Эксперты компании Hacken, которая специализируется на кибербезопасности, описали 5 самых популярных способов кражи криптовалюты в 2020 году.
В 2020 году киберпреступники покушались в основном на протоколы децентрализованных финансов (DeFi), что говорит о незрелости этого нового быстрорастущего сегмента. Тем не менее, количество криптовалют, украденных из централизованных платформ, все еще значительно выше. Например, в результате взлома Kucoin были украдены монеты на 275 миллионов долларов. Сумма денег, похищенных из DeFi-проектов составляет примерно 21% от объема взломов и краж в криптовалютной индустрии в 2020 году, говорится в последнем исследовании компании Hacken, специализирущейся на кибербезопасности.
Кроме того, хакеры атакуют не только криптоплатформы, но и самих пользователей. Каждый день в Интернете публикуются истории о том, как злоумышленники украли криптовалюту пользователя, получив доступ к его криптокошельку или аккаунту криптобиржи. Некоторые пользователи понятия не имеют, насколько высок риск взлома их учетной.
В этой статье мы рассмотрим пять основных способов кражи криптовалюты, которыми пользовались хакеры в 2020 году.
Навигация по материалу:
Поддельные фишинговые сайты
Фишинг – это инструмент социальной инженерии. Его часто используют для кражи пользовательских данных, включая мнемонические фразы, закрытые ключи и учетные данные для входа в аккаунты на криптовалютные платформы.
Как правило, злоумышленники рассылают мошеннические электронные письма, где просят пользователя ввести перейти на поддельный веб-сайт и ввести там свою конфиденциальную информацию. Кроме того, пользователей часто заманивают на вредоносный сайт. Переход по ссылке из письма заканчивается установкой вредоносного ПО.
Простейшим примером успешной фишинговой атаки стал случай MyEtherWallet в 2017 году. Киберпреступники разослали электронное письмо потенциальным пользователям MyetherWallet и объявили, что им нужно синхронизировать свой кошелек, чтобы соответствовать требованиям хард-форка Ethereum. После нажатия на ссылку пользователь переходил на фишинговый сайт, который выглядел как настоящий, но содержал дополнительный едва заметный символ в URL-адресе. Невнимательные пользователи вводили свои секретные фразы, закрытые ключи и пароли от кошельков, тем самым предоставляя эти данные злоумышленникам, а затем теряли свою криптовалюту.
Последний пример – успешная атака на пользователей кошелька Ledger. Аферисты использовали фишинговые письма, которое направляли пользователей на поддельную версию веб-сайта Ledger, с измененным символом в URL-адресе, как и в предыдущем случае с MyEtherWallet. На поддельном сайте жертвы скачивали вредоносное ПО, выдающее себя за обновление безопасности, которое выводило монеты из их кошелька Ledger. Из этого следует вывод, что даже пользователи аппаратных кошельков не защищены от фишинговых атак.
Такой же тип атак использовался против пользователей криптовалютных бирж. То есть пользователь получает письмо со ссылкой на сайт, который идентичен реальному, но со слегка измененным URL-адресом. Таким образом, злоумышленники крадут имена пользователей/пароли и при определенных условиях они могут украсть криптовалюту из биржевого кошелька. Тем не менее, пользователи могут застраховать себя даже в случае успешной атаки, так как биржи предлагают дополнительные инструменты защиты от подобных случаев.
Кража API ключей
Некоторые трейдеры используют инструменты автоматизации торговли, называемые торговыми ботами. Для использования такого программного обеспечения пользователь должен создать API ключи с определенными разрешениями, чтобы бот мог управлять его балансом.
Обычно, когда пользователь создает API ключ, биржа запрашивает следующие разрешения:
- Просмотр. Разрешение на просмотр данные, связанных с учетной записью пользователя, таких как история торговли, история ордеров, история вывода средств, баланс, некоторые пользовательские данные и т. д.
- Трейдинг. Разрешение на размещение и отмену ордера.
- Вывод средств. Разрешение на вывод средств.
- Белый список IP адресов. Позволяет выполнять операции только с указанных IP-адресов.
Для API ключей торговых ботов нужны разрешения на просмотр, торговлю, а иногда и на вывод средств.
Существуют различные способы кражи API-ключей пользователей. Например, злоумышленники часто создают вредоносных «высокоприбыльных» бесплатных торговых ботов, чтобы убедить пользователя ввести свои API ключи. Если ключ API имеет разрешение на вывод средств без ограничения по IP, то хакеры могут мгновенно вывести всю криптовалюту с баланса пользователя.
Даже без разрешения на вывод хакеры могут украсть криптовалюту пользователей, “выкачивая” средства через определенную криптовалютную торговую пару с низкой ликвидностью. Наиболее яркими примерами таких атак являются памп Viacoin и памп Syscoin, где хакеры накопили эти криптовалюты и продали их по значительно завышенной цене, используя для пампа цены средства пользователей, доступ к балансам которых был украден.
Эксплойты в загруженных файлах
Существует множество эксплойтов нулевого дня и уязвимостей одного дня для MS Word, Excel и Adobe Product, которые гарантируют, что антивирусные продукты не смогут обнаружить вредоносные программы и предоставят злоумышленникам полный доступ к устройствам жертв и их внутренней инфраструктуре.
