Nyligen presenterades lagförslag i den amerikanska senaten som skulle ge
Commodities Futures Trading Commission (CFTC) övervakar kryptovaluta, vilket skulle behandla dem som digitala varor. Oavsett om lagförslaget blir lag, bör dock banker och finansinstitut ägna stor uppmärksamhet åt kryptovaluta,
om inte av någon annan anledning än ur ett säkerhetsperspektiv. Vissa finansiella tjänsteorganisationer säljer ju kryptovalutaprodukter, som t.ex
US Banks förvaringstjänst för kryptovaluta. Men det finns en ännu viktigare anledning för banker att bry sig om krypto. Det är uppenbart att nationalstater rör sig i riktning mot digitala valutor, och vissa har faktiskt utfärdat dem, som t.ex.
Bahamansk sanddollar. Även USA är det
på allvar väger frågan om CBDC och en digital dollar. Många av säkerhetsbristerna som kryptovalutor möter kommer också att gälla centralbanks digitala valutor (CBDC).
Konsumenter som investerar i krypto lagrar ofta sina kryptovalutor i en digital plånbok som finns som en mobilapp på sin smartphone. Cyberkriminella är väl medvetna, vilket betyder att de är frestande mål för attack. Och som vilken app som helst, det finns otaliga metoder
att attackera en kryptoplånbok, men enligt min erfarenhet av att arbeta med krypto och som säkerhetsproffs kommer att säkerställa att appen är säkrad mot dessa fem vanligaste attacker avsevärt öka skyddet för konsumenterna.
Att stjäla nycklar och lösenordsfraser
Kryptering av nycklar på applikationsnivå är ett absolut måste. Om nycklar är okrypterade i preferensområden, applikationssandlådan, SD-kortet eller i externa områden som urklipp, kommer hackare att kunna stjäla dem. En gång
de har nycklarna, de kan göra vad de vill med pengarna i plånboken.
Om den krypteras på applikationsnivå, även om själva enheten är intrång, kommer nycklarna att förbli säkra.
Dynamiska attacker på privata nycklar
Nycklarna och lösenordsfraserna till en kryptoplånbok kan också stjälas dynamiskt, vilket innebär att de på något sätt fångas upp när plånboksägaren skriver in nyckeln eller lösenordsfrasets tecken i kryptoplånbokens mobilapp. Hackare använder vanligtvis en av tre metoder
att göra detta:
-
Över-axel-attack: Historiskt sett hänvisar detta till en hacker som är fysiskt och i smyg tillräckligt nära en användare för att se dem skriva in lösenordsfrasen i kryptoplånboken. Men idag, det finns inget behov av att vara där i köttet. Skärmdumpar och skärm
inspelning kan missbrukas för detta ändamål. -
Keylogging malware: Här körs malware i bakgrunden på appen för att fånga varje tangenttryckning och skicka dem till cyberkriminella. Rooting (Android) och jailbreaking (iOS) smarttelefonen gör tangentloggning ännu enklare att utföra.
-
Överlagringsattack: I det här fallet placerar skadlig programvara en skärm, som kan se äkta ut eller kan vara genomskinlig, som lurar kryptoplånbokens ägare att ange autentiseringsuppgifter antingen i ett fält i plånboksappen eller en skadlig skärm. Skadlig programvara sänder antingen
informationen direkt till cyberkriminella eller tar över plånboken direkt för att överföra pengarna i plånboken till hackare.
Att försvara sig mot dessa hot kräver att appen upptäcker tangentloggning, överlagringar och inspelning, så den kan vidta direkta åtgärder genom att varna plånbokens ägare eller till och med stänga av appen helt.
Skadlig instrumentering
Säkerheten för en mobil plånbok beror på integriteten hos plattformen som kör den, för om enheten är rotad eller jailbroken, eller om hackare missbrukar utvecklingsverktyg som Frida, kan de få tillgång till blockchain-adressen för klientappen. De
kan till och med imitera appen för att göra transaktioner på egen hand. Mobila kryptoplånboksappar måste kunna berätta när de arbetar i en rootad eller jailbroken miljö så att de kan stängas av för att skydda användaren om det behövs. De måste också kunna
att blockera Magisk, Frida och andra dynamiska analys- och instrumenteringsverktyg som kan missbrukas för att äventyra kritiska funktioners integritet.
Lika viktigt är det att utvecklare bör fördunkla appens kod så att hackare kommer att ha mycket svårare att omvända appens inre funktioner och logik.
Man-in-the-Middle (MitM) -attacker
Många kryptoplånböcker är en del av börser som kan vara decentraliserade eller centraliserade. Oavsett vilket är kommunikationen öppen för MitM-attacker när appen kommunicerar med en server eller under peer-to-peer-transaktioner. Data under överföring bör skyddas med
AES-256-kryptering och säker socket layer (SSL) / transportlagersäkerhet (TLS) måste tillämpas strikt för all kommunikation.
emulatorer
Hackare kan också göra modifierade versioner av kryptoplånboksappar. De kan också använda dessa modifierade appar med simulatorer och emulatorer för att skapa bedrägliga konton, göra bedrägliga affärer och överföra kryptovaluta.
Självskyddsmetoder vid körning av applikationer (RASP), och specifikt anti-manipulation, anti-debugging och emulatordetektering, är nyckeln till att motverka den här typen av attacker.
Även för finansiella institutioner som inte är involverade i någon form av kryptovalutatjänster är det viktigt att lära sig av säkerhetsutmaningarna som användare står inför, särskilt när det kommer till kryptoplånböcker. Den "digitala dollarn" kanske inte är så långt borta som vi tror,
och de institutioner som är beredda att tillhandahålla säkra mobila plånböcker av CBDC kommer att ha en betydande konkurrensfördel.
- myra finansiellt
- blockchain
- blockchain konferens fintech
- chime fintech
- coinbase
- coingenius
- kryptokonferens fintech
- fintech
- fintech-app
- fintech-innovation
- Fintextra
- OpenSea
- PayPal
- paytech
- payway
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Revolut
- Ripple
- fyrkantig fintech
- rand
- tencent fintech
- Xero
- zephyrnet
