حمله فیشینگ و چگونگی آسیب رساندن به امنیت بلاک چین

• حملات فیشینگ قبل از دوره Web3 و Web2 انجام شده است. کارشناسان معتقدند که اولین مستندات دقیق این حمله در اواسط دهه 90 رخ داده است
• در نوامبر 2021، یک توسعه‌دهنده پروتکل bZx قربانی یک حمله فیشینگ شد که در آن هکر کلیدهای خصوصی مختلفی را که برای پروتکل‌های bZx حیاتی هستند به دست آورد.
• اولاً، این فرض عامل مهمی است که بیشتر حملات فیشینگ به آن وابسته است. صرفاً فرض اینکه ایمیل دریافتی مشروع بوده و بدون بررسی بیشتر، منجر به دسترسی هکر به رایانه شخصی شده است.

ارزهای دیجیتال، NFT، بلاک چین و سایر عناصر وب در دهه گذشته به سرعت رشد کرده اند. با در نظر گرفتن ارز دیجیتال، همه ابتدا فکر کردند که این یک شوخی است، یک نمایش 1 دقیقه ای. در نهایت، همه چیز به حالت عادی باز می گردد، اگرچه اینطور نشد.

Crypto به حدی رشد کرده است که سازمان های بزرگ مانند گوگل و آمازون قصد دارند آن را در سیستم پرداخت خود بگنجانند. این مقالات و سایر مقالات امنیتی بلاک چین جنبه هایی را که امنیت کریپتوها را آزار می دهد، لمس کرده اند. این عوامل از دو نکته کلیدی سرچشمه می گیرند: بلاک چین هنوز نسبتاً جدید است. از این رو همچنان حاوی نقص های مختلف و خطاهای روز صفر است. 

مورد دیگر و برجسته‌تر خطای انسانی است که دسته‌ای است که افرادی را که صرفاً دانش کافی ندارند به کسانی که عمداً قدرت کلاهبرداری‌ها و هک‌های رمزنگاری را تضعیف می‌کنند، طبقه‌بندی می‌کند. در اینجا نگاهی دیگر به آسیب‌پذیری بلاک‌چین است که به دلیل خطای انسانی رشد می‌کند و صرفاً فاقد دانش است: حملات فیشینگ.

این مقالات در خدمت آموزش هستند، بنابراین هرگونه تلاش برای تلاش و اجرای هر گونه مکانیسم نقض مسئول اقدامات آنها خواهد بود.

حملات فیشینگ چیست؟

حملات فیشینگ قبل از Web3 بوده و کارشناسان دوره Web2 معتقدند که اولین مستندات دقیق این حمله در اواسط دهه 90 رخ داده است. حمله فیشینگ صرفاً به عنوان یک شرکت، خدمات یا فرد قانونی برای به دست آوردن اطلاعات حیاتی مانند اعتبار ورود یا داده های حساس است. 

به زبان عامیانه، عمدتاً سعی می‌کند از یک قربانی ناآگاه پول کلاهبرداری کند. با گذشت سالها، پیچیدگی این حمله افزایش یافت اما بعداً با توسعه اقدامات متقابل Web2 کاهش یافت. با ایجاد Web3، هکرها یک پلتفرم جدید برای انجام فعالیت های شرورانه مختلف از جمله حملات فیشینگ پیدا کردند.

همچنین ، بخوانید کلاهبرداری های رایج ارزهای دیجیتال که باید در سال 2022 مراقب آنها باشید.

با رشد ارزهای دیجیتال، نیاز به امنیت پیچیده‌تر در بلاک چین و امنیت رمزنگاری‌ها نیز افزایش یافت، اما حتی با اقدامات متقابل فعلی، مهار حملات فیشینگ، عمدتاً به دلیل حملات فیشینگ ناشی از خطای انسانی، دست و پا گیر بود.

با هدف قرار دادن مستقیم مشتری یا کاربر، با فریب دادن آنها برای واگذاری اعتبار خود، به آنها دسترسی پیدا کنید. برای کسانی که آگاه هستند، این حملات اغلب اتفاق می‌افتد، و با طلوع آفتاب جدید که از Web3 تابش می‌کند، آسیب زیادی به دست کلاهبرداران و هکرها متحمل شده است.

مورد استفاده از حملات فیشینگ.

برای درک و اطمینان از امنیت بلاک چین، ابتدا باید از ناامنی های سیستم های مختلف و نحوه وقوع آنها درس گرفت. در زیر دو مورد از نقض امنیت کریپتو و سازمان‌ها و کاربران میلیون‌ها نفر را نشان می‌دهند.

هک کریپتو BZX

شرکت رمزنگاری bZx به طور غیر رسمی از دست هکری که میلیون‌ها سکه رمزنگاری مختلف را سرقت کرده بود، آسیب زیادی دید.

