Поширені афери з мобільними пристроями
Поширені афери з мобільними пристроями
Головна сторінка
Статті
Поширені афери з мобільними пристроями

Поширені афери з мобільними пристроями

Новачок
Опубліковано May 13, 2019Оновлено Oct 4, 2022
8m

Матеріал від спільноти – Автор: WhoTookMyCrypto.com

2017 рік був знаменним для криптовалютної індустрії, оскільки швидке зростання вартості криптовалют вивело їх у заголовки основних засобів масової інформації. Не дивно, що це викликало величезний інтерес як у загалу, так і в кіберзлочинців. Відносна анонімність, запропонована криптовалютами, зробила їх фаворитами серед злочинців, які часто використовують їх, щоб уникнути традиційні банківські системи та фінансове спостереження з боку регулюючих органів.

Враховуючи те, що люди проводять більше часу зі своїми смартфонами, ніж з комп'ютерами, не дивно, що кіберзлочинці також звернули на них увагу. У цій статті розповідається про те, як шахраї націлюються на користувачів криптовалюти через їхні мобільні пристрої, а також про декілька кроків, які користувачі можуть зробити, щоб захистити себе.


Підроблені криптовалютні застосунки

Підроблені застосунки криптобірж

Найвідоміший приклад — це, ймовірно, застосунок Poloniex. Ще до запуску офіційного мобільного застосунку для торгівлі в липні 2018 року, в Google Play вже було декілька підроблених застосунків криптобіржі Poloniex, які були спеціально розроблені, щоб виглядати справними. У багатьох користувачів, які завантажили ці шахрайські застосунки, були скомпрометовані облікові дані для входу в Poloniex, а їх криптовалюти було вкрадено. Деякі застосунки навіть пішли ще далі, запитуючи облікові дані користувачів для входу до акаунтів Gmail. Важливо підкреслити, що були скомпрометовані лише акаунти без двофакторної аутентифікації (2FA).

Ці кроки можуть допомогти захистити вас від такого шахрайства.

  • Відвідайте офіційний вебсайт біржі, щоб переконатися, що вона дійсно пропонує мобільний застосунок для торгівлі. Якщо це так, використовуйте посилання на її вебсайті.

  • Прочитайте відгуки та рейтинги. Шахрайські застосунки часто мають багато поганих відгуків, і люди скаржаться на шахрайство, тому обов'язково перевірте їх перед завантаженням. Однак ви також повинні скептично ставитися до застосунків, які мають ідеальні оцінки та коментарі. Будь-який справжній застосунок матиме хоч трохи негативних відгуків.

  • Перевірте інформацію про розробника застосунку. Перевірте, чи вказано законну компанію, електронну адресу та вебсайт. Ви також повинні виконати онлайн-пошук за наданою інформацією, щоб переконатися, що застосунок справді пов'язаний з офіційною біржею.

  • Перевірте кількість завантажень. Також слід враховувати кількість завантажень. Малоймовірно, що дуже популярна криптобіржа матиме невелику кількість завантажень.

  • Активуйте 2FA на своїх акаунтах. Незважаючи на те, що двофакторна автентифікація не є на 100% безпечною, її набагато складніше обійти, і вона може мати величезне значення для захисту ваших коштів, навіть якщо ваші облікові дані для входу в акаунт вкрадено.


Підроблені застосунки криптогаманців

Існує безліч різних типів підроблених застосунків. Один із варіантів спрямований отримати особисту інформацію від користувачів, таку як їхні паролі гаманців та приватні ключі.

У деяких випадках підроблені застосунки надають користувачам раніше згенеровані публічні адреси. Користувачі думають, що кошти мають бути депоновані на ці адреси. Однак вони не отримують доступу до приватних ключів і, отже, не мають доступу до жодних коштів, які надсилаються.