Нулевой день — это уязвимость в программном обеспечении, аппаратном обеспечении или прошивке, который неизвестен стороне или сторонам, ответственным за разработку и поддержку продукта. Термин «нулевой день» может относиться к самой уязвимости или к атаке, которая занимает период в ноль дней между обнаружением уязвимости и первой атакой. После того, как уязвимость нулевого дня стала общеизвестной, она определяется как уязвимость n-го дня или уязвимость одного дня. После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, который использует обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей. Самым известным вредоносным ПО, использующим уязвимость нулевого дня в программном обеспечении, является червь wannaCry, вирус, который вымогал биткоины для расшифровки файлов зараженного компьютера.
Тем не менее в сети есть множество других вредоносных программ, которые могут получить доступ к криптовалютным кошелькам пользователей, а также к приложениям для обмена криптовалютами, используя эксплойты нулевого, одного или n-го дня. Самым известным случаем такой атаки в последние годы стал эксплойт WhatsApp, в результате которого злоумышленники могли собирать данные с криптокошельков пользователей.
Мошеннические платформы
В связи с активным ростом рынка DeFi-мошенники постоянно запускают новые проекты, которые являются практически точными клонами существующих проектов. После того, как пользователи инвестируют в эти проекты, мошенники просто выводят средства на свои собственные кошельки.
Самым большим скамом такого рода на сегодняшний день является случай YFDEX , когда злоумышленники украли 20 млн средств пользователей через 2 дня после запуска проекта. Такие мошенничества очень распространены, потому что в большинстве случаев члены проектной команды анонимны и у них нет юридических обязательств перед пользователями. Ранее такие случаи мошенничества были связаны в основном с ICO-проектами.
Тем не менее, подобные случаи имели место и с централизованными платформами. Например, дело QuadrigACX, когда основатель централизованной биржи умер, оставив платформу без доступа к своим кошелькам и без возможности обработать вывод более $ 171 миллионов средств клиентов. В результате только 30 млн долларов утерянных средств могут быть возвращены.
Такие случаи происходят постоянно, поэтому нужно тщательно изучать платформу, прежде чем переводить туда свои деньги.
Поддельные приложения
За время существования индустрии криптовалют было создано множество поддельных приложений платформ или кошельков. После того, как вы сделаете депозит в такое приложение, вы обнаружите, что вы потеряли свою криптовалюту.
Злоумышленники также создают копии существующих приложений, добавляя вредоносный код. Также бывали случаи, когда злоумышленниками создавались “новые” поддельные приложения для платформ, у которых нет мобильных или десктопных версий. Например, дело Poloniex 2017 года, когда пользователи ввели свои учетные данные и тем самым передали их злоумышленникам. Это привело к краже средств у невнимательных пользователей.
Поскольку большинство криптокошельков имеют открытый исходный код, каждый может создать свою копию кошелька и внедрить вредоносный код. Темы о таких кошельках постоянно появляются на популярных криптовалютных форумах, например, о поддельном приложении Trust wallet . На данный момент существует более 10 копий этого кошелька, каждая из которых может содержать вредоносное ПО.
Как защитить себя от злоумышленников?
Злоумышленники используют множество методов кражи пользовательских средств и данных. Поэтому мы рекомендуем придерживаться следующих правил, чтобы защитить себя от злоумышленников:
- Всегда проверяйте домен, с которого вы получаете электронные письма.
- Установите AntiPhishing код или его аналоги, если платформы, которые вы используете, поддерживают такой функционал.
- Вносите средства только на биржи с хорошей репутацией. Вы можете проверить рейтинги бирж на следующих платформах: Mining-Cryptocurrency.ru, Coingecko, Cer.live, Coinmarketcap, Cryptocompare и т.д.
- Настройте белый список IP для логина, если платформы, которые вы используете, поддерживают такой функционал.
- Всегда изучайте криптокошелек, прежде чем принимать решение об установке его на свой телефон, даже если он в списке магазина приложений.
- Установите белый список IP адресов для API ключей.
- Не инвестируйте в недавно запущенные проекты, в которых нет никакой информации о команде, инвесторах и т.д. Во время DeFi-хайпа мошенники запустили десятки мошеннических проектов, чтобы украсть криптовалюту у инвесторов.
- Убедитесь, что вы загружаете документы и другие файлы из надежного источника.
- Всегда выполняйте регулярные обновления системы безопасности вашей операционной системы.
- Скачивайте приложения и их обновления только с официальных сайтов.
Вместе с ростом криптовалютного рынка, появляются и новые схемы кражи средств и данных пользователей. Вы должны быть очень осторожны с электронной почтой и другими уведомлениями. Используя описанные выше 10 правил, пользователи могут защитить себя от злоумышленников.
Дата публикации 12.01.2021
Подписывайтесь на новости криптовалютного рынка в Яндекс Мессенджер.
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.
- Инструкция: Как новичку купить биткоин на крипто-бирже за рубли? - 17.05.2024
- Binance Earn — как получать пассивный доход от хранения криптовалюты на бирже Binance? - 17.05.2024
- Что такое стейкинг и как получать пассивный доход от криптовалют? - 26.12.2022
- Конфискация криптовалюты в России: как работает механизм изъятия криптоактивов? - 26.12.2022
- Как минимизировать риски при торговле фьючерсами на Binance Futures? - 26.12.2022