aplikacj臋 mobiln膮. Je艣li tak, to do jej pobrania skorzystaj z linku podanego na stronie internetowej gie艂dy.

  • Zawsze czytaj recenzje i zwracaj uwag臋 na oceny aplikacji. Fa艂szywe aplikacje cz臋sto maj膮 wiele z艂ych opinii w kt贸rych u偶ytkownicy narzekaj膮 na to, i偶 s膮 one fa艂szywe. Pami臋taj te偶 aby by膰 sceptycznym wobec aplikacji, kt贸re charakteryzuj膮 si臋 jedynie doskona艂ymi ocenami i komentarze. Ka偶da legalna aplikacja posiada sprawiedliwy udzia艂 negatywnych recenzji. Nie da si臋 wszystkich zadowoli膰.

  • Sprawd藕 informacje o tw贸rcy aplikacji. Sprawd藕, czy aplikacj臋 stworzy艂a prawdziwa firma - w tym celu sprawd藕 jej adres e-mail i stron臋 internetowa. Aby dodatkowo upewni膰 si臋 co do prawdziwo艣ci aplikacji powiniene艣 r贸wnie偶 przeszuka膰 sie膰 internet w celu potwierdzenia prawdziwo艣ci aplikacji i jej wydawcy.

  • Sprawd藕 liczb臋 pobra艅 aplikacji i we藕 j膮 pod uwag臋 w swojej ocenie prawdziwo艣ci. Jest raczej ma艂o prawdopodobnym, aby bardzo popularna gie艂da kryptowalut mia艂a niewielk膮 liczb臋 pobra艅 swojej mobilnej aplikacji.

  • W艂膮cz dwusk艂adnikowe uwierzytelnianie (2FA) wsz臋dzie tam, gdzie to mo偶liwe. Chocia偶 2FA nie gwarantuje 100% bezpiecze艅stwa, sprawia jednak, 偶e w艂amanie na konto staje si臋 znacznie trudniejsze, a w wielu przypadkach mo偶e zadecydowa膰 o ochronie twoich 艣rodk贸w, nawet je艣li twoje dane logowania zostan膮 w jakikolwiek spos贸b聽wy艂udzone.


Fa艂szywe portfele do przechowywania kryptowalut

Istnieje wiele r贸偶nych typ贸w fa艂szywych aplikacji. Jedn膮 z najpopularniejszych ich odmian ma na celu uzyskanie danych osobowych od u偶ytkownik贸w, takich jak has艂a dost臋powe do portfeli i klucze prywatne.

Niekt贸re z fa艂szywych portfeli kryptowalut generuje wy艣wietla u偶ytkownikom wcze艣niej wygenerowane ju偶聽publiczne adresy - a wi臋c takie do kt贸rych przest臋pcy posiadaj膮 klucze prywatne. Oszu艣ci stosuj膮c tak膮 metod膮 zak艂adaj膮, 偶e u偶ytkownicy, kt贸rzy pobior膮 ich fa艂szywy portfel prze艣l膮 na dostarczony im adres swoje 艣rodki. Cz臋sto r贸wnie偶 zdarza si臋, 偶e u偶ytkownicy takich fa艂szywych portfeli nie uzyskuj膮 nawet dost臋pu do kluczy prywatnych danego portfela kiedy jest im to potrzebne, a co za tym idzie fizycznie nie maj膮 dost臋pu do 偶adnych 艣rodk贸w, kt贸re s膮 do nich wysy艂ane.

Tego typu fa艂szywe portfele ci膮gle powstaj膮. Przest臋pcy zazwyczaj tworz膮 je dla najpopularniejszych z kryptowalut, takich jak Ethereum czy Neo. Niestety, ale odnosz膮 na tym polu du偶e sukcesy. Jak nie da膰 si臋 okra艣膰 za pomoc膮 fa艂szywego portfela i sta膰 si臋 ofiar膮 przest臋pc贸w? Sprawd藕 poni偶ej:

  • 艢rodki ostro偶no艣ci wyr贸偶nione w poprzedniej kategorii dotycz膮cej aplikacji gie艂d kryptowalut maj膮 tutaj swoje zastosowanie. Aby dodatkowo ochroni膰 si臋 przed tym rodzajem ataku, po 艣ci膮gni臋ciu portfela sprawd藕 czy wygenerowany adres jest unikalny. Aby to zrobi膰 艣ci膮gnij aplikacj臋, zapisz adres portfela w bezpieczne miejsce. Odinstaluj j膮 i zainstaluj ponownie zn贸w zapisuj膮c adres. Nast臋pnie por贸wnaj obydwa adresy. 聽Sprawd藕 r贸wnie偶 czy po wygenerowaniu adresu mo偶esz uzyska膰 dost臋p do klucza prywatnego przypisanego do tego adresu. Prawdziwy i bezpieczny portfel do przechowywania kryptowalut pozwala eksportowa膰 klucze prywatne. Przy tej okazji sugerujemy Ci te偶 korzystanie z portfeli, kt贸re posiadaj膮 otwarty kod 藕r贸d艂owy (open-source).

