Το Phishing Attack και πώς μαστίζει την ασφάλεια του blockchain

• Οι επιθέσεις phishing προηγούνται των εποχών Web3 και Web2. Οι ειδικοί πιστεύουν ότι η πρώτη ακριβής τεκμηρίωση της επίθεσης σημειώθηκε στα μέσα της δεκαετίας του '90
• Τον Νοέμβριο του 2021, ένας προγραμματιστής πρωτοκόλλων bZx έπεσε θύμα επίθεσης phishing κατά την οποία ο χάκερ απέκτησε διάφορα ιδιωτικά κλειδιά που είναι ζωτικής σημασίας για τα πρωτόκολλα bZx
• Πρώτον, η υπόθεση είναι ένας κρίσιμος παράγοντας στον οποίο βασίζονται οι περισσότερες επιθέσεις phishing. Η απλή υπόθεση ότι το email που ελήφθη ήταν νόμιμο χωρίς περαιτέρω έλεγχο οδήγησε στον χάκερ να αποκτήσει πρόσβαση στον προσωπικό υπολογιστή

Τα κρυπτονομίσματα, το NFT, το Blockchain και άλλα στοιχεία Ιστού έχουν αναπτυχθεί ραγδαία την τελευταία δεκαετία. Λαμβάνοντας υπόψη το κρυπτονόμισμα, όλοι αρχικά νόμιζαν ότι ήταν ένα αστείο, μια εκπομπή 1 λεπτού. Τελικά, όλα θα επέστρεφαν στο φυσιολογικό, αν και δεν έγινε.

Το Crypto έχει αναπτυχθεί σε σημείο όπου μεγάλοι οργανισμοί όπως π.χ Google και Amazon σχεδιάζουν να το ενσωματώσουν στο σύστημα πληρωμών τους. Αυτά και άλλα άρθρα ασφάλειας blockchain έχουν αγγίξει τις πτυχές που μαστίζουν την ασφάλεια των κρυπτογράφησης. Αυτοί οι παράγοντες τείνουν να πηγάζουν από δύο βασικά σημεία: το blockchain είναι ακόμα σχετικά νέο. Ως εκ τούτου, εξακολουθεί να περιέχει διάφορα ελαττώματα και σφάλματα μηδενικής ημέρας. 

Το άλλο και πιο σημαντικό είναι το ανθρώπινο λάθος, το οποίο είναι μια κατηγορία που ταξινομεί αυτούς που απλώς στερούνται γνώσης σε εκείνους που υπονομεύουν σκόπιμα τη δύναμη των κρυπτογραφικών απατών και των hacks. Ακολουθεί μια άλλη ματιά σε μια ευπάθεια blockchain που ευδοκιμεί στο ανθρώπινο λάθος και απλώς στερείται γνώσης: Επιθέσεις phishing.

Αυτά τα άρθρα εξυπηρετούν τον σκοπό της εκπαίδευσης, επομένως κάθε προσπάθεια προσπάθειας και εφαρμογής οποιουδήποτε μηχανισμού παραβίασης θα θεωρηθεί υπεύθυνη για τις ενέργειές τους.

Τι είναι οι επιθέσεις Phishing;

Οι επιθέσεις phishing προηγούνται του Web3 και οι ειδικοί της εποχής Web2 πιστεύουν ότι η πρώτη ακριβής τεκμηρίωση της επίθεσης σημειώθηκε στα μέσα της δεκαετίας του '90. Μια επίθεση phishing υποδύεται απλώς μια νόμιμη εταιρεία, υπηρεσία ή άτομο για να αποκτήσει ζωτικές πληροφορίες, όπως διαπιστευτήρια σύνδεσης ή ευαίσθητα δεδομένα. 

Σε λαϊκή γλώσσα, προσπαθεί κυρίως να εξαπατήσει ένα ανυποψίαστο θύμα χρημάτων. Με τα χρόνια, η πολυπλοκότητα της επίθεσης αυξήθηκε αλλά αργότερα μειώθηκε καθώς η Web2 ανέπτυξε αντίμετρα. Με τη δημιουργία του Web3, οι χάκερ βρήκαν μια νέα πλατφόρμα για τη διεξαγωγή διαφόρων βλαβερών δραστηριοτήτων, συμπεριλαμβανομένων των επιθέσεων phishing.

