Perusahaan keamanan Blockchain, CertiK, telah mengingatkan komunitas crypto untuk tetap waspada terhadap penipuan “ice phishing” — jenis penipuan phishing unik yang menargetkan pengguna Web3 — yang pertama kali diidentifikasi oleh Microsoft awal tahun ini.
Dalam laporan analisis 20 Desember, CertiK dijelaskan penipuan phishing es sebagai serangan yang mengelabui pengguna Web3 untuk menandatangani izin yang akhirnya memungkinkan penipu menggunakan token mereka.
Ini berbeda dari serangan phishing tradisional yang berupaya mengakses informasi rahasia seperti kunci pribadi atau kata sandi, seperti situs web palsu yang dibuat yang diklaim dapat membantu Investor FTX memulihkan dana kalah di bursa.
1/ Ice phishing adalah ancaman besar bagi komunitas Web3
Alih-alih mendapatkan akses ke kunci pribadi Anda, penipu menipu Anda agar menandatangani izin untuk membelanjakan aset Anda.
Kami akan menguraikan di bawah apa yang harus diwaspadai, dan bagaimana melindungi diri Anda sendiri!
— Peringatan CertiK (@CertiKAlert) Desember 20, 2022
Penipuan 17 Desember di mana 14 Kera Bosan dicuri adalah contoh penipuan phishing es yang rumit. Seorang investor diyakinkan untuk menandatangani permintaan transaksi yang disamarkan sebagai kontrak film, yang pada akhirnya memungkinkan scammer untuk menjual semua kera pengguna kepada diri mereka sendiri dengan jumlah yang dapat diabaikan.
Perusahaan mencatat bahwa jenis penipuan ini adalah "ancaman besar" yang hanya ditemukan di dunia Web3, karena investor sering diminta untuk menandatangani izin untuk protokol keuangan terdesentralisasi (DeFi) yang berinteraksi dengan mereka, yang dapat dengan mudah dipalsukan.
“Peretas hanya perlu membuat pengguna percaya bahwa alamat jahat yang mereka beri persetujuan adalah sah. Setelah pengguna menyetujui izin bagi penipu untuk membelanjakan token, maka aset tersebut berisiko terkuras.”
Setelah scammer mendapatkan persetujuan, mereka dapat mentransfer aset ke alamat yang mereka pilih.
Untuk melindungi diri dari ice phishing, CertiK merekomendasikan agar investor mencabut izin untuk alamat yang tidak mereka kenali di situs penjelajah blockchain seperti Etherscan, menggunakan alat persetujuan token.
Terkait: Salah satu pendiri scam OneCoin senilai $4 miliar mengaku bersalah, menghadapi 60 tahun penjara
Selain itu, alamat yang ingin berinteraksi dengan pengguna harus dicari di penjelajah blockchain ini untuk aktivitas yang mencurigakan. Dalam analisisnya, CertiK menunjuk ke alamat yang didanai oleh penarikan Tornado Cash sebagai contoh aktivitas yang mencurigakan.
CertiK juga menyarankan agar pengguna hanya berinteraksi dengan situs resmi yang dapat mereka verifikasi, dan sangat berhati-hati terhadap situs media sosial seperti Twitter, menyoroti akun Twitter Optimisme palsu sebagai contoh.
Perusahaan juga menyarankan pengguna untuk meluangkan waktu beberapa menit untuk memeriksa situs tepercaya seperti CoinMarketCap atau Coingecko, pengguna akan dapat melihat bahwa URL yang ditautkan bukanlah situs yang sah dan harus dihindari.
Raksasa teknologi Microsoft adalah yang pertama menyoroti praktik ini di blog 16 Februari pos, mengatakan pada saat itu bahwa meskipun phishing kredensial sangat dominan di dunia Web2, phishing es memberi penipu individu kemampuan untuk mencuri sebagian dari industri crypto sambil mempertahankan "anonimitas yang hampir lengkap".
Mereka merekomendasikan agar proyek Web3 dan penyedia dompet meningkatkan keamanan layanan mereka pada tingkat perangkat lunak untuk mencegah beban menghindari serangan ice phishing yang ditempatkan hanya pada pengguna akhir.
Sumber: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik