Keamanan siber di Web3: Melindungi Diri Anda (Dan Kera Anda JPEG)

Meskipun Web3 penginjil telah lama menggembar-gemborkan fitur keamanan asli blockchain, aliran uang yang mengalir ke industri menjadikannya prospek yang menggoda bagi peretas, Scammers dan pencuri.

Ketika aktor jahat berhasil menembus keamanan siber Web3, seringkali karena pengguna mengabaikan ancaman paling umum dari keserakahan manusia, FOMO, dan ketidaktahuan, bukan karena kelemahan dalam teknologi.

Banyak penipuan menjanjikan imbalan besar, investasi, atau fasilitas eksklusif; FTC menyebut peluang dan investasi menghasilkan uang ini penipuan.

Uang besar dalam penipuan

Menurut 2022 Juni melaporkan oleh Komisi Perdagangan Federal, lebih dari $ 1 miliar dalam cryptocurrency telah dicuri sejak 2021. Dan tempat perburuan para peretas adalah tempat orang berkumpul secara online.

“Hampir separuh orang yang melaporkan kehilangan crypto karena penipuan sejak 2021 mengatakan itu dimulai dengan iklan, posting, atau pesan di platform media sosial,” kata FTC.

Meskipun penipuan palsu terdengar terlalu bagus untuk menjadi kenyataan, calon korban dapat menunda ketidakpercayaan mengingat volatilitas pasar kripto yang intens; orang tidak ingin melewatkan hal besar berikutnya.

Penyerang menargetkan NFT

Seiring dengan cryptocurrency, NFT, atau token yang tidak dapat dipertukarkan, telah menjadi semakin populer target scammers; menurut perusahaan keamanan siber Web3 Lab TRM, dalam dua bulan setelah Mei 2022, komunitas NFT kehilangan sekitar $22 juta akibat penipuan dan serangan phishing.

Koleksi “Blue-chip” seperti Klub Kapal Pesiar Kera Bosan (BAYC) adalah target yang sangat berharga. Pada April 2022, akun Instagram BAYC adalah hack oleh scammer yang mengalihkan korban ke situs yang menguras dompet kripto dan NFT Ethereum mereka. Sekitar 91 NFT, dengan nilai gabungan lebih dari $2.8 juta, dicuri. Beberapa bulan kemudian, Eksploitasi perselisihan melihat NFT senilai 200 ETH dicuri dari pengguna.

Pemegang BAYC terkenal juga menjadi korban penipuan. Pada 17 Mei, aktor dan produser Seth Green tweeted bahwa dia adalah korban penipuan phishing yang mengakibatkan pencurian empat NFT, termasuk Bored Ape #8398. Selain menyoroti ancaman yang ditimbulkan oleh serangan phishing, itu juga bisa menggagalkan acara televisi/streaming bertema NFT yang direncanakan oleh Green, “White Horse Tavern.” NFT BAYC mencakup hak lisensi untuk menggunakan NFT untuk tujuan komersial, seperti dalam kasus Bosan & Lapar restoran cepat saji di Long Beach, CA.

Selama sesi Twitter Spaces 9 Juni, Hijau mengatakan bahwa dia telah memulihkan JPEG yang dicuri setelah membayar 165 ETH (lebih dari $295,000 pada saat itu) kepada seseorang yang telah membeli NFT setelah dicuri.

“Phishing masih menjadi vektor serangan pertama,” Luis Lubeck, seorang insinyur keamanan di perusahaan keamanan siber Web3, Halborn, Mengatakan Dekripsi.

Lubeck mengatakan bahwa pengguna harus waspada terhadap situs web palsu yang meminta kredensial dompet, tautan kloning, dan proyek palsu.

Menurut Lubeck, penipuan phishing dapat dimulai dengan rekayasa sosial, memberi tahu pengguna tentang peluncuran token awal atau bahwa mereka akan menghabiskan 100x lipat uang mereka, API rendah, atau bahwa akun mereka telah dilanggar dan memerlukan perubahan kata sandi. Pesan-pesan ini biasanya datang dengan waktu yang terbatas untuk bertindak, semakin mendorong ketakutan pengguna akan kehilangan, juga dikenal sebagai FOMO.