Такі підроблені гаманці були створені для популярних криптовалют, таких як Ethereum і Neo, і, на жаль, багато користувачів втратили свої кошти. Ось деякі превентивні заходи, які можна вжити, щоб не стати жертвою:

  • Запобіжні заходи, викладені вище у розділі застосунків бірж, також застосовуються. Тим не менш, додатковий запобіжний захід, який ви можете вжити при роботі із застосунком гаманця, полягає в тому, щоб переконатися, що при першому відкритті застосунку генеруються абсолютно нові адреси, і що у вас є приватні ключі (або seed фрази). Справжній застосунок гаманця дозволяє вам експортувати приватні ключі, але також важливо переконатися, що генерація нових пар ключів не скомпрометована. Тому потрібно використовувати надійне програмне забезпечення (бажано з відкритим вихідним кодом).

  • Навіть якщо застосунок надає приватний ключ (або seed фразу), ви повинні переконатися, що публічні адреси можуть бути отримані та створені з них. Наприклад, деякі Bitcoin гаманці дозволяють користувачам імпортувати свої приватні ключі або seed фрази для візуалізації адрес та доступу до коштів. Щоб звести до мінімуму ризик компрометації ключів та seed фраз, ви можете виконати цю дію на комп'ютері з повітряним зазором (відключеним від інтернету).


Застосунки криптоджекінгу

Криптоджекінг був гарячим фаворитом серед кіберзлочинців через низькі бар'єри для входу та низькі витрати. Крім того, він пропонує їм потенціал для довгострокового регулярного прибутку. Незважаючи на нижчу обчислювальну потужність у порівнянні з ПК, мобільні пристрої все частіше стають ціллю криптоджекінгу.

Крім криптоджекінгу веббраузера, кіберзлочинці також розробляють застосунки, які здаються реальними ігровими, службовими або освітніми застосунками. Однак багато з цих застосунків призначені для таємного запуску сценаріїв криптомайнінгу у фоновому режимі.

Існують також застосунки для криптоджекінгу, які рекламуються як реальні сторонні майнери, але винагорода доставляється розробнику застосунку, а не користувачам.

Що ще гірше, кіберзлочинці стають дедалі витонченішими, впроваджуючи полегшені алгоритми майнінгу, щоб уникнути виявлення.

Криптоджекінг неймовірно шкідливий для мобільних пристроїв, оскільки знижується продуктивність і прискорює зношення. Гірше того, застосунки потенційно можуть виступати як троянські коні для ще шкідливіших атак. 

Для захисту від них можна виконати такі кроки.

  • Завантажуйте застосунки лише з офіційних магазинів, таких як Google Play. Піратські застосунки не скануються заздалегідь і з більшою ймовірністю містять скрипти для криптоджекінгу.

  • Стежте за надмірним розрядженням або перегріванням свого телефону. Після виявлення закрийте застосунки, які викликають це.

  • Оновлюйте свій пристрій та застосунки, щоб усунути вразливості системи безпеки.

  • Використовуйте веббраузер, який захищає від криптоджекінгу, або встановіть надійні плагіни для браузера, такі як MinerBlock, NoCoin та Adblock.

  • Якщо можливо, встановіть мобільне антивірусне програмне забезпечення та регулярно оновлюйте його.


Безкоштовні розіграші та підроблені застосунки для майнінгу криптовалют

Це застосунки, які роблять вигляд, що добувають криптовалюту для своїх користувачів, але насправді нічого не роблять, крім показу реклами. Вони стимулюють користувачів тримати застосунки відкритими, відображаючи збільшення винагороди користувача з часом. Деякі застосунки навіть заохочують користувачів залишати 5-зірковий рейтинг, щоб отримати винагороду. Звичайно, жоден з цих застосунків насправді не займається майнінгом, та їх користувачі не отримують винагороди.

Щоб захиститись від цього шахрайства, зрозумійте, що для більшості криптовалют майнінг вимагає вузькоспеціалізоване обладнання (ASIC), а це означає, що майнінг на мобільному пристрої неможливий. Будь-які суми, які ви видобули, будуть у кращому випадку незначними. Тримайтеся подалі від таких застосунків.


Clipper-застосунки

Такі застосунки змінюють адреси криптовалют, які ви копіюєте, та замінюють їх адресами зловмисника. Таким чином, хоча жертва може скопіювати правильну адресу одержувача, ту, яку вона вставляє для обробки транзакції, замінюється адресою зловмисника.

