Príspevok komunity – Autor: WhoTookMyCrypto.com
Rok 2017 bol pre kryptomenový priemysel pozoruhodným rokom, pretože rýchly nárast hodnoty ich posunul do mainstreamových médií. Nie je prekvapením, že to vyvolalo obrovský záujem širokej verejnosti, ako aj kyberzločincov. Relatívna anonymita, ktorú ponúkajú kryptomeny, ich urobila obľúbenými medzi zločincami, ktorí ich často používajú na obchádzanie tradičných bankových systémov a vyhýbanie sa finančnému dohľadu zo strany regulátorov.
Vzhľadom na to, že ľudia trávia viac času na svojich smartfónoch ako na stolných počítačoch, nie je prekvapujúce, že na nich obrátili svoju pozornosť aj kyberzločinci. Nasledujúca diskusia zdôrazňuje, ako sa podvodníci zameriavajú na používateľov kryptomien prostredníctvom svojich mobilných zariadení, spolu s niekoľkými krokmi, ktoré môžu používatelia podniknúť na svoju ochranu.
Falošné aplikácie pre kryptomeny
Falošné aplikácie na výmenu kryptomien
Najznámejším príkladom falošnej aplikácie na výmenu kryptomien je pravdepodobne aplikácia Poloniex. Pred spustením ich oficiálnej mobilnej obchodnej aplikácie v júli 2018 Google Play uvádzal niekoľko falošných výmenných aplikácií Poloniex, ktoré boli zámerne navrhnuté tak, aby boli funkčné. Mnohým používateľom, ktorí si stiahli tieto podvodné aplikácie, boli ohrozené prihlasovacie údaje Poloniex a ich kryptomeny boli ukradnuté. Niektoré aplikácie dokonca zašli o krok ďalej a požadovali prihlasovacie údaje používateľov k účtom Gmail. Je dôležité zdôrazniť, že napadnuté boli iba účty bez dvojfaktorovej autentifikácie (2FA).
Nasledujúce kroky vám môžu pomôcť chrániť sa pred takýmito podvodmi.
Skontrolujte oficiálnu webovú stránku burzy a overte si, či skutočne ponúkajú mobilnú obchodnú aplikáciu. Ak áno, použite odkaz uvedený na ich webovej stránke.
Prečítajte si recenzie a hodnotenia. Podvodné aplikácie majú často veľa zlých recenzií s ľuďmi, ktorí sa sťažujú na podvod, takže si ich pred stiahnutím skontrolujte. Mali by ste byť však skeptickí aj voči aplikáciám, ktoré prezentujú perfektné hodnotenia a komentáre. Každá legitímna aplikácia má aj istý podiel negatívnych recenzií.
Skontrolujte informácie o vývojárovi aplikácie. Zistite, či je poskytnutá legitímna spoločnosť, e-mailová adresa a webová stránka. Mali by ste tiež vykonať online vyhľadávanie poskytnutých informácií, aby ste zistili, či skutočne súvisia s oficiálnou burzou.
Skontrolujte počet stiahnutí. Treba zvážiť aj počet stiahnutí. Je nepravdepodobné, že by veľmi populárna kryptomenová burza mala malý počet stiahnutí.
Aktivujte si 2FA na svojich účtoch. Hoci nie je 100% bezpečná, 2FA je oveľa ťažšie obísť a môže znamenať obrovský rozdiel v ochrane vašich finančných prostriedkov, dokonca aj keď vám boli ukradnuté prihlasovacie údaje.
Falošné aplikácie na kryptomenovú peňaženku
Existuje mnoho rôznych typov falošných aplikácií. Jeden z variantov sa snaží získať osobné informácie od používateľov, ako sú heslá ich peňaženky a súkromné kľúče.
V niektorých prípadoch falošné aplikácie poskytujú používateľom predtým vygenerované verejné adresy. Predpokladajú teda, že na tieto adresy budú vložené prostriedky. Nezískajú však prístup k súkromným kľúčom, a teda nemajú prístup k žiadnym prostriedkom, ktoré im budú zaslané.
Takéto falošné peňaženky boli vytvorené pre populárne kryptomeny ako Ethereum a Neo a, žiaľ, mnohí používatelia prišli o svoje prostriedky. Tu je niekoľko preventívnych krokov, ktoré možno podniknúť, aby ste sa nestali obeťou:
Opatrenia zvýraznené v segmente výmenných aplikácií vyššie platia rovnako. Ďalším preventívnym opatrením, ktoré môžete urobiť pri práci s aplikáciami peňaženky, je zabezpečiť, aby sa pri prvom otvorení aplikácie vygenerovali úplne nové adresy a že vlastníte súkromné kľúče (alebo mnemotechnické frázy). Legitímna aplikácia peňaženky umožňuje exportovať súkromné kľúče, ale je tiež dôležité zabezpečiť, aby sa neohrozilo generovanie nových párov kľúčov. Takže by ste mali používať renomovaný softvér (najlepšie open source).