  • Nawet je艣li aplikacja daje Ci dost臋p do klucza prywatnego (lub seedu), pami臋taj aby sprawdzi膰, czy na pewno daj膮 one dost臋p do udost臋pnionych w aplikacji adres贸w publicznych. Dla przyk艂adu, niekt贸re portfele Bitcoina pozwalaj膮 u偶ytkownikom importowa膰 swoje klucze prywatne lub seedy, aby zwizualizowa膰 adres i uzyska膰 dost臋p do funduszy. Aby zminimalizowa膰 ryzyko z艂amania lub wycieku takiego klucza lub seedu, mo偶esz to zrobi膰 na komputerze z wy艂膮czonym dost臋pem do Internetu (a najlepiej od艂膮czonym od Internetu).


Aplikacje typu Cryptojacking

Cryptojacking jest obecnie ulubion膮 metod膮 ataku stosowan膮 przez cyberprzest臋pc贸w w 艣wiecie kryptowalut. Powodem jest niewielka bariery wej艣cia i niskie koszty przeprowadzenia ataku. Ponadto, cryptojacking oferuje przest臋pcom mo偶liwo艣膰 uzyskiwania d艂ugoterminowego i powtarzalnego dochodu. Pomimo ni偶szej mocy obliczeniowej w por贸wnaniu z komputerami PC, urz膮dzenia mobilne coraz cz臋艣ciej staj膮 si臋 celem atak贸w typu Cryptojacking.

Oszu艣ci stosuj膮cy cryptojacking, poza typowo przegl膮darkowymi sposobami wykorzystania mocy obliczeniowej ofiary do kopania kryptowalut tworz膮 r贸wnie偶 programy, kt贸re wydaj膮 si臋 by膰 legalnymi aplikacjami do gier, narz臋dziami biurowymi lub programami edukacyjnymi. Wiele z tych aplikacji jest zaprojektowanych do potajemnego uruchamiania skrypt贸w trudz膮cych si臋 kopaniem kryptowalut.

Obecnie istniej膮 ju偶 tak偶e aplikacje, kt贸re s膮 reklamowane jako niezale偶ne poole g贸rnicze, ale koniec ko艅c贸w nagrody i tak dostarczane s膮 tw贸rcom aplikacji, a nie u偶ytkownikom.

Co gorsza, cyberprzest臋pcy staj膮 si臋 coraz bardziej wyrafinowani, wdra偶aj膮c lekkie algorytmy g贸rnicze, aby dodatkowo zmniejszy膰 szans臋 na wykrycie ich obecno艣ci i dzia艂alno艣ci przez system, antywirus lub ofiar臋.

Cryptojacking jest niezwykle szkodliwy dla urz膮dze艅 mobilnych, poniewa偶 obni偶a wydajno艣膰 i przyspiesza zu偶ycie baterii jak i samych komponent贸w urz膮dzenia. Co gorsza, niekt贸re z kampanii cryptojackingu by艂y jedynie wst臋pem na drodze do pe艂nego zawirusowania urz膮dzenia.

Aby chroni膰 si臋 przed atakami typu cryptojacking, nale偶y stosowa膰 si臋 do poni偶szych zalece艅:

  • Aplikacje na swoje urz膮dzenie mobilne pobieraj jedynie z oficjalnych 藕r贸de艂, tj. sklep贸w z aplikacjami takich jak np. Google Play. Pirackie i r臋cznie instalowane aplikacje najcz臋艣ciej nie s膮 skanowane i zawieraj膮 skrypty do cryptojackingu.聽

  • Monitoruj sw贸j telefon pod k膮tem nadmiernego roz艂adowania baterii lub przegrzewania si臋. Po wykryciu anomalii usu艅 aplikacje, kt贸re to powoduj膮.

  • Stale dbaj o to aby Twoje urz膮dzenie i zainstalowane na nim aplikacje by艂y zaktualizowane. Dzi臋ki temu wszelkie luki聽bezpiecze艅stwa zostaj膮 na czas za艂atane. Aktualizuj膮c swoje urz膮dzenie i aplikacje blokujesz przest臋pcom dost臋p do wykrytych w ich kodzie luk.
  • Korzystaj z przegl膮darki, kt贸ra posiada wbudowane zabezpieczenia przeciwko cryptojackingowi lub zainstaluj wtyczk臋, kt贸ra dostarczy tak膮 funkcjonalno艣膰, np. MinerBlock, NoCoin czy AdBlock.

