התקפת פישינג וכיצד היא פוגעת באבטחת הבלוקצ'יין

• התקפות דיוג קדמו לעידן Web3 ו-Web2. מומחים מאמינים כי התיעוד המדויק הראשון של המתקפה התרחש באמצע שנות ה-90
• בנובמבר 2021, מפתח פרוטוקול bZx נפל קורבן למתקפת פישינג שבה ההאקר רכש מפתחות פרטיים שונים החיוניים לפרוטוקולי bZx
• ראשית, ההנחה היא גורם מכריע שרוב התקפות הדיוג תלויות בו. עצם ההנחה שהמייל שהתקבל היה לגיטימי ללא בדיקה נוספת הוביל להאקר גישה למחשב האישי

מטבעות קריפטו, NFT, בלוקצ'יין ורכיבי אינטרנט אחרים צמחו במהירות במהלך העשור האחרון. בהתחשב במטבעות קריפטוגרפיים, כולם חשבו תחילה שזו בדיחה, מופע של דקה. בסופו של דבר, הכל יחזור לקדמותו, למרות שלא.

Crypto גדל לנקודה שבה ארגונים גדולים כגון Google ו אמזון בעברית מתכננים לשלב אותו במערכת התשלומים שלהם. מאמרי אבטחת בלוקצ'יין אלו ואחרים נגעו בהיבטים הפוגעים בבטיחות הקריפטו. גורמים אלה נובעים משתי נקודות מפתח: בלוקצ'יין עדיין חדש יחסית. מכאן שהוא עדיין מכיל פגמים שונים ושגיאות של יום אפס. 

השני והבולט יותר הוא טעות אנוש שהיא קטגוריה שמסווגת את אלה שרק חסר להם את הידע לאלו שפוגעים בכוונה בכוחן של הונאות ופריצות קריפטו. הנה מבט נוסף על פגיעות בלוקצ'יין המשגשגת על טעויות אנוש ופשוט חסרה ידע: התקפות פישינג.

מאמרים אלו משרתים את המטרה של חינוך, ולכן כל ניסיון לנסות וליישם כל מנגנון הפרה יישא באחריות למעשיהם.

מהן התקפות פישינג?

התקפות דיוג קדמו ל-Web3, ומומחי עידן Web2 מאמינים שהתיעוד המדויק הראשון של המתקפה התרחש באמצע שנות ה-90. התקפת פישינג היא רק התחזה לחברה, שירות או אדם לגיטימיים כדי לרכוש מידע חיוני כגון אישורי התחברות או נתונים רגישים. 

בשפת הדיוט, היא מנסה בעיקר להונות קורבן תמימים בכסף. במהלך השנים, התחכום של המתקפה גדל אך מאוחר יותר ירד כאשר Web2 פיתחה אמצעי נגד. עם יצירת Web3, האקרים מצאו פלטפורמה חדשה לביצוע פעילויות מרושעות שונות, כולל התקפות דיוג.

כמו כן, קרא הונאות נפוצות של מטבעות קריפטוגרפיים שכדאי להיזהר מהם בשנת 2022.

ככל שהמטבעות הקריפטוגרפיים גדלו, כך גם גדל הצורך באבטחת בלוקצ'יין ובבטיחות קריפטו מתוחכמים יותר, אך גם עם אמצעי הנגד הנוכחיים, ריסון התקפות דיוג התברר כמסורבל בעיקר בשל התקפות דיוג המשגשגות על רקע טעויות אנוש.

על ידי הכוונה ישירה ללקוח או למשתמש או להשיג גישה על ידי הטעייתם לוותר על האישורים שלהם. למי שמודע, התקפות אלו מתרחשות לעתים קרובות יותר מאשר לא, ועם הזריחה החדשה שקורנת מ-Web3, היא סבלה מאוד מידי הונאות קריפטה והאקרים.

שימוש-מקרה של התקפות דיוג.

כדי לתפוס ולהבטיח אבטחת בלוקצ'יין, יש ללמוד תחילה מחוסר הביטחון של מערכות שונות וכיצד הם מתרחשים. להלן שניים המציגים פריצה בבטיחות הקריפטו וארגונים ומשתמשים הפסידו מיליון.

פריצת קריפטו BZX

חברת הקריפטו bZx סבלה ללא טקס מאוד מידי האקר שגנב מיליונים במטבעות קריפטו שונים.