Щоб не стати жертвою таких застосунків, ось деякі запобіжні заходи, які ви можете вжити при обробці транзакцій.

  • Завжди двічі та тричі перевіряйте адресу, яку ви вставляєте в полі одержувача. Блокчейн-транзакції завжди незворотні, тому ви повинні бути обережні.

  • Найкраще перевіряти всю адресу, а не лише її частину. Деякі застосунки досить "кмітливі", щоб вставляти адреси, схожі на передбачувану адресу.


Підміна SIM-картки

У шахрайстві з підміною SIM-картки, кіберзлочинець отримує доступ до номера телефону користувача. Він робить це, використовуючи методи соціальної інженерії, щоб обманним шляхом змусити операторів мобільного зв'язку видати йому нову SIM-картку. Найвідоміша афера із заміною SIM-карток пов'язана з криптовалютним підприємцем Майклом Терпіном. Він стверджував, що AT&T недбало поводилася з обліковими даними його мобільного телефону, внаслідок чого він втратив токени на суму понад 20 мільйонів доларів США.

Як тільки кіберзлочинці отримають доступ до номера телефону, вони зможуть використовувати його для обходу будь-якої двофакторної автентифікації, яка до нього прив'язна. Звідти вони можуть проникнути у ваші криптовалютні гаманці та біржі.

Ще один метод, який можуть використовувати кіберзлочинці – це відстеження ваших SMS-повідомлень. Дірки в комунікаційних мережах можуть дозволити злочинцям перехоплювати ваші повідомлення, які можуть містити надісланий вам PIN-код.

Що робить цю атаку особливо небезпечною, так це те, що від користувачів не вимагається виконувати жодних дій, наприклад, завантажувати підроблене програмне забезпечення або переходити за зловмисним посиланням.

Щоб не стати жертвою таких шахраїв, потрібно взяти до уваги декілька кроків.

  • Не використовуйте номер мобільного телефону для SMS 2FA. Натомість використовуйте такі застосунки, як Google Authenticator або Authy, для захисту своїх акаунтів. Кіберзлочинці не можуть отримати доступ до цих застосунків, навіть якщо вони мають номер телефону. Крім того, ви можете використовувати апаратну двофакторну автентифікацію, таку як YubiKey або Titan Security Key від Google.

  • Не розкривайте в соціальних мережах особисту інформацію, яка дає змогу встановити особу, наприклад, номер мобільного телефону. Кіберзлочинці можуть отримати таку інформацію та використовувати її, щоб видати себе за вас в іншому місці. 

  • Ви ніколи не повинні оголошувати в соціальних мережах, що у вас є криптовалюти, оскільки це зробить вас мішенню. Або, якщо ви перебуваєте в положенні, коли всі вже знають, що ви володієте ними, уникайте розкриття особистої інформації, зокрема, про біржі або гаманці, які ви використовуєте.

  • Зверніться до операторів мобільного зв'язку щодо захисту вашого акаунту. Це може означати прикріплення PIN-коду або пароля до вашого акаунту та вказівку, що лише користувачі, які знають PIN-код, можуть вносити зміни до акаунту. Крім того, ви можете вимагати, щоб такі зміни були внесені особисто, та заборонити виконувати їх по телефону.


WiFi

Кіберзлочинці постійно шукають точки входу до мобільних пристроїв, особливо користувачів криптовалют. Однією з таких точок входу є доступ до WiFi. Публічний Wi-Fi є небезпечним, і користувачі повинні вжити запобіжних заходів, перш ніж підключатися до нього. В іншому випадку вони ризикують, що кіберзлочинці отримають доступ до даних на їхніх мобільних пристроях. Ці запобіжні заходи описані у статті про публічний Wi-Fi.


Підсумки

Мобільні телефони стали невід'ємною частиною нашого життя. Насправді вони настільки переплетені з вашою цифровою особистістю, що можуть стати вашою найбільшою вразливістю. Кіберзлочинці знають про це і продовжуватимуть знаходити способи використати цей факт. Захист мобільних пристроїв більше не є "за бажанням". Він став необхідністю. Залишайтеся в безпеці.