Представление сообщества - Автор: WhoTookMyCrypto.com

2017 год стал знаменательным для криптовалютной индустрии, поскольку быстрый рост их стоимости привел к тому, что они стали популярными в средствах массовой информации. Неудивительно, что это вызвало огромный интерес как со стороны широкой общественности, так и киберпреступников. Относительная анонимность, обеспечиваемая криптовалютами, сделала их фаворитами среди преступников, которые часто используют их для обхода традиционных банковских систем и уклонения от финансового надзора со стороны регулирующих органов.

Учитывая, что люди проводят больше времени на своих смартфонах, чем на настольных компьютерах, неудивительно, что киберпреступники также обратили на них свое внимание. В следующем обсуждении показано, как мошенники нападают на пользователей криптовалюты через их мобильные устройства, а также несколько шагов, которые пользователи могут предпринять, чтобы защитить себя.


Поддельные криптовалютные приложения

Поддельные приложения для обмена криптовалют

Самым известным примером поддельного приложения для обмена криптовалюты, вероятно, является приложение Poloniex. Еще до запуска официального мобильного торгового приложения в июле 2018 года в Google Play уже было несколько поддельных биржевых приложений Poloniex, которые были специально разработаны с учетом функциональности. У многих пользователей, загрузивших эти мошеннические приложения, были скомпрометированы учетные данные для входа в Poloniex, а их криптовалюты были украдены. Некоторые приложения даже пошли дальше, запрашивая учетные данные пользователей для входа в учетные записи Gmail. Важно подчеркнуть, что были скомпрометированы только учетные записи без двухфакторной аутентификации (2FA).

Следующие шаги могут помочь защитить вас от такого мошенничества.

  • Посетите официальный сайт биржи, чтобы убедиться, что они действительно предлагают мобильное торговое приложение. Если да, воспользуйтесь ссылкой, представленной на их сайте.

  • Прочтите отзывы и рейтинги. Мошеннические приложения часто имеют множество плохих отзывов, и люди жалуются на мошенничество, поэтому обязательно проверьте их перед загрузкой. Однако вам также следует скептически относиться к приложениям, которые дают идеальные оценки и комментарии. Любое законное приложение имеет свою долю отрицательных отзывов.

  • Проверьте информацию о разработчике приложения. Посмотрите, предоставлены ли законная компания, адрес электронной почты и веб-сайт. Вам также следует выполнить онлайн-поиск предоставленной информации, чтобы убедиться, действительно ли она связана с официальным обменом.

  • Проверьте количество загрузок. Также следует учитывать количество загрузок. Маловероятно, что популярная криптовалютная биржа будет иметь небольшое количество загрузок.

  • Активируйте 2FA в своих аккаунтах. Несмотря на то, что 2FA не на 100% безопасен, его гораздо сложнее обойти, и он может существенно повлиять на защиту ваших средств, даже если ваши учетные данные для входа будут фишинговыми.


Поддельные приложения для криптовалютных кошельков

Существует много разных типов поддельных приложений. Один из вариантов направлен на получение личной информации от пользователей, такой как пароли их кошельков и закрытые ключи.

В некоторых случаях поддельные приложения предоставляют пользователям ранее сгенерированные публичные адреса. Поэтому они предполагают, что средства должны быть переведены на эти адреса. Однако они не получают доступа к закрытым ключам и, следовательно, не имеют доступа к каким-либо средствам, которые им отправляются.

Такие поддельные кошельки были созданы для популярных криптовалют, таких как Ethereum и Neo, и, к сожалению, многие пользователи потеряли свои средства. Вот несколько профилактических шагов, которые можно предпринять, чтобы не стать жертвой:

  • Меры предосторожности, отмеченные выше в разделе приложений для обмена, в равной степени применимы. Однако дополнительная мера предосторожности, которую вы можете принять при работе с приложениями-кошельками, — это убедиться, что при первом открытии приложения генерируются новые адреса, и что у вас есть закрытые ключи (или мнемонические начальные числа). Легитимное приложение-кошелек позволяет экспортировать закрытые ключи, но также важно обеспечить, чтобы генерация новых пар ключей не была скомпрометирована. Поэтому вам следует использовать авторитетное программное обеспечение (желательно с открытым исходным кодом).

  • Даже если приложение предоставляет вам закрытый ключ (или начальное число), вам следует проверить, можно ли получить из них публичные адреса и получить к ним доступ. Например, некоторые биткойн-кошельки позволяют пользователям импортировать свои личные ключи или начальные значения для визуализации адресов и доступа к средствам. Чтобы свести к минимуму риск компрометации ключей и семян, вы можете выполнить это на изолированном компьютере (отключенном от Интернета).


Приложения для криптоджекинга

Криптоджекинг стал популярным среди киберпреступников из-за низких входных барьеров и низких накладных расходов. Кроме того, это предлагает им возможность получения долгосрочного постоянного дохода. Несмотря на меньшую вычислительную мощность по сравнению с ПК, мобильные устройства все чаще становятся объектом криптоджекинга.

Помимо криптоджекинга веб-браузера, киберпреступники также разрабатывают программы, которые выглядят как легальные игровые, утилиты или образовательные приложения. Однако многие из этих приложений предназначены для тайного запуска сценариев криптомайнинга в фоновом режиме.

Существуют также приложения для криптоджекинга, которые рекламируются как законные сторонние майнеры, но вознаграждение доставляется разработчику приложения, а не пользователям.

Что еще хуже, киберпреступники становятся все более изощренными, применяя облегченные алгоритмы майнинга, чтобы избежать обнаружения.

Криптоджекинг невероятно вреден для ваших мобильных устройств, поскольку он снижает производительность и ускоряет износ. Хуже того, они потенциально могут выступать в качестве троянских коней для более гнусных вредоносных программ.