در ماه نوامبر 2021، a توسعه دهنده پروتکل bZx قربانی یک حمله فیشینگ شد که در آن هکر کلیدهای خصوصی مختلفی را که برای پروتکل‌های bZx حیاتی هستند به دست آورد. با استفاده از این ابزارها، هکر می‌تواند سکه‌های کریپتو به ارزش ۵۵ میلیون دلار را تخلیه کند. به گفته کارشناسان امنیتی، این حمله موفقیت آمیز بود زیرا در آن زمان تنها ویژگی عملیاتی غیرمتمرکز اتریوم بود.

هکر کلیدهای خصوصی را با ظاهر شدن به عنوان یک موجودیت قانونی به دست آورد. توسعه دهنده بلاک چین در کراوات از این توسعه بی اطلاع بود و کلیدهای خصوصی مورد نظر را به هکر داد.

به گفته bZx، ایمیل ارسال شده به توسعه دهندگان آن دارای یک ماکرو مخرب در یک سند Word بود که وقتی به عنوان یک پیوست ایمیل قانونی پنهان می شد. این کد یک اسکریپت مخرب را روی دستگاه‌های دریافتی اجرا می‌کند و کیف پول حافظه‌ای او را به خطر می‌اندازد.

کلاهبرداری در تبلیغات کریپتو گوگل

معمولاً حملات فیشینگ به ایمیل‌ها یا کل وب‌سایت نسبت داده می‌شود، اما تعداد کمی از آنها خارج از چارچوب فکر می‌کنند. با پیچیدگی امنیت بلاک چین، گروهی از هکرها تصمیم گرفتند با استفاده از یک حمله فیشینگ انجام دهند. Google Ads.

به گفته کارشناسان، مجرمان برای وب سایت کلاهبرداری خود که جعل کیف پول های محبوبی بود، جایگاه Google Ads را خریداری کردند. فانتوم اپ و MetaMask. آنها همچنین روش‌های خود را بر روی آدرس‌های اینترنتی این سایت‌های جعلی اعمال کردند تا از خطای انسانی و سهل‌انگاری استفاده کنند. 

هنگامی که قربانی روی سایت کلیک می کرد، عبارت عبور خود را می دزدید. اگر قربانی یک حساب کاربری جدید ایجاد کند، مکانیسم های مختلفی را برای اطمینان از ظاهر شدن گزارش قرار می دهد. اگرچه هر معامله ای که رخ دهد مستقیماً به کلاهبرداران می رود. زمانی که هر کسی متوجه ماجرا شد، کلاهبرداران با بیش از 500,000 دلار ارز دیجیتال فرار کردند. کلاهبرداران رمزارز فقط از دو روز اول این مبلغ را جمع آوری کردند.

همچنین ، بخوانید آسیب‌پذیری‌های امنیتی NFT بازار NFT را آزار می‌دهد.

چرا مقابله با حملات فیشینگ سخت است.

دو جنبه مهم از سناریوی فوق؛ اولاً، این فرض عامل مهمی است که بیشتر حملات فیشینگ به آن وابسته است. صرفاً فرض اینکه ایمیل دریافتی مشروع و بدون بررسی بیشتر باشد، منجر به دسترسی هکر به رایانه شخصی شد. 

این طبیعت انسان است که فعالیت های روزمره را نادیده بگیرد. ذهن انسان تمایل دارد فرآیندهایی را که هزاران بار انجام داده است فیلتر کند، و کلاهبرداری های رمزنگاری بر روی چنین نقصی بانک می شود. برخی از هکرهای رمزنگاری تمایل دارند از برخورد با پارامترهای امنیتی بلاک چین اجتناب کنند و از این رو افراد درون شبکه را دنبال می کنند. 

در بیشتر مواقع، افراد مقصر نیستند، زیرا برخی واقعاً باید دریابند که کجا را ببینند یا چگونه تفاوت را تشخیص دهند. جنبه دوم عمدتاً به ناآگاهی انسان از شیوه‌های ایمنی کریپتو می‌پردازد. 

هر تحلیلگر امنیت سایبری یا بلاک چین همیشه به شما در مورد کلیک کردن بر روی سایت های غیر معمول هشدار می دهد. هکرهای رمزنگاری تمایل به تقلید از وب سایت ها دارند، اما در Web2، هیچ دو سایتی نمی توانند URL های یکسان داشته باشند. از این رو هکرها فقط می توانند جعل کنند اما نمی توانند تکراری کنند. متأسفانه، افراد مختلف باید تفاوت را بیاموزند.

همچنین ، در مورد بخوانید رکود اخیر کریپتو و درس های سخت در مورد نگهداری و کنترل.

نتیجه

حملات فیشینگ ادامه خواهند داشت زیرا هدف اصلی آنها خطای انسانی است. بنابراین با ظهور ایده‌ها، اختراعات و وب‌سایت‌های بیشتر، به نظر می‌رسد که کلاهبرداران همیشه از ساده لوحی آنها سوء استفاده می‌کنند. اقدامات امنیتی بلاک چین تنها می تواند بدون کمک کاربران آن پیش برود زیرا قدرت هر سیستمی به ضعیف ترین حلقه آن بستگی دارد.