Rok 2017 był niezwykłym rokiem dla branży kryptowalut. Szybki wzrost wycen wielu kryptowalut napędzał informacje o całej branży w mediach głównego nurtu. Nic dziwnego więc, że popularność ta wzbudziło ogromne zainteresowanie nie tylko opinii publicznej, ale i cyberprzestępców. Względna anonimowość oferowana przez kryptowaluty sprawiła, że stały się one bardzo popularne wśród przestępców, którzy często wykorzystują je do ominięcia tradycyjnych systemów bankowych i uniknięcia nadzoru finansowego ze strony różnych organów państwowych.
Biorąc pod uwagę fakt, że obecnie ludzie spędzają już więcej czasu na swoich smartfonach aniżeli na komputerach stacjonarnych, fakt, iż cyberprzestępcy poświęcają coraz więcej swojej uwagi właśnie mobilnym urządzeniom nie powinien być dla nikogo zaskoczeniem. W artykule skupimy się na wyjaśnieniu i zilustrowaniu tego, w jaki sposób oszuści atakują użytkowników kryptowalut na ich urządzeniach mobilnych, ale także wskażemy kilka kroków i działań, których mogą podjąć się użytkownicy, aby przed takimi próbami ataków się chronić.
Fałszywe aplikacje związane z kryptowalutami
Fałszywe aplikacje giełd kryptowalut
Najbardziej znanym przykładem aplikacji w świecie giełd kryptowalut, na której przestępcy w głównej mierze skupili swoją uwagę i pod którą się podszyli jest aplikacja giełdy Poloniex. Na kilka tygodni przed oficjalnym wydaniem aplikacji przez giełdę (tj. Lipiec 2018 r.) w sklepie Google Play (system Android) istniało już kilka fałszywych aplikacji Poloniex, które celowo zaprojektowano tak, aby na pierwszy rzut oka nie zorientować się, że coś jest z nimi nie tak. Wielu użytkowników, którzy zdecydowali się na pobranie fałszywych aplikacji, wierząc w ich prawdziwość logowało się na swoje konta i podając wszelkie wymagane przez aplikację informacje, aby chwilę później pożegnać się ze swoimi kryptowalutami. Niektóre z fałszywych aplikacji szły nawet o krok dalej żądając danych logowania użytkowników do ich kont Gmail. Co jednak ważne, przestępcy wykradali środki jedynie z kont na których nieaktywne było uwierzytelniania dwuskładnikowego (2FA).
Aby uchronić się przed podobnymi atakami, zapamiętaj te złote zasady:
Przed pobraniem aplikacji giełdy sprawdź jej oficjalną stronę internetową, aby upewnić się czy rzeczywiście oferuje ona aplikację mobilną. Jeśli tak, to do jej pobrania skorzystaj z linku podanego na stronie internetowej giełdy.
Zawsze czytaj recenzje i zwracaj uwagę na oceny aplikacji. Fałszywe aplikacje często mają wiele złych opinii w których użytkownicy narzekają na to, iż są one fałszywe. Pamiętaj też aby być sceptycznym wobec aplikacji, które charakteryzują się jedynie doskonałymi ocenami i komentarze. Każda legalna aplikacja posiada sprawiedliwy udział negatywnych recenzji. Nie da się wszystkich zadowolić.
Sprawdź informacje o twórcy aplikacji. Sprawdź, czy aplikację stworzyła prawdziwa firma - w tym celu sprawdź jej adres e-mail i stronę internetowa. Aby dodatkowo upewnić się co do prawdziwości aplikacji powinieneś również przeszukać sieć internet w celu potwierdzenia prawdziwości aplikacji i jej wydawcy.
Sprawdź liczbę pobrań aplikacji i weź ją pod uwagę w swojej ocenie prawdziwości. Jest raczej mało prawdopodobnym, aby bardzo popularna giełda kryptowalut miała niewielką liczbę pobrań swojej mobilnej aplikacji.
- Włącz dwuskładnikowe uwierzytelnianie (2FA) wszędzie tam, gdzie to możliwe. Chociaż 2FA nie gwarantuje 100% bezpieczeństwa, sprawia jednak, że włamanie na konto staje się znacznie trudniejsze, a w wielu przypadkach może zadecydować o ochronie twoich środków, nawet jeśli twoje dane logowania zostaną w jakikolwiek sposób wyłudzone.
Fałszywe portfele do przechowywania kryptowalut
Istnieje wiele różnych typów fałszywych aplikacji. Jedną z najpopularniejszych ich odmian ma na celu uzyskanie danych osobowych od użytkowników, takich jak hasła dostępowe do portfeli i klucze prywatne.
