Gần đây, các dự luật đã được giới thiệu tại Thượng viện Hoa Kỳ sẽ cung cấp
Ủy ban giao dịch hàng hóa tương lai (CFTC) giám sát tiền điện tử, sẽ coi chúng là hàng hóa kỹ thuật số. Tuy nhiên, bất kể dự luật có trở thành luật hay không, các ngân hàng và tổ chức tài chính nên hết sức chú ý đến tiền điện tử,
nếu không vì lý do nào khác ngoài góc độ bảo mật. Rốt cuộc, một số tổ chức dịch vụ tài chính đang bán các sản phẩm tiền điện tử, chẳng hạn như
Dịch vụ lưu ký tiền điện tử của Ngân hàng Hoa Kỳ. Nhưng có một lý do thậm chí còn quan trọng hơn để các ngân hàng quan tâm đến tiền điện tử. Rõ ràng là các quốc gia đang đi theo hướng tiền kỹ thuật số, với một số đã thực sự phát hành chúng, chẳng hạn như
Đô la cát Bahamian. Ngay cả Hoa Kỳ cũng
cân nhắc nghiêm túc vấn đề CBDC và đồng đô la kỹ thuật số. Nhiều lỗ hổng bảo mật mà tiền điện tử gặp phải cũng sẽ liên quan đến các loại tiền kỹ thuật số của ngân hàng trung ương (CBDC).
Người tiêu dùng đầu tư vào tiền điện tử thường lưu trữ tiền điện tử của họ trong ví kỹ thuật số tồn tại dưới dạng ứng dụng di động trên điện thoại thông minh của họ. Tội phạm mạng nhận thức rõ, điều đó có nghĩa là chúng là mục tiêu tấn công hấp dẫn. Và, giống như bất kỳ ứng dụng nào, có vô số phương pháp
để tấn công ví tiền điện tử, nhưng theo kinh nghiệm của tôi khi làm việc với tiền điện tử và với tư cách là một chuyên gia bảo mật, việc đảm bảo ứng dụng được bảo mật trước năm cuộc tấn công phổ biến nhất này sẽ tăng đáng kể khả năng bảo vệ cho người tiêu dùng.
Đánh cắp chìa khóa và cụm mật khẩu
Mã hóa các khóa ở cấp ứng dụng là điều bắt buộc phải có. Nếu các khóa không được mã hóa trong các khu vực ưu tiên, hộp cát ứng dụng, thẻ SD hoặc ở các khu vực bên ngoài như khay nhớ tạm, tin tặc sẽ có thể đánh cắp chúng. Một lần
họ có chìa khóa, họ có thể làm những gì họ thích với số tiền trong ví.
Nếu được mã hóa ở cấp ứng dụng, ngay cả khi thiết bị bị xâm phạm, các khóa sẽ vẫn an toàn.
Tấn công động vào khóa riêng
Các khóa và cụm từ chuyển đến ví tiền điện tử cũng có thể bị đánh cắp động, nghĩa là bằng cách nào đó chúng bị chặn khi chủ sở hữu ví nhập khóa hoặc ký tự cụm từ chuyển vào ứng dụng di động ví tiền điện tử. Tin tặc thường sử dụng một trong ba phương pháp
để làm điều này:
-
Tấn công qua vai: Trong lịch sử, điều này đề cập đến một tin tặc ở đủ gần về mặt vật lý và lén lút với người dùng để thấy họ nhập cụm từ mật khẩu vào ví tiền điện tử. Nhưng ngày nay, không cần phải ở đó bằng xương bằng thịt. Ảnh chụp màn hình và màn hình
ghi âm có thể bị lạm dụng cho mục đích này. -
Phần mềm độc hại ghi bàn phím: Tại đây, phần mềm độc hại chạy trong nền trên ứng dụng để nắm bắt mọi thao tác gõ phím và gửi chúng cho tội phạm mạng. Root (Android) và bẻ khóa (iOS) điện thoại thông minh giúp việc ghi bàn phím trở nên dễ dàng hơn.