  • Je艣li to mo偶liwe, zainstaluj mobilne oprogramowanie antywirusowe i dbaj o jego aktualno艣膰.


Akcje typu giveaway i fa艂szywe aplikacje do kopania kryptowalut

Najcz臋艣ciej s膮 to aplikacje, kt贸re udaj膮, 偶e kopi膮 kryptowaluty dla swoich u偶ytkownik贸w, ale tak naprawd臋 nie robi膮 nic poza wy艣wietlaniem reklam. Aplikacje te zach臋caj膮 swoich u偶ytkownik贸w do pozostawiania stale w艂膮czonego ekranu fa艂szywie nagradzaj膮c ich na r贸偶ny spos贸b. Co wi臋cej, bardzo cz臋sto zach臋caj膮 u偶ytkownik贸w do wystawiania im 5-gwiazdkowych ocen w oficjalnych sklepach z aplikacjami za co u偶ytkownicy uzyskaj膮 nagrody. Oczywi艣cie 偶adna z tych aplikacji nigdy nie wydoby艂a 偶adnej kryptowaluty, a jej u偶ytkownicy nigdy nie otrzymali 偶adnych nagr贸d.

Aby uchroni膰 si臋 przed tego typu oszustwem, zrozum, 偶e w przypadku wi臋kszo艣ci kryptowalut, ich wykopanie wymaga posiadanie i wykorzystywanie wysoce wyspecjalizowanego sprz臋tu (ASIC). W skr贸cie oznacza to, 偶e niemo偶liwym jest ich wydobycie na urz膮dzeniu mobilnym. Dla swojego bezpiecze艅stwa najlepiej trzymaj si臋 z dala od takich aplikacji.


Aplikacje typu Clipper

Aplikacje tego typu zmieniaj膮 kopiowane przez u偶ytkownika publiczne adresy kryptowalut i zast臋puj膮 je adresami atakuj膮cego. Podczas gdy ofiara fizycznie kopiuje prawid艂owy adres odbiorcy, to w momencie jego wklejenia, aby przetworzy膰 transakcj臋, adres ten jest zast臋powany na nale偶膮cy do atakuj膮cego.

Aby zapobiec temu konkretnemu rodzajowi ataku nale偶y:

  • Zawsze sprawdza膰 wklejany adres na kt贸ry wysy艂asz jakiekolwiek 艣rodki, a kt贸ry zosta艂 przez Ciebie wcze艣niej skopiowany. Transakcje w sieciach聽blockchain s膮 nieodwracalne, dlatego zachowanie szczeg贸lnej ostro偶no艣ci jest tak wa偶ne.
  • Zawsze weryfikowa膰 ca艂y adres. Niekt贸re aplikacje s膮 wystarczaj膮co inteligentne, aby wkleja膰 adresy, kt贸re wygl膮daj膮 podobnie do zamierzonego adresu - innymi s艂owy r贸偶ni膮 si臋 kilkoma znakami.


Atak na duplikat karty SIM (ang. SIM swapping)

SIM Swapping polega na uzyskaniu przez przest臋pc臋 dost臋pu do numeru telefonu atakowanego u偶ytkownika za po艣rednictwem przy u偶yciu takich metod jak m.in聽in偶ynieria spo艂eczna czy wy艂udzenie danych. Skuteczno艣膰 ataku w g艂贸wnej mierze zale偶y od tego czy operator kom贸rkowy atakowanego u偶ytkownika b臋dzie sk艂onny wyda膰 atakuj膮cemu duplikat karty SIM. Najbardziej znany atak na duplikat kart SIM skierowany zosta艂 na przedsi臋biorc臋 z bran偶y kryptowalut Michael Terpina. Terpin twierdzi, 偶e AT&T zaniedba艂 obs艂ug臋 danych uwierzytelniaj膮cych jego telefon kom贸rkowy, w wyniku czego straci艂 on tokeny o warto艣ci ponad 20 milion贸w dolar贸w ameryka艅skich.

W momencie gdy cyberprzest臋pcy uzyskaj膮 dost臋p do twojego numeru telefonu, mog膮 go u偶y膰 do omini臋cia zabezpiecze艅 opartych o autoryzacj臋 SMS lub telefoniczn膮. Maj膮c dost臋p do numeru telefonu przest臋pcy bardzo cz臋sto toruj膮 sobie drog臋 do portfeli kryptowalut czy kont na gie艂dach.