Tego typu fałszywe portfele ciągle powstają. Przestępcy zazwyczaj tworzą je dla najpopularniejszych z kryptowalut, takich jak Ethereum czy Neo. Niestety, ale odnoszą na tym polu duże sukcesy. Jak nie dać się okraść za pomocą fałszywego portfela i stać się ofiarą przestępców? Sprawdź poniżej:
Środki ostrożności wyróżnione w poprzedniej kategorii dotyczącej aplikacji giełd kryptowalut mają tutaj swoje zastosowanie. Aby dodatkowo ochronić się przed tym rodzajem ataku, po ściągnięciu portfela sprawdź czy wygenerowany adres jest unikalny. Aby to zrobić ściągnij aplikację, zapisz adres portfela w bezpieczne miejsce. Odinstaluj ją i zainstaluj ponownie znów zapisując adres. Następnie porównaj obydwa adresy. Sprawdź również czy po wygenerowaniu adresu możesz uzyskać dostęp do klucza prywatnego przypisanego do tego adresu. Prawdziwy i bezpieczny portfel do przechowywania kryptowalut pozwala eksportować klucze prywatne. Przy tej okazji sugerujemy Ci też korzystanie z portfeli, które posiadają otwarty kod źródłowy (open-source).
Nawet jeśli aplikacja daje Ci dostęp do klucza prywatnego (lub seedu), pamiętaj aby sprawdzić, czy na pewno dają one dostęp do udostępnionych w aplikacji adresów publicznych. Dla przykładu, niektóre portfele Bitcoina pozwalają użytkownikom importować swoje klucze prywatne lub seedy, aby zwizualizować adres i uzyskać dostęp do funduszy. Aby zminimalizować ryzyko złamania lub wycieku takiego klucza lub seedu, możesz to zrobić na komputerze z wyłączonym dostępem do Internetu (a najlepiej odłączonym od Internetu).
Aplikacje typu Cryptojacking
Oszuści stosujący cryptojacking, poza typowo przeglądarkowymi sposobami wykorzystania mocy obliczeniowej ofiary do kopania kryptowalut tworzą również programy, które wydają się być legalnymi aplikacjami do gier, narzędziami biurowymi lub programami edukacyjnymi. Wiele z tych aplikacji jest zaprojektowanych do potajemnego uruchamiania skryptów trudzących się kopaniem kryptowalut.
Obecnie istnieją już także aplikacje, które są reklamowane jako niezależne poole górnicze, ale koniec końców nagrody i tak dostarczane są twórcom aplikacji, a nie użytkownikom.
Co gorsza, cyberprzestępcy stają się coraz bardziej wyrafinowani, wdrażając lekkie algorytmy górnicze, aby dodatkowo zmniejszyć szansę na wykrycie ich obecności i działalności przez system, antywirus lub ofiarę.
Cryptojacking jest niezwykle szkodliwy dla urządzeń mobilnych, ponieważ obniża wydajność i przyspiesza zużycie baterii jak i samych komponentów urządzenia. Co gorsza, niektóre z kampanii cryptojackingu były jedynie wstępem na drodze do pełnego zawirusowania urządzenia.
Aby chronić się przed atakami typu cryptojacking, należy stosować się do poniższych zaleceń:
Aplikacje na swoje urządzenie mobilne pobieraj jedynie z oficjalnych źródeł, tj. sklepów z aplikacjami takich jak np. Google Play. Pirackie i ręcznie instalowane aplikacje najczęściej nie są skanowane i zawierają skrypty do cryptojackingu.
Monitoruj swój telefon pod kątem nadmiernego rozładowania baterii lub przegrzewania się. Po wykryciu anomalii usuń aplikacje, które to powodują.
- Stale dbaj o to aby Twoje urządzenie i zainstalowane na nim aplikacje były zaktualizowane. Dzięki temu wszelkie luki bezpieczeństwa zostają na czas załatane. Aktualizując swoje urządzenie i aplikacje blokujesz przestępcom dostęp do wykrytych w ich kodzie luk.
Korzystaj z przeglądarki, która posiada wbudowane zabezpieczenia przeciwko cryptojackingowi lub zainstaluj wtyczkę, która dostarczy taką funkcjonalność, np. MinerBlock, NoCoin czy AdBlock.
Jeśli to możliwe, zainstaluj mobilne oprogramowanie antywirusowe i dbaj o jego aktualność.
Akcje typu giveaway i fałszywe aplikacje do kopania kryptowalut
Najczęściej są to aplikacje, które udają, że kopią kryptowaluty dla swoich użytkowników, ale tak naprawdę nie robią nic poza wyświetlaniem reklam. Aplikacje te zachęcają swoich użytkowników do pozostawiania stale włączonego ekranu fałszywie nagradzając ich na różny sposób. Co więcej, bardzo często zachęcają użytkowników do wystawiania im 5-gwiazdkowych ocen w oficjalnych sklepach z aplikacjami za co użytkownicy uzyskają nagrody. Oczywiście żadna z tych aplikacji nigdy nie wydobyła żadnej kryptowaluty, a jej użytkownicy nigdy nie otrzymali żadnych nagród.