Aj keď vám aplikácia poskytne súkromný kľúč (alebo základ), mali by ste si overiť, či je možné z nich odvodiť verejné adresy a získať k nim prístup. Napríklad niektoré bitcoinové peňaženky umožňujú používateľom importovať svoje súkromné kľúče alebo frázy na vizualizáciu adries a prístup k finančným prostriedkom. Ak chcete minimalizovať riziko ohrozenia kľúčov a fráz, môžete to vykonať na počítači so vzduchovou medzerou (odpojenom od internetu).
Cryptojacking aplikácie
Cryptojacking je medzi kyberzločincami veľkým favoritom z dôvodu nízkych prekážok vstupu a nízkych požadovaných režijných nákladov. Okrem toho im ponúka potenciál pre dlhodobý opakujúci sa príjem. Napriek nižšiemu spracovateľskému výkonu v porovnaní s počítačmi sa mobilné zariadenia čoraz častejšie stávajú cieľom kryptojackingu.
Okrem kryptojackingu cez webové prehliadače vyvíjajú kyberzločinci aj programy, ktoré sa zdajú byť legitímne herné, úžitkové alebo vzdelávacie aplikácie. Mnohé z týchto aplikácií sú však navrhnuté tak, aby tajne spúšťali skripty na ťažbu kryptomien na pozadí.
Existujú aj aplikácie na kryptojacking, ktoré sú inzerované ako legitímni ťažiari tretích strán, ale odmeny sa doručujú vývojárovi aplikácie namiesto používateľov.
Aby to bolo ešte horšie, počítačoví zločinci sa stávajú čoraz sofistikovanejšími a nasadzujú ľahké ťažobné algoritmy, aby sa vyhli odhaleniu.
Cryptojacking je neuveriteľne škodlivý pre vaše mobilné zariadenia, pretože znižuje výkon a urýchľuje opotrebovanie. Ešte horšie je, že by mohli potenciálne pôsobiť ako trójske kone pre zákernejší malvér.
Na ochranu pred nimi je možné podniknúť nasledujúce kroky.
Aplikácie sťahujte iba z oficiálnych obchodov, ako je napríklad Google Play. Pirátske aplikácie nie sú vopred naskenované a je pravdepodobnejšie, že obsahujú skripty na cryptojacking.
Sledujte, či sa telefón nadmerne nevybíja alebo neprehrieva. Po zistení ukončite aplikácie, ktoré to spôsobujú.
Udržujte svoje zariadenie a aplikácie aktualizované, aby sa opravili chyby zabezpečenia.
Používajte webový prehliadač, ktorý chráni pred cryptojackingom, alebo si nainštalujte renomované doplnky prehliadača, ako sú MinerBlock, NoCoin a Adblock.
Ak je to možné, nainštalujte si mobilný antivírusový softvér a pravidelne ho aktualizujte.
Bezplatné darčeky a falošné aplikácie na ťažbu kryptomien
Sú to aplikácie, ktoré predstierajú, že ťažia kryptomeny pre svojich používateľov, ale v skutočnosti nerobia nič okrem zobrazovania reklám. Stimulujú používateľov, aby nechali aplikácie otvorené tým, že odzrkadľujú nárast odmien používateľov v priebehu času. Niektoré aplikácie dokonca podnecujú používateľov, aby zanechali 5-hviezdičkové hodnotenia, aby získali odmeny. Samozrejme, žiadna z týchto aplikácií v skutočnosti neťažila a ich používatelia nikdy nedostali žiadne odmeny.
Aby ste sa ochránili pred týmto podvodom, uvedomte si, že pre väčšinu kryptomien si ťažba vyžaduje vysoko špecializovaný hardvér (ASIC), čo znamená, že nie je možné ťažiť na mobilnom zariadení. Akékoľvek sumy, ktoré ťažíte, by boli prinajlepšom zanedbateľné. Držte sa ďalej od takýchto aplikácií.
Aplikácie Clipper
Takéto aplikácie menia adresy kryptomien, ktoré skopírujete, a nahradia ich adresami útočníka. Aj keď obeť môže skopírovať správnu adresu príjemcu, adresa, ktorú prilepí na spracovanie transakcie, je nahradená adresou útočníka.
Aby ste sa nestali obeťou takýchto aplikácií, uvádzame niekoľko preventívnych opatrení, ktoré môžete prijať pri spracovaní transakcií.
Vždy dvakrát aj trikrát skontrolujte adresu, ktorú vkladáte do poľa príjemcu. Blockchainové transakcie sú nevratné, takže by ste mali byť vždy opatrní.
Najlepšie je overiť celú adresu a nie iba jej časti. Niektoré aplikácie sú dostatočne inteligentné na to, aby prilepili adresy, ktoré vyzerajú podobne ako zamýšľaná adresa.
Výmena SIM
Pri podvode s výmenou SIM kariet získa kyberzločinec prístup k telefónnemu číslu používateľa. Robia to tak, že využívajú techniky sociálneho inžinierstva, aby oklamali mobilných operátorov, aby im vydali novú SIM kartu. Najznámejší podvod s výmenou SIM kariet sa týkal podnikateľa v oblasti kryptomien Michaela Terpina. Tvrdil, že AT&T zanedbala manipuláciu s jeho prihlasovacími údajmi k mobilnému telefónu, čo viedlo k strate tokenov v hodnote viac ako 20 miliónov amerických dolárov.
Keď počítačoví zločinci získajú prístup k vášmu telefónnemu číslu, môžu ho použiť na obídenie akejkoľvek 2FA, ktorá sa na to spolieha. Odtiaľ sa môžu prepracovať do vašich kryptomenových peňaženiek a búrz.
Ďalšou metódou, ktorú môžu kyberzločinci využiť, je monitorovanie vašej SMS komunikácie. Nedostatky v komunikačných sieťach môžu umožniť zločincom zachytiť vaše správy, ktoré môžu zahŕňať kód PIN druhého stupňa, ktorý vám bol poslaný.
To, čo robí tento útok obzvlášť znepokojivým, je, že používatelia nie sú povinní vykonať žiadnu akciu, ako je sťahovanie falošného softvéru alebo kliknutie na škodlivý odkaz.
Aby ste sa vyhli takýmto podvodom, mali by ste zvážiť niekoľko krokov.
Na SMS 2FA nepoužívajte svoje mobilné telefónne číslo. Namiesto toho použite na zabezpečenie svojich účtov aplikácie ako Google Authenticator alebo Authy. Kyberzločinci nemôžu získať prístup k týmto aplikáciám, aj keď vlastnia vaše telefónne číslo. Prípadne môžete použiť hardvér 2FA, ako napríklad YubiKey alebo bezpečnostný kľúč Titan od spoločnosti Google.
Neprezrádzajte na sociálnych sieťach osobné identifikačné údaje, ako napríklad číslo mobilného telefónu. Kyberzločinci môžu takéto informácie získať a použiť ich na vydávanie sa za vás inde.
Nikdy by ste na sociálnych sieťach nemali oznamovať, že vlastníte kryptomeny, pretože by ste sa tým stali cieľom. Alebo ak ste v situácii, keď už každý vie, že ich vlastníte, vyhnite sa zverejňovaniu osobných údajov vrátane búrz alebo peňaženiek, ktoré používate.
Dohodnite sa s poskytovateľmi mobilných telefónov na ochrane vášho účtu. Môže to znamenať pripojenie kódu PIN alebo hesla k vášmu účtu a nastavenie, že zmeny v účte môžu vykonávať iba používatelia, ktorí tento kód poznajú. Prípadne môžete požadovať, aby sa takéto zmeny vykonali osobne a zakázať ich telefonicky.
WiFi
Kyberzločinci neustále hľadajú vstupné body do mobilných zariadení, najmä mobilných zariadení používateľov kryptomien. Jedným z takýchto vstupných bodov je prístup k WiFi. Verejná sieť WiFi je nezabezpečená a používatelia by pred pripojením k nej mali prijať preventívne opatrenia. Ak nie, riskujú, že počítačoví zločinci získajú prístup k údajom na ich mobilných zariadeniach. Tieto preventívne opatrenia sú uvedené v článku o verejnej WiFi.
Záverečné myšlienky
Mobilné telefóny sa stali neodmysliteľnou súčasťou našich životov. V skutočnosti sú tak prepojené s vašou digitálnou identitou, že sa môžu stať vašou najväčšou zraniteľnosťou. Kyberzločinci si to uvedomujú a budú naďalej hľadať spôsoby, ako to zneužiť. Zabezpečenie vašich mobilných zariadení už nie je voliteľné. Stalo sa nevyhnutnosťou. Zostaňte v bezpečí.