Di dunia cryptocurrency, keuangan terdesentralisasi (defi), dan Web3, airdrop telah menjadi hal biasa di industri ini. Namun, sementara airdrop terdengar seperti uang gratis, ada tren yang berkembang dari penipuan phishing airdrop yang mencuri uang orang ketika mereka mencoba untuk mendapatkan apa yang disebut aset crypto 'gratis'. Berikut ini adalah melihat dua cara berbeda penyerang menggunakan penipuan phishing airdrop untuk mencuri dana dan bagaimana Anda dapat melindungi diri sendiri.
Airdrops Tidak Selalu Berarti 'Kripto Gratis' — Banyak Promosi Hadiah Airdrop Ingin Merampok Anda
Airdrops telah identik dengan dana crypto gratis, sedemikian rupa sehingga penipuan crypto yang meningkat yang disebut airdrop phishing telah menjadi lazim. Jika Anda adalah peserta dalam komunitas crypto dan menggunakan platform media sosial seperti Twitter atau Facebook, Anda mungkin pernah melihat sejumlah posting spam yang mengiklankan semua jenis airdrop.
Biasanya, akun crypto Twitter yang populer membuat tweet dan diikuti oleh banyak scammer yang mengiklankan upaya phishing airdrop dan banyak akun yang mengatakan bahwa mereka telah menerima uang gratis. Kebanyakan orang tidak akan jatuh cinta pada penipuan airdrop ini, tetapi karena airdrops dianggap sebagai crypto gratis, ada banyak orang yang kehilangan dana karena menjadi korban serangan jenis ini.
Serangan pertama menggunakan metode periklanan yang sama di media sosial, karena sejumlah orang atau bot kehilangan tautan yang mengarah ke halaman web penipuan phishing airdrop. Situs web yang mencurigakan mungkin terlihat sangat sah dan bahkan menyalin beberapa elemen dari proyek Web3 populer, tetapi pada akhirnya, para penipu mencari cara untuk mencuri dana. Penipuan airdrop gratis bisa berupa token kripto yang tidak diketahui, atau bisa juga aset digital populer seperti BTC, ETH, SHIB, DOGE, dan banyak lagi.
Serangan pertama biasanya menunjukkan bahwa airdrop dapat diterima tetapi orang tersebut harus menggunakan dompet Web3 yang kompatibel untuk mengambil apa yang disebut dana 'gratis'. Situs web akan mengarah ke halaman yang menampilkan semua dompet Web3 populer seperti Metamask dan lainnya, tetapi kali ini, ketika mengklik tautan dompet, kesalahan akan muncul dan situs akan menanyakan frasa awal kepada pengguna.
Untuk mendapatkan dukungan, buka MetaMask dan arahkan ke "Dukungan" atau "Dapatkan Bantuan" di dalam menu tarik-turun. Jangan percaya siapa pun yang telah mengirimi Anda pesan langsung. DALAM KEADAAN APA PUN jika Anda pernah memberikan Frase Pemulihan Rahasia Anda kepada siapa pun atau memasukkannya ke situs mana pun!
— Dukungan MetaMask (@MetaMaskSupport) 29 April, 2022
Di sinilah segalanya menjadi teduh karena dompet Web3 tidak akan pernah meminta benih atau frase mnemonik 12-24 kecuali pengguna secara aktif memulihkan dompet. Namun, pengguna scam phishing airdrop yang tidak curiga mungkin berpikir kesalahan itu sah dan memasukkan benih mereka ke halaman web yang pada akhirnya menyebabkan hilangnya semua dana yang tersimpan di dompet.
Pada dasarnya, pengguna hanya memberikan kunci pribadi kepada penyerang dengan jatuh ke halaman kesalahan dompet Web3 yang meminta frasa mnemonic. Seseorang tidak boleh memasukkan seed atau frase mnemonic 12-24 jika diminta oleh sumber yang tidak dikenal, dan kecuali ada kebutuhan untuk memulihkan dompet, benar-benar tidak perlu memasukkan frase seed secara online.
Memberikan Izin Dapp Shady Bukanlah Ide Terbaik
Serangan kedua sedikit lebih rumit, dan penyerang menggunakan teknis kode untuk merampok pengguna dompet Web3. Demikian pula, penipuan phishing airdrop akan diiklankan di media sosial tetapi kali ini ketika orang tersebut mengunjungi portal web, mereka dapat menggunakan dompet Web3 mereka untuk "terhubung" ke situs.
Namun, penyerang telah menulis kode sedemikian rupa sehingga alih-alih memberikan situs akses baca ke saldo, pengguna pada akhirnya memberikan izin penuh kepada situs untuk mencuri dana di dompet Web3. Ini bisa terjadi hanya dengan menghubungkan dompet Web3 ke situs scam dan memberinya izin. Serangan dapat dihindari hanya dengan tidak terhubung ke situs dan berjalan pergi, tetapi ada banyak orang yang telah jatuh ke dalam serangan phishing ini.
Inilah penipuan phishing terbaru
1️⃣ Airdrop sebuah token
2️⃣ Bangun situs web dengan nama yang sama agar mudah ditemukan
3️⃣ Ketika Anda menemukan apa yang tampaknya mempertaruhkan token ini, Approve txn memberikan pengeluaran tak terbatas untuk token lain (yaitu SNX)Kemudian mereka menguras dompet token Anda. pic.twitter.com/vICIeC5rGk
- DeFi Ayah ⟠ defidad.eth (@DeFi_Dad) Desember 20, 2021
Cara lain untuk mengamankan dompet adalah dengan memastikan izin Web3 dompet terhubung ke situs yang dipercaya pengguna. Jika ada aplikasi terdesentralisasi (dapps) yang tampak teduh, pengguna harus menghapus izin jika mereka secara tidak sengaja terhubung ke dapp dengan jatuh ke penipuan crypto 'gratis'. Namun, biasanya, sudah terlambat, dan setelah dapp memiliki izin untuk mengakses dana dompet, kripto dicuri dari pengguna melalui pengkodean berbahaya yang diterapkan ke dapp.
Cara terbaik untuk melindungi diri Anda dari dua serangan yang disebutkan di atas adalah dengan tidak pernah memasukkan frase benih Anda secara online kecuali Anda sengaja memulihkan dompet. Selain itu, ini juga merupakan bentuk yang baik untuk tidak pernah menghubungkan atau memberikan izin dompet Web3 ke situs web dan dapps Web3 yang tidak Anda kenal. Kedua serangan ini dapat menyebabkan kerugian besar bagi investor yang tidak curiga jika mereka tidak berhati-hati dengan tren phishing airdrop saat ini.
Apakah Anda tahu siapa saja yang telah menjadi korban penipuan phishing jenis ini? Bagaimana Anda melihat upaya crypto phishing? Beri tahu kami pendapat Anda di komentar.
Kredit gambar: Shutterstock, Pixabay, Wiki Commons
Penolakan tanggung jawab: Artikel ini hanya untuk tujuan informasi. Ini bukan penawaran langsung atau permintaan penawaran untuk membeli atau menjual, atau rekomendasi atau pengesahan produk, layanan, atau perusahaan. Bitcoin.com tidak memberikan saran investasi, pajak, hukum, atau akuntansi. Baik perusahaan maupun penulis tidak bertanggung jawab, secara langsung atau tidak langsung, untuk setiap kerusakan atau kehilangan yang disebabkan atau diduga disebabkan oleh atau sehubungan dengan penggunaan atau kepercayaan pada konten, barang atau layanan yang disebutkan dalam artikel ini.
Sumber: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/