Jeśli chodzi o zaawansowaną technologię, słabym ogniwem z punktu widzenia oszustów nie będzie kwestia techniczna podatności, nad którymi pracuje wielu programistów i osoby korzystające z tych technologii. Tego rodzaju oszustwo zwykle nie wymaga głębokiej wiedzy technicznej, nic więc dziwnego, że ten rodzaj oszustwa jest bardzo powszechny.
Co to jest inżynieria społeczna
W kontekście bezpieczeństwa informacji inżynieria społeczna to psychologiczna manipulacja ludźmi w celu wykonania określonych czynności lub ujawnienia poufnych informacji. Tym samym przeciętny człowiek może ulec emocjom takim jak chciwość, strach czy ciekawość, które zmuszają go do podejmowania szkodliwych dla niego decyzji.
Z przeglądu zagrożeń za pierwszy kwartał 2024 r. przygotowanego przez twórców programu antywirusowego Avast wynika, że 90% zagrożeń to ataki wykorzystujące socjotechnikę. Co więcej, takie ataki mają miejsce wszędzie: od komputerów osobistych po urządzenia mobilne i YouTube. W świecie kryptowalut nie brakuje oczywiście także schematów opartych na inżynierii społecznej.
Wyłudzanie informacji
Idea phishingu jest dość prosta: napastnicy udają, że reprezentują organizację, zdobywają zaufanie użytkowników i oszukują ich, aby coś zrobili. Z reguły napastnicy ukrywają się pod przykrywką prawdziwych kont i pod przykrywką np. pomocy technicznej rozpoczynają komunikację z użytkownikiem.
Załóżmy, że osoba atakująca chce uzyskać dostęp do kluczy prywatnych lub fraz wyjściowych z portfeli. Wysyła e-mail w imieniu Trust Wallet lub wsparcia MetaMask i prosi niczego niepodejrzewającą ofiarę o przesłanie mu danych pod przekonującym pretekstem. Jeśli to zrobi, atakujący natychmiast uzyska dostęp do portfela.
Przynęta
Przynęta (z angielskiego: „przynęta”) wykorzystuje fałszywe obietnice, aby zagrać na chciwości lub ciekawości ofiary. Typowy przykład: masowa wysyłka e-maili do pracowników firmy, które rzekomo zawierają informacje o podwyżkach wynagrodzeń, kalendarz urlopów, oferty pracy i tak dalej. Ofiary otwierają zainfekowany plik, który automatycznie instaluje złośliwe oprogramowanie.
Quid Pro Quo
Atak Quid Pro Quo (z łaciny: „quid pro quo”) ma miejsce, gdy oszuści żądają prywatnych danych w zamian za jakąś usługę. Na przykład osoba atakująca może obiecać nagrodę lub zaoferować udział w badaniach w zamian za potrzebne mu dane. Oszuści mogą także poddawać się jako wsparcie techniczne, wyrażając chęć pomocy w rozwiązaniu problemu w zamian za dane osobowe lub inne dane wrażliwe. Różni się to od phishingu tym, że osoba atakująca wydaje się oferować jakąś usługę.
Pretekst
Nazwa pochodzi od słowa „pretekst”, które z angielskiego jest tłumaczone jako „przyimek”. W związku z tym w tym schemacie osoba atakująca pod prawdopodobnym pretekstem próbuje ukraść użytkownikowi dane lub kryptowalutę. Oszuści z reguły podają się za osobę zaufaną, na przykład pracownika banku, urzędu skarbowego lub organu ścigania.
Straszne oprogramowanie
Scareware, które można z grubsza przetłumaczyć jako „oprogramowanie przerażające”, to program, w ramach którego oszust straszy ofiary, tak aby uwierzyły, że grozi im poważne niebezpieczeństwo. Oczekuje się, że ofiary klikną przycisk, aby usunąć wirusa, pobrać „specjalne” oprogramowanie, które poradzi sobie z wirusem, lub skontaktować się z osobą, która może pomóc pozbyć się problemu. W każdym razie, jeśli ofiara podąży za „straszaczami”, nic dobrego z tego nie wyniknie.
Jak chronić się przed takimi atakami
Po pierwsze, pamiętaj, że klucza prywatnego ani frazy początkowej nie można nikomu udostępniać. Po drugie, ogólna wiedza na temat ataków socjotechnicznych również pomoże ci zachować czujność. I ogólnie w świecie kryptowalut niezwykle ważne jest zrozumienie co i jak to działa. Pomocne będą także ogólne zasady bezpieczeństwa w Internecie: nie otwieraj podejrzanych plików, nie klikaj podejrzanych linków, korzystaj z oprogramowania antywirusowego.
Wreszcie, bardziej wyrafinowane ataki opierają się na podejściu „osobistym”, podczas którego napastnicy zbierają informacje o ofierze, aby ułatwić zdobycie jej zaufania. W takim wypadku należy po pierwsze bardziej odpowiedzialnie podejść do swojego śladu cyfrowego i nie ujawniać publicznie swoich danych. Po drugie, należy uważać na wycieki – dziś często dane użytkowników stają się dostępne w wyniku wycieków z różnych serwisów.
Przykład udanego ataku
Axie Infinity, zbudowany na sidechainie Ethereum sieci Ronin, był dość udanym projektem typu „Play-to-Earn”. 23 marca 2022 roku hakerzy ukradli 173 600 ETH (około 591,2 mln dolarów) z kont powiązanych z grą. Wszystko za sprawą fałszywej oferty pracy na LinkedIn. Hakerzy dokonali napadu, wysyłając zainfekowany plik PDF do jednego ze swoich pracowników. Ten człowiek myślał, że przyjmuje dobrze płatną pracę w innej firmie, która w rzeczywistości nie istniała. Według rządu USA za atakiem stała północnokoreańska grupa hakerska Lazarus.
Wyjście
Świat kryptowalut ma swoją specyfikę, która dostosowuje się m.in. do schematów opartych na inżynierii społecznej. Większość ataków będzie prawdopodobnie miała na celu wyłudzenie kryptowaluty lub uzyskanie dostępu do kluczy prywatnych użytkowników i opróżnienie ich portfeli kryptowalutowych. Sytuację pogarsza fakt, że transakcje na blockchainie są anonimowe i nieodwracalne, dlatego też ofierze oszustów będzie szczególnie trudno odzyskać swoje środki.
Z drugiej strony wiele w świecie kryptowalut zależy od samego użytkownika i to może być dobre: jeśli bezpiecznie przechowuje swoje klucze i nie stara się rezygnować z bezpieczeństwa w pogoni za wygodą, to sam może występować w roli gwaranta swego bezpieczeństwa. Nie musi się martwić, że np. jego bank wycieknie jego dane. Tak, narzuca to wiele trudności, na przykład nie można ufać giełdom i trzeba przechowywać kryptowaluty w zimnych portfelach, ale pozwala to osobie mieć pełną kontrolę nad swoimi środkami. A we współczesnym świecie to już dużo.
Источник: bits.media