Tấn công lừa đảo và cách nó phá hoại bảo mật chuỗi khối

• Các cuộc tấn công lừa đảo có trước thời đại Web3 và Web2. Các chuyên gia tin rằng tài liệu chính xác đầu tiên của cuộc tấn công xảy ra vào giữa những năm 90
• Vào tháng 2021 năm XNUMX, một nhà phát triển giao thức bZx đã trở thành nạn nhân của một cuộc tấn công lừa đảo, trong đó tin tặc đã lấy được nhiều khóa riêng tư quan trọng đối với các giao thức bZx
• Đầu tiên, giả định là một yếu tố quan trọng mà hầu hết các cuộc tấn công lừa đảo đều dựa vào. Chỉ đơn giản giả định rằng email nhận được là hợp pháp mà không cần xem xét kỹ lưỡng hơn đã dẫn đến việc tin tặc có quyền truy cập vào máy tính cá nhân

Tiền điện tử, NFT, Chuỗi khối và các yếu tố Web khác đã phát triển nhanh chóng trong thập kỷ qua. Khi xem xét tiền điện tử, ban đầu mọi người đều nghĩ đó là một trò đùa, một chương trình dài 1 phút. Cuối cùng, mọi thứ sẽ trở lại bình thường, mặc dù nó không như vậy.

Crypto đã phát triển đến mức mà các tổ chức lớn như Google và đàn bà gan dạ có kế hoạch kết hợp nó vào hệ thống thanh toán của họ. Những bài báo này và các bài báo bảo mật blockchain khác đã đề cập đến các khía cạnh ảnh hưởng đến sự an toàn của tiền điện tử. Những yếu tố này có xu hướng xuất phát từ hai điểm chính: blockchain vẫn còn tương đối mới. Do đó, nó vẫn chứa nhiều sai sót và lỗi zero-day. 

Một lỗi khác và nổi bật hơn là lỗi của con người, đây là một danh mục phân loại những người chỉ thiếu kiến ​​thức với những người cố tình làm suy yếu sức mạnh của các vụ lừa đảo và hack tiền điện tử. Dưới đây là một cái nhìn khác về một lỗ hổng blockchain phát triển mạnh do lỗi của con người và đơn thuần là do thiếu kiến ​​thức: Các cuộc tấn công lừa đảo.

Các bài viết này phục vụ mục đích giáo dục, vì vậy mọi nỗ lực thử và thực hiện bất kỳ cơ chế vi phạm nào sẽ phải chịu trách nhiệm về hành động của họ.

Tấn công lừa đảo là gì?

Các cuộc tấn công lừa đảo có trước Web3 và các chuyên gia thời đại Web2 tin rằng tài liệu chính xác đầu tiên về cuộc tấn công xảy ra vào giữa những năm 90. Một cuộc tấn công lừa đảo chỉ đóng giả là một công ty, dịch vụ hoặc cá nhân hợp pháp để lấy thông tin quan trọng như thông tin đăng nhập hoặc dữ liệu nhạy cảm. 

Theo ngôn ngữ của giáo dân, nó chủ yếu cố gắng lừa tiền một nạn nhân không ngờ tới. Qua nhiều năm, mức độ tinh vi của cuộc tấn công tăng lên nhưng sau đó giảm dần khi Web2 phát triển các biện pháp đối phó. Với việc tạo ra Web3, tin tặc đã tìm thấy một nền tảng mới để thực hiện nhiều hoạt động bất chính khác nhau, bao gồm cả các cuộc tấn công lừa đảo.

Ngoài ra, đọc Các vụ lừa đảo tiền điện tử phổ biến cần đề phòng vào năm 2022.

Khi tiền điện tử phát triển, nhu cầu về bảo mật chuỗi khối phức tạp hơn và an toàn tiền điện tử cũng tăng theo, nhưng ngay cả với các biện pháp đối phó hiện tại để hạn chế các cuộc tấn công lừa đảo vẫn tỏ ra cồng kềnh chủ yếu do các cuộc tấn công lừa đảo phát triển mạnh do lỗi của con người.

Bằng cách nhắm trực tiếp vào khách hàng hoặc người dùng để giành quyền truy cập bằng cách lừa họ từ bỏ thông tin đăng nhập của mình. Đối với những người biết, những cuộc tấn công này xảy ra thường xuyên hơn không và với ánh bình minh mới tỏa ra từ Web3, nó đã phải chịu đựng rất nhiều dưới bàn tay của những kẻ lừa đảo tiền điện tử và tin tặc.

Ca sử dụng của các cuộc tấn công lừa đảo.

Để nắm bắt và đảm bảo an ninh chuỗi khối, trước tiên người ta phải học hỏi từ sự không an toàn của các hệ thống khác nhau và cách chúng xảy ra. Dưới đây là hai trường hợp vi phạm an toàn tiền điện tử và các tổ chức cũng như người dùng đã mất hàng triệu USD.

hack tiền điện tử BZX

Công ty tiền điện tử bZx đã phải chịu thiệt hại nặng nề dưới bàn tay của một hacker đã đánh cắp hàng triệu đồng tiền điện tử khác nhau.