Aby uchronić się przed tego typu oszustwem, zrozum, że w przypadku większości kryptowalut, ich wykopanie wymaga posiadanie i wykorzystywanie wysoce wyspecjalizowanego sprzętu (ASIC). W skrócie oznacza to, że niemożliwym jest ich wydobycie na urządzeniu mobilnym. Dla swojego bezpieczeństwa najlepiej trzymaj się z dala od takich aplikacji.
Aplikacje typu Clipper
Aplikacje tego typu zmieniają kopiowane przez użytkownika publiczne adresy kryptowalut i zastępują je adresami atakującego. Podczas gdy ofiara fizycznie kopiuje prawidłowy adres odbiorcy, to w momencie jego wklejenia, aby przetworzyć transakcję, adres ten jest zastępowany na należący do atakującego.
Aby zapobiec temu konkretnemu rodzajowi ataku należy:
- Zawsze sprawdzać wklejany adres na który wysyłasz jakiekolwiek środki, a który został przez Ciebie wcześniej skopiowany. Transakcje w sieciach blockchain są nieodwracalne, dlatego zachowanie szczególnej ostrożności jest tak ważne.
Zawsze weryfikować cały adres. Niektóre aplikacje są wystarczająco inteligentne, aby wklejać adresy, które wyglądają podobnie do zamierzonego adresu - innymi słowy różnią się kilkoma znakami.
Atak na duplikat karty SIM (ang. SIM swapping)
W momencie gdy cyberprzestępcy uzyskają dostęp do twojego numeru telefonu, mogą go użyć do ominięcia zabezpieczeń opartych o autoryzację SMS lub telefoniczną. Mając dostęp do numeru telefonu przestępcy bardzo często torują sobie drogę do portfeli kryptowalut czy kont na giełdach.
Innym rodzajem ataku typu SIM Swap który cyberprzestępcy mogą wykorzystać, jest monitorowanie komunikacji SMS. Błędy w sieciach komórkowych mogą pozwolić przestępcom na przechwycenie wiadomości, które mogą zawierać wysłany do Ciebie kod 2FA.
Aby zabezpieczyć się przed atakami tego typu rozważ:
Dezaktywowanie dwuskładnikowego uwierzytelniania za pośrednictwem wiadomości SMS (SMS 2FA). Zamiast tego skorzystaj z aplikacji służących do generowania kodów 2FA w trybie offline, takich jak np. Google Authenticator lub Authy. Dzięki temu jeżeli przestępcom nawet uda się uzyskać dostęp do Twojego numeru telefonu, to i tak nie będą w stanie fizycznie uruchomić tych aplikacji aby wygenerować kod. Obecnie istnieją już również specjalne urządzenia służące do dwuskładnikowego uwierzytelniania. Są to np. YubKiey czy Google Titan Security Key.
Nie publikowanie jakichkolwiek danych personalnych w mediach społecznościowych, które przestępcy mogliby wykorzystać w kontaktach z Twoim operatorem komórkowym. Co ważne, przestępcy dzięki tak zebranym informacjom o Tobie mogą próbować podszyć się pod Ciebie również gdzie indziej - np. w instytucjach państwowych.
Nie publikowanie jakichkolwiek informacji w mediach społecznościowych na temat posiadanych przez Ciebie kryptowalut. Jeśli jesteś już jednak w sytuacji, w której wszyscy już wiedzą, że posiadasz pewną ilość kryptowalut lub daną kryptowalutę, unikaj ujawniania swoich danych osobowych, w tym wykorzystywanych przez Ciebie giełd lub portfeli. Dzięki temu trudniej będzie opracować na Ciebie spersonalizowany atak.
Kontakt z Twoim operatorem komórkowym w celu ustalenia dodatkowej ochrony Twojego numeru telefonu. Możesz wnioskować o to aby np. jakakolwiek zmiana na Twoim koncie wymagała podania specjalnego kodu PIN lub hasła. Alternatywnie, możesz wymagać, aby takie zmiany można było wprowadzać jedynie osobiście i zabronić ich wykonywania za pośrednictwem infolinii.
WiFi
Zakończenie
Telefony komórkowe stały się istotną częścią naszego życia. W rzeczywistości są one tak splecione z naszą cyfrową tożsamością, że mogą stać się naszym najsłabszym punktem. Cyberprzestępcy zdają sobie z tego sprawę i na pewno nie zaprzestaną szukać sposobów na wykorzystanie tej słabości. Zabezpieczanie urządzeń mobilnych nie jest już opcjonalne. Stało się koniecznością, a w świecie kryptowalut obowiązkiem.