בחודש נובמבר 2021, א מפתח פרוטוקול bZx נפל קורבן למתקפת פישינג שבה ההאקר רכש מפתחות פרטיים שונים החיוניים לפרוטוקולי bZx. חמוש בכלים אלה, ההאקר יכול לנקז מטבעות קריפטו בשווי 55 מיליון דולר. לדברי מומחי אבטחה, המתקפה הצליחה מכיוון שבאותה עת התכונה המבצעית המבוזרת היחידה הייתה Ethereum.

ההאקר רכש את המפתחות הפרטיים על ידי התחזה לישות לגיטימית. מפתח הבלוקצ'יין בקשר לא היה מודע להתפתחות זו ונתן להאקר את המפתחות הפרטיים הרצויים.

לפי bZx, האימייל שנשלח למפתחים שלו היה בעל מאקרו זדוני במסמך Word שכאשר הוא מוסווה כקובץ מצורף לגיטימי לאימייל. הקוד הזה הפעיל סקריפט זדוני במכשירים שהתקבלו, ופגע בארנק האמנמון שלו.

הונאה של Google Ad Crypto

בדרך כלל התקפות דיוג מיוחסות למיילים או לאתר כולו, אך מעטים חושבים מחוץ לקופסה. עם התחכום של אבטחת הבלוקצ'יין, קבוצת האקרים החליטה לבצע מתקפת פישינג באמצעות Google Ads.

לדברי מומחים, העבריינים רכשו מיקום ב-Google Ads עבור אתר האינטרנט המזויף שלהם שהתחזה לארנקים פופולריים כגון PhantomApp ו מטאמאסק. הם גם יישמו את השיטות שלהם על כתובות האתרים המזויפים הללו כדי להפיק תועלת מטעויות אנוש ורשלנות. 

ברגע שקורבן לחץ על האתר, הוא היה גונב את משפט הסיסמה שלו. אם הקורבן יוצר חשבון חדש, הם מציבים מנגנונים שונים כדי להבטיח שהדוח יופיע. למרות שכל עסקאות שיתרחשו יעברו ישירות לרמאים. עד שמישהו הבחין במתרחש, הרמאים ברחו עם מטבעות קריפטוגרפיים בשווי של למעלה מ-500,000 דולר. נוכלי הקריפטו אספו את הסכום הזה מהיומיים הראשונים בלבד.

כמו כן, קרא פרצות אבטחת NFT שמציקות לשוק NFT.

מדוע קשה להתמודד עם התקפות פישינג.

שני היבטים קריטיים מהתרחיש לעיל; ראשית, ההנחה היא גורם מכריע שרוב התקפות הדיוג תלויות בו. עצם ההנחה שהמייל שהתקבל היה לגיטימי ללא בדיקה נוספת הובילה להאקר גישה למחשב האישי. 

טבע האדם הוא להתעלם מפעילויות ארציות. המוח האנושי נוטה לסנן את התהליכים שהוא עשה אלף פעמים, והונאות קריפטו מתבססות על פגם כזה. חלק מהאקרי קריפטו נוטים להימנע מלהתמודד עם פרמטרי אבטחת בלוקצ'יין ולפיכך רודפים אחרי אנשים בתוך הרשת. 

רוב הזמן, אנשים אינם אשמים מכיוון שחלקם באמת צריכים להבין היכן לחפש או כיצד לזהות את ההבדל. ההיבט השני צולל בעיקר לבורות אנושית לגבי נוהלי בטיחות קריפטו. 

כל מנתח אבטחת סייבר או בלוקצ'יין תמיד יזהיר אותך מלחיצה על אתרים חריגים. האקרים של קריפטו נוטים לחקות אתרי אינטרנט, אך ב-Web2, אין שני אתרים שיכולים להיות בעלי כתובות URL זהות. מכאן שהאקרים יכולים רק לזייף אבל לא לשכפל. למרבה הצער, אנשים שונים יצטרכו ללמוד את ההבדל.

כמו כן, קרא על השפל הקריפטו האחרון והשיעורים הקשים על משמורת ושליטה.

סיכום

התקפות פישינג יימשכו מכיוון שהמטרה העיקרית שלהן היא טעות אנוש. לפיכך ככל שיופיעו יותר רעיונות, המצאות ואתרי אינטרנט, הרמאים תמיד ייראו כמנצלים את הנאיביות שלהם. אמצעי אבטחה בלוקצ'יין יכולים להגיע עד כה רק ללא עזרת המשתמשים שלו, שכן חוזקה של כל מערכת תלוי בחוליה החלשה ביותר שלה.