Vào tháng 11 2021, một nhà phát triển giao thức bZx đã trở thành nạn nhân của một cuộc tấn công lừa đảo, trong đó tin tặc đã lấy được nhiều khóa riêng tư quan trọng đối với các giao thức bZx. Được trang bị những công cụ này, tin tặc có thể rút tiền điện tử trị giá 55 triệu đô la. Theo các chuyên gia bảo mật, cuộc tấn công đã thành công vì vào thời điểm đó, tính năng hoạt động phi tập trung duy nhất là Ethereum.

Tin tặc đã có được các khóa riêng tư bằng cách giả dạng là một thực thể hợp pháp. Nhà phát triển chuỗi khối đã không biết về sự phát triển này và đã cung cấp cho tin tặc các khóa riêng mong muốn.

Theo bZx, email được gửi tới các nhà phát triển của nó có một macro độc hại trong tài liệu Word, khi ngụy trang thành một tệp đính kèm email hợp pháp. Đoạn mã này đã chạy một tập lệnh độc hại trên các thiết bị đã nhận, làm tổn hại đến chiếc ví ghi nhớ của anh ta.

Quảng cáo Google Lừa đảo tiền điện tử

Thông thường, các cuộc tấn công lừa đảo được quy cho email hoặc toàn bộ trang web, nhưng ít người có suy nghĩ sáng suốt. Với sự tinh vi của bảo mật blockchain, một nhóm tin tặc đã quyết định thực hiện một cuộc tấn công lừa đảo bằng cách sử dụng Quảng cáo Google.

Theo các chuyên gia, thủ phạm đã mua vị trí Quảng cáo Google cho trang web lừa đảo của họ mạo danh các ví phổ biến như PhantomApp và MetaMask. Họ cũng áp dụng các phương pháp của mình cho các URL của các trang web giả mạo này để tận dụng lỗi và sơ suất của con người. 

Khi nạn nhân nhấp vào trang web, họ sẽ đánh cắp cụm mật khẩu của họ. Nếu nạn nhân tạo một tài khoản mới, họ sẽ đặt nhiều cơ chế khác nhau để đảm bảo rằng báo cáo sẽ xuất hiện. Mặc dù bất kỳ giao dịch nào xảy ra sẽ trực tiếp đến tay những kẻ lừa đảo. Vào thời điểm mọi người có thể nhận ra chuyện gì đang xảy ra, những kẻ lừa đảo đã bỏ trốn với số tiền điện tử trị giá hơn 500,000 đô la. Những kẻ lừa đảo tiền điện tử đã thu được số tiền này chỉ trong hai ngày đầu tiên.

Ngoài ra, đọc Các lỗ hổng bảo mật NFT gây khó chịu cho Thị trường NFT.

Tại sao các cuộc tấn công lừa đảo lại khó đối phó.

Hai khía cạnh quan trọng từ kịch bản trên; Đầu tiên, giả định là một yếu tố quan trọng mà hầu hết các cuộc tấn công lừa đảo đều dựa vào. Chỉ đơn giản giả định rằng email nhận được là hợp pháp mà không cần xem xét kỹ lưỡng hơn đã dẫn đến việc tin tặc có quyền truy cập vào máy tính cá nhân. 

Bản chất của con người là bỏ qua các hoạt động trần tục. Tâm trí con người có xu hướng lọc các quy trình mà nó đã thực hiện hàng nghìn lần và tiền điện tử lừa đảo ngân hàng dựa trên một khiếm khuyết như vậy. Một số tin tặc tiền điện tử có xu hướng tránh xử lý các tham số bảo mật chuỗi khối và do đó truy lùng các cá nhân trong mạng. 

Hầu hết thời gian, các cá nhân không có lỗi vì một số người thực sự muốn tìm ra nơi để tìm hoặc làm thế nào để phát hiện ra sự khác biệt. Khía cạnh thứ hai chủ yếu đi sâu vào sự thiếu hiểu biết của con người về các hoạt động an toàn tiền điện tử. 

Bất kỳ nhà phân tích bảo mật mạng hoặc chuỗi khối nào cũng sẽ luôn cảnh báo bạn về việc nhấp vào các trang web bất thường. Tin tặc tiền điện tử có xu hướng bắt chước các trang web, nhưng trong Web2, không có hai trang web nào có URL giống hệt nhau. Do đó, tin tặc chỉ có thể giả mạo chứ không thể sao chép. Thật không may, nhiều cá nhân sẽ cần tìm hiểu sự khác biệt.

Ngoài ra, hãy đọc về Sự sụt giảm tiền điện tử gần đây và những bài học khắc nghiệt về lưu ký và kiểm soát.

Kết luận

Các cuộc tấn công lừa đảo sẽ tiếp tục vì mục tiêu chính của chúng là lỗi của con người. Do đó, khi có nhiều ý tưởng, phát minh và trang web xuất hiện, những kẻ lừa đảo sẽ luôn lợi dụng sự ngây thơ của họ. Các biện pháp bảo mật chuỗi khối chỉ có thể tiến xa nếu không có sự trợ giúp của người dùng vì sức mạnh của bất kỳ hệ thống nào cũng phụ thuộc vào liên kết yếu nhất của nó.