Innym rodzajem ataku typu SIM Swap kt贸ry cyberprzest臋pcy mog膮 wykorzysta膰, jest monitorowanie komunikacji SMS. B艂臋dy w sieciach kom贸rkowych mog膮 pozwoli膰 przest臋pcom na przechwycenie wiadomo艣ci, kt贸re mog膮 zawiera膰 wys艂any do Ciebie kod 2FA.

Aby zabezpieczy膰 si臋 przed atakami tego typu rozwa偶:

  • Dezaktywowanie dwusk艂adnikowego uwierzytelniania za po艣rednictwem wiadomo艣ci SMS (SMS 2FA). Zamiast tego skorzystaj z aplikacji s艂u偶膮cych do generowania kod贸w 2FA w trybie offline, takich jak np. Google Authenticator lub Authy. Dzi臋ki temu je偶eli przest臋pcom nawet uda si臋 uzyska膰 dost臋p do Twojego numeru telefonu, to i tak nie b臋d膮 w stanie fizycznie uruchomi膰 tych aplikacji aby wygenerowa膰 kod. Obecnie istniej膮 ju偶 r贸wnie偶 specjalne urz膮dzenia s艂u偶膮ce do dwusk艂adnikowego uwierzytelniania. S膮 to np. YubKiey czy Google Titan Security Key.

  • Nie publikowanie jakichkolwiek danych personalnych w mediach spo艂eczno艣ciowych, kt贸re przest臋pcy mogliby wykorzysta膰 w kontaktach z Twoim operatorem kom贸rkowym. Co wa偶ne, przest臋pcy dzi臋ki tak zebranym informacjom o Tobie mog膮 pr贸bowa膰 podszy膰 si臋 pod Ciebie r贸wnie偶 gdzie indziej - np. w instytucjach pa艅stwowych.

  • Nie publikowanie jakichkolwiek informacji w mediach spo艂eczno艣ciowych na temat posiadanych przez Ciebie kryptowalut. Je艣li jeste艣 ju偶 jednak w sytuacji, w kt贸rej wszyscy ju偶 wiedz膮, 偶e posiadasz pewn膮 ilo艣膰 kryptowalut lub dan膮 kryptowalut臋, unikaj ujawniania swoich danych osobowych, w tym wykorzystywanych przez Ciebie gie艂d lub portfeli. Dzi臋ki temu trudniej b臋dzie opracowa膰 na Ciebie spersonalizowany atak.

  • Kontakt z Twoim operatorem kom贸rkowym w celu ustalenia dodatkowej ochrony Twojego numeru telefonu. Mo偶esz wnioskowa膰 o to aby np. jakakolwiek zmiana na Twoim koncie wymaga艂a podania specjalnego kodu PIN lub has艂a. Alternatywnie, mo偶esz wymaga膰, aby takie zmiany mo偶na by艂o wprowadza膰 jedynie osobi艣cie i zabroni膰 ich wykonywania za po艣rednictwem infolinii.


WiFi

Cyberprzest臋pcy nieustannie poszukuj膮 punkt贸w wej艣cia na urz膮dzenia mobilne, a zw艂aszcza na urz膮dzenia mobilne u偶ytkownik贸w kryptowalut. Jednym z takich punkt贸w dost臋pu jest sieci WiFi.聽Publiczne sieci WiFi w 偶adnym stopniu nie gwarantuj膮 bezpiecze艅stwa, a ich u偶ytkownicy powinni podj膮膰 wszelkie mo偶liwe 艣rodki ostro偶no艣ci przed po艂膮czeniem si臋 z nimi. Metody te opisali艣my聽tutaj.


Zako艅czenie

Telefony kom贸rkowe sta艂y si臋 istotn膮 cz臋艣ci膮 naszego 偶ycia. W rzeczywisto艣ci s膮 one tak splecione z nasz膮 cyfrow膮 to偶samo艣ci膮, 偶e mog膮 sta膰 si臋 naszym najs艂abszym punktem. Cyberprzest臋pcy zdaj膮 sobie z tego spraw臋 i na pewno nie zaprzestan膮 szuka膰 sposob贸w na wykorzystanie tej s艂abo艣ci. Zabezpieczanie urz膮dze艅 mobilnych nie jest ju偶 opcjonalne. Sta艂o si臋 konieczno艣ci膮, a w 艣wiecie kryptowalut obowi膮zkiem.

Udost臋pnij Posty
Zarejestruj konto
Wykorzystaj swoj膮 wiedz臋 w praktyce, otwieraj膮c konto Binance ju偶 dzi艣.