-
Tấn công lớp phủ: Trong trường hợp này, phần mềm độc hại đặt một màn hình, có thể trông thật hoặc có thể trong suốt, lừa chủ sở hữu ví tiền điện tử nhập thông tin đăng nhập vào một trường bên trong ứng dụng ví hoặc màn hình độc hại. Phần mềm độc hại hoặc truyền
thông tin trực tiếp cho tội phạm mạng hoặc trực tiếp chiếm lấy ví để chuyển tiền trong ví cho tin tặc.
Bảo vệ chống lại các mối đe dọa này yêu cầu ứng dụng phát hiện keylogging, overlay và ghi âm, do đó, ứng dụng có thể thực hiện hành động trực tiếp bằng cách cảnh báo chủ sở hữu của ví hoặc thậm chí tắt hoàn toàn ứng dụng.
Dụng cụ độc hại
Tính bảo mật của ví di động phụ thuộc vào tính toàn vẹn của nền tảng chạy nó, bởi vì nếu thiết bị đã được root hoặc bẻ khóa hoặc nếu tin tặc lạm dụng các công cụ phát triển như Frida, chúng có thể có quyền truy cập vào địa chỉ chuỗi khối của ứng dụng khách. Họ
thậm chí có thể mạo danh ứng dụng để tự mình thực hiện giao dịch. Các ứng dụng ví tiền điện tử trên thiết bị di động phải có khả năng biết khi nào chúng đang hoạt động trong môi trường đã được root hoặc đã bẻ khóa để chúng có thể tắt, nếu được yêu cầu, để bảo vệ người dùng. Họ cũng phải có khả năng
để chặn Magisk, Frida và các công cụ thiết bị và phân tích động khác có thể bị lạm dụng để làm tổn hại đến tính toàn vẹn của các chức năng quan trọng.
Điều quan trọng không kém là các nhà phát triển nên làm xáo trộn mã của ứng dụng để tin tặc sẽ gặp khó khăn hơn nhiều trong việc đảo ngược kỹ thuật hoạt động bên trong và logic của ứng dụng.
Tấn công trung gian (MitM)
Nhiều ví tiền điện tử là một phần của các sàn giao dịch có thể được phân cấp hoặc tập trung. Dù bằng cách nào, giao tiếp có thể bị tấn công MitM khi ứng dụng đang giao tiếp với máy chủ hoặc trong các giao dịch ngang hàng. Dữ liệu trên đường truyền phải được bảo vệ bằng
Mã hóa AES-256 và bảo mật lớp cổng bảo mật (SSL)/lớp vận chuyển (TLS) phải được thực thi nghiêm ngặt đối với tất cả các giao tiếp.
Trình giả lập
Tin tặc cũng có thể tạo các phiên bản sửa đổi của ứng dụng ví tiền điện tử. Họ cũng có thể sử dụng các ứng dụng đã sửa đổi này với trình mô phỏng và trình mô phỏng để tạo tài khoản gian lận, thực hiện các giao dịch gian lận và chuyển tiền điện tử.
Các phương pháp tự bảo vệ ứng dụng thời gian chạy (RASP) và cụ thể là phát hiện chống giả mạo, chống sửa lỗi và giả lập, là chìa khóa để ngăn chặn các loại tấn công này.
Ngay cả đối với các tổ chức tài chính không tham gia vào bất kỳ loại dịch vụ tiền điện tử nào, điều quan trọng là phải học hỏi từ những thách thức bảo mật mà người dùng gặp phải, đặc biệt là khi nói đến ví tiền điện tử. “Đô la kỹ thuật số” có thể không còn xa như chúng ta nghĩ,
và những tổ chức sẵn sàng cung cấp ví di động an toàn của CBDC sẽ có lợi thế cạnh tranh đáng kể.
- kiến tài chính
- blockchain
- hội nghị blockchain fintech
- chuông fintech
- coinbase
- thiên tài
- hội nghị tiền điện tử fintech
- fintech
- ứng dụng fintech
- đổi mới fintech
- tài chính
- OpenSea
- PayPal
- công nghệ thanh toán
- con đường thanh toán
- plato
- Plato ai
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Platogaming
- tiền dao cạo
- Revolut
- Ripple
- fintech vuông
- sọc
- công nghệ tài chính tencent
- máy photocopy
- zephyrnet