Επίσης, διαβάστε Συνήθεις απάτες κρυπτονομισμάτων που πρέπει να προσέξετε το 2022.

Καθώς τα κρυπτονομίσματα μεγάλωναν, αυξανόταν και η ανάγκη για πιο εξελιγμένη ασφάλεια blockchain και ασφάλεια κρυπτογράφησης, αλλά ακόμη και με τα τρέχοντα αντίμετρα ο περιορισμός των επιθέσεων phishing αποδείχτηκε δυσκίνητος κυρίως λόγω των επιθέσεων phishing που ευδοκιμούσαν στο ανθρώπινο λάθος.

Στοχεύοντας απευθείας στον πελάτη ή χρήστη o αποκτήστε πρόσβαση εξαπατώντας τον ώστε να παραιτηθεί από τα διαπιστευτήριά του. Για όσους γνωρίζουν, αυτές οι επιθέσεις συμβαίνουν πιο συχνά από ό, τι όχι, και με τη νέα ανατολή του ηλίου που ακτινοβολεί από το Web3, έχει υποφέρει πολύ από τα χέρια απατεώνων κρυπτών και χάκερ.

Χρήση-Περίπτωση επιθέσεων phishing.

Για να κατανοήσει και να διασφαλίσει την ασφάλεια του blockchain, πρέπει πρώτα να μάθει από τις ανασφάλειες των διαφόρων συστημάτων και τον τρόπο με τον οποίο εμφανίζονται. Παρακάτω είναι δύο που δείχνουν μια παραβίαση στην ασφάλεια κρυπτογράφησης και οργανώσεις και χρήστες έχασαν εκατομμύρια.

Χακ κρυπτογράφησης BZX

Η εταιρεία κρυπτογράφησης bZx υπέφερε ασυνήθιστα πολύ από τα χέρια ενός χάκερ που έκλεψε εκατομμύρια σε διάφορα κρυπτονομίσματα.

Τον Νοέμβριο του 2021, α Προγραμματιστής πρωτοκόλλου bZx έπεσε θύμα μιας επίθεσης phishing κατά την οποία ο χάκερ απέκτησε διάφορα ιδιωτικά κλειδιά καθοριστικής σημασίας για τα πρωτόκολλα bZx. Οπλισμένος με αυτά τα εργαλεία, ο χάκερ θα μπορούσε να αποστραγγίσει κρυπτονομίσματα αξίας 55 εκατομμυρίων δολαρίων. Σύμφωνα με ειδικούς σε θέματα ασφάλειας, η επίθεση ήταν επιτυχής καθώς, εκείνη την εποχή, το μόνο αποκεντρωμένο λειτουργικό χαρακτηριστικό ήταν το Ethereum.

Ο χάκερ απέκτησε τα ιδιωτικά κλειδιά μεταμφιεσμένος σε νόμιμη οντότητα. Ο προγραμματιστής του blockchain στην ισοπαλία δεν γνώριζε αυτήν την εξέλιξη και έδωσε στον χάκερ τα επιθυμητά ιδιωτικά κλειδιά.

Σύμφωνα με το bZx, το email που στάλθηκε στους προγραμματιστές του είχε μια κακόβουλη μακροεντολή σε ένα έγγραφο του Word που, όταν μεταμφιέστηκε ως νόμιμο συνημμένο email. Αυτός ο κωδικός έτρεξε ένα κακόβουλο σενάριο στις ληφθείσες συσκευές, θέτοντας σε κίνδυνο το μνημονικό πορτοφόλι του.

Απάτη Google ad Crypto

Συνήθως οι επιθέσεις phishing αποδίδονται σε μηνύματα ηλεκτρονικού ταχυδρομείου ή σε ολόκληρο τον ιστότοπο, αλλά λίγοι σκέφτονται έξω από το πλαίσιο. Με την πολυπλοκότητα της ασφάλειας blockchain, μια ομάδα χάκερ αποφάσισε να πραγματοποιήσει μια επίθεση phishing χρησιμοποιώντας Διαφημίσεις Google.

Σύμφωνα με ειδικούς, οι δράστες αγόρασαν τοποθέτηση στο Google Ads για τον δόλιο ιστότοπό τους που πλαστοπροσωπούσε δημοφιλή πορτοφόλια όπως π.χ. PhantomApp και MetaMask. Εφάρμοσαν επίσης τις μεθόδους τους στις διευθύνσεις URL αυτών των ψεύτικων ιστότοπων για να αξιοποιήσουν το ανθρώπινο λάθος και την αμέλεια. 