Чтобы защититься от них, можно предпринять следующие шаги.

  • Скачивайте приложения только из официальных магазинов, например Google Play. Пиратские приложения не проверяются предварительно и с большей вероятностью содержат скрипты для криптоджекинга.

  • Следите за своим телефоном на предмет чрезмерного разряда аккумулятора или перегрева. После обнаружения закройте приложения, вызывающие это.

  • Постоянно обновляйте свое устройство и приложения, чтобы устранить уязвимости безопасности.

  • Используйте веб-браузер, который защищает от криптоджекинга, или установите надежные плагины для браузера, такие как MinerBlock, NoCoin и Adblock.

  • Если возможно, установите мобильное антивирусное программное обеспечение и регулярно обновляйте его.


Бесплатные раздачи и поддельные приложения для майнинга криптовалют

Это приложения, которые делают вид, что добывают криптовалюту для своих пользователей, но на самом деле не делают ничего, кроме показа рекламы. Они стимулируют пользователей оставлять приложения открытыми, отражая увеличение вознаграждений пользователя с течением времени. Некоторые приложения даже стимулируют пользователей оставлять 5-звездочные оценки, чтобы получить вознаграждение. Конечно, ни одно из этих приложений на самом деле не занималось майнингом, и их пользователи никогда не получали никаких вознаграждений.

Чтобы защититься от этого мошенничества, помните, что для майнинга большинства криптовалют требуется узкоспециализированное оборудование (ASIC), а это означает, что майнинг на мобильном устройстве невозможен. Какие бы суммы вы ни добывали, в лучшем случае они будут тривиальными. Держитесь подальше от таких приложений.


Приложения для стрижки

Такие приложения изменяют адреса криптовалюты, которые вы копируете, и заменяют их адресами злоумышленника. Таким образом, хотя жертва может скопировать правильный адрес получателя, тот, который она вставляет для обработки транзакции, заменяется адресом злоумышленника.

Чтобы не стать жертвой таких приложений, вот некоторые меры предосторожности, которые вы можете принять при обработке транзакций.

  • Всегда дважды и трижды проверяйте адрес, который вы вставляете в поле получателя. Транзакции блокчейна необратимы, поэтому всегда следует быть осторожным.

  • Лучше всего проверять весь адрес, а не только его части. Некоторые приложения достаточно умны, чтобы вставлять адреса, похожие на предполагаемый адрес.


Замена SIM-карты

В ходе мошенничества с подменой SIM-карты киберпреступник получает доступ к номеру телефона пользователя. Они делают это, используя методы социальной инженерии, чтобы обманом заставить операторов мобильной связи выдать им новую SIM-карту. Самая известная афера с заменой SIM-карт была связана с криптовалютным предпринимателем Майклом Терпином. Он утверждал, что AT&T проявила халатность при обращении с учетными данными его мобильного телефона, в результате чего он потерял токены на сумму более 20 миллионов долларов США.

Как только киберпреступники получат доступ к вашему номеру телефона, они смогут использовать его для обхода любой двухфакторной аутентификации, которая на него опирается. Оттуда они могут проникнуть в ваши криптовалютные кошельки и биржи.

Еще один метод, который могут использовать киберпреступники, — это отслеживание ваших SMS-сообщений. Изъяны в сетях связи могут позволить преступникам перехватить ваши сообщения, которые могут включать отправленный вам PIN-код второго фактора.

Что делает эту атаку особенно тревожной, так это то, что пользователям не требуется предпринимать какие-либо действия, такие как загрузка поддельного программного обеспечения или переход по вредоносной ссылке.

Чтобы не стать жертвой такого мошенничества, следует рассмотреть несколько шагов.

  • Не используйте номер своего мобильного телефона для SMS 2FA. Вместо этого используйте такие приложения, как Google Authenticator или Authy, для защиты своих учетных записей. Киберпреступники не смогут получить доступ к этим приложениям, даже если у них есть ваш номер телефона. Альтернативно вы можете использовать аппаратный 2FA, такой как YubiKey или ключ безопасности Titan от Google.

  • Не раскрывайте личную информацию в социальных сетях, например номер своего мобильного телефона. Киберпреступники могут получить такую ​​информацию и использовать ее, чтобы выдать себя за вас в другом месте.

  • Никогда не следует объявлять в социальных сетях, что вы владеете криптовалютой, поскольку это сделает вас мишенью. Или, если вы находитесь в положении, когда все уже знают, что они принадлежат вам, избегайте раскрытия личной информации, включая биржи или кошельки, которые вы используете.

  • Договоритесь с вашими операторами мобильной связи о защите вашей учетной записи. Это может означать привязку PIN-кода или пароля к вашей учетной записи и требование, чтобы только пользователи, знающие этот PIN-код, могли вносить изменения в учетную запись. Кроме того, вы можете потребовать внесения таких изменений лично и запретить их по телефону.


Wi-Fi

Киберпреступники постоянно ищут точки входа в мобильные устройства, особенно пользователей криптовалюты. Одной из таких точек входа является доступ к Wi-Fi. Общественный Wi-Fi небезопасен, и пользователям следует принять меры предосторожности перед подключением к ним. В противном случае они рискуют, что киберпреступники получат доступ к данным на их мобильных устройствах. Эти меры предосторожности описаны в статье об общедоступном Wi-Fi.


Заключительные мысли

Мобильные телефоны стали неотъемлемой частью нашей жизни. Фактически, они настолько переплетены с вашей цифровой идентичностью, что могут стать вашей самой большой уязвимостью. Киберпреступники знают об этом и будут продолжать искать способы этим воспользоваться. Защита ваших мобильных устройств больше не является обязательной. Это стало необходимостью. Оставайтесь в безопасности.