Μόλις ένα θύμα έκανε κλικ στον ιστότοπο, έκλεβε τη φράση πρόσβασής του. Εάν το θύμα δημιουργήσει νέο λογαριασμό, τοποθετεί διάφορους μηχανισμούς για να εξασφαλίσει ότι θα εμφανιστεί η αναφορά. Αν και τυχόν συναλλαγές που πραγματοποιηθούν θα πήγαιναν απευθείας στους απατεώνες. Μέχρι να παρατηρήσει κανείς τι συνέβαινε, οι απατεώνες τράπηκαν σε φυγή με κρυπτονομίσματα αξίας άνω των 500,000 δολαρίων. Οι απατεώνες κρυπτογράφησης συγκέντρωσαν αυτό το ποσό μόνο από τις δύο πρώτες ημέρες.

Επίσης, διαβάστε Τα τρωτά σημεία ασφάλειας NFT μαστίζουν την αγορά NFT.

Γιατί οι επιθέσεις phishing είναι δύσκολο να αντιμετωπιστούν.

Δύο κρίσιμες πτυχές από το παραπάνω σενάριο. Πρώτον, η υπόθεση είναι ένας κρίσιμος παράγοντας στον οποίο βασίζονται οι περισσότερες επιθέσεις phishing. Η απλή υπόθεση ότι το email που ελήφθη ήταν νόμιμο χωρίς περαιτέρω έλεγχο, οδήγησε στον χάκερ να αποκτήσει πρόσβαση στον προσωπικό υπολογιστή. 

Είναι η ανθρώπινη φύση να αγνοεί τις εγκόσμιες δραστηριότητες. Το ανθρώπινο μυαλό τείνει να φιλτράρει τις διαδικασίες που έχει κάνει χίλιες φορές, και οι απάτες κρυπτογράφησης καλύπτουν ένα τέτοιο ελάττωμα. Μερικοί χάκερ κρυπτογράφησης τείνουν να αποφεύγουν να ασχολούνται με παραμέτρους ασφάλειας του blockchain και ως εκ τούτου να καταδιώκουν άτομα εντός του δικτύου. 

Τις περισσότερες φορές, τα άτομα δεν φταίνε, καθώς κάποιοι πρέπει πραγματικά να καταλάβουν πού να κοιτάξουν ή πώς να εντοπίσουν τη διαφορά. Η δεύτερη πτυχή αφορά κυρίως την ανθρώπινη άγνοια των πρακτικών ασφάλειας κρυπτογράφησης. 

Οποιοσδήποτε αναλυτής ασφάλειας στον κυβερνοχώρο ή το blockchain θα σας προειδοποιεί πάντα ότι κάνετε κλικ σε ασυνήθιστους ιστότοπους. Οι χάκερ κρυπτογράφησης τείνουν να μιμούνται ιστότοπους, αλλά στο Web2, κανένας ιστότοπος δεν μπορεί να έχει ταυτόσημες διευθύνσεις URL. Ως εκ τούτου, οι χάκερ μπορούν απλώς να πλαστογραφήσουν αλλά όχι να αντιγράψουν. Δυστυχώς, διάφορα άτομα θα χρειαστεί να μάθουν τη διαφορά.

Επίσης, Διαβάστε για Η πρόσφατη ύφεση των κρυπτονομισμάτων και τα σκληρά μαθήματα για την επιμέλεια και τον έλεγχο.

Συμπέρασμα

Οι επιθέσεις phishing θα συνεχιστούν καθώς ο πρωταρχικός τους στόχος είναι το ανθρώπινο λάθος. Έτσι, καθώς εμφανίζονται περισσότερες ιδέες, εφευρέσεις και ιστότοποι, οι απατεώνες θα φαίνεται πάντα να εκμεταλλεύονται την αφέλειά τους. Τα μέτρα ασφαλείας του blockchain μπορούν να φτάσουν τόσο μακριά μόνο χωρίς τη βοήθεια των χρηστών του, καθώς η ισχύς οποιουδήποτε συστήματος εξαρτάται από τον πιο αδύναμο κρίκο του.