Dalam kasus Green, serangan phishing datang melalui tautan kloning.

Clone phishing adalah serangan di mana scammer mengambil situs web, email, atau bahkan tautan sederhana dan membuat salinan yang hampir sempurna yang terlihat sah. Green mengira dia sedang mencetak klon "GutterCat" menggunakan apa yang ternyata adalah situs web phishing.

Ketika Green menghubungkan dompetnya ke situs phishing dan menandatangani transaksi untuk mencetak NFT, dia memberi para peretas akses ke kunci pribadinya dan, pada gilirannya, Kera Bosan-nya.

Jenis Serangan Cyber

Pelanggaran keamanan dapat mempengaruhi perusahaan dan individu. Meskipun bukan daftar lengkap, serangan siber yang menargetkan Web3 biasanya termasuk dalam kategori berikut:

• ? phishing: Salah satu bentuk serangan siber tertua namun paling umum, serangan phishing biasanya datang dalam bentuk email dan termasuk mengirim komunikasi palsu seperti teks dan pesan di media sosial yang tampaknya berasal dari sumber yang memiliki reputasi baik. Ini cybercrime juga dapat berupa situs web yang disusupi atau dikodekan dengan jahat yang dapat menguras kripto atau NFT dari dompet berbasis browser yang terpasang setelah dompet kripto terhubung.
• ?☠️ malware: Singkatan dari perangkat lunak berbahaya, istilah umum ini mencakup program atau kode apa pun yang berbahaya bagi sistem. Malware dapat memasuki sistem melalui email, teks, dan pesan phishing.
• ? Situs Web yang Disusupi: Situs web yang sah ini dibajak oleh penjahat dan digunakan untuk menyimpan malware yang diunduh oleh pengguna yang tidak menaruh curiga begitu mereka mengeklik tautan, gambar, atau file.
• ? Pemalsuan URL: Putuskan tautan situs web yang disusupi; situs web palsu adalah situs berbahaya yang merupakan tiruan dari situs web yang sah. Juga dikenal sebagai URL Phishing, situs-situs ini dapat memanen nama pengguna, kata sandi, kartu kredit, cryptocurrency, dan informasi pribadi lainnya.
• ? Ekstensi Browser Palsu: Seperti namanya, eksploitasi ini menggunakan ekstensi browser palsu untuk menipu pengguna kripto agar memasukkan kredensial atau kunci mereka ke dalam ekstensi yang memberikan akses penjahat dunia maya ke data.

Serangan ini biasanya bertujuan untuk mengakses, mencuri, dan menghancurkan informasi sensitif atau, dalam kasus Green, NFT Kera Bosan.

Apa yang dapat Anda lakukan untuk melindungi diri sendiri?

Lubeck mengatakan cara terbaik untuk melindungi diri Anda dari phishing adalah dengan tidak pernah membalas email, teks SMS, Telegram, Discord, atau pesan WhatsApp dari orang, perusahaan, atau akun yang tidak dikenal. “Saya akan melangkah lebih jauh dari itu,” tambah Lubeck. “Jangan pernah memasukkan kredensial atau informasi pribadi jika pengguna tidak memulai komunikasi.”

Lubeck menyarankan untuk tidak memasukkan kredensial atau informasi pribadi Anda saat menggunakan WiFi atau jaringan publik atau bersama. Selain itu, Lubeck memberi tahu Dekripsi bahwa orang tidak boleh memiliki rasa aman yang salah karena mereka menggunakan sistem operasi atau jenis telepon tertentu.

“Ketika kita berbicara tentang jenis penipuan ini: phishing, peniruan identitas laman web, tidak masalah jika Anda menggunakan iPhone, Linux, Mac, iOS, Windows, atau Chromebook,” katanya. “Beri nama perangkat; masalahnya adalah situsnya, bukan perangkat Anda.”

Jaga kripto dan NFT Anda tetap aman

Mari kita lihat lebih banyak rencana aksi "Web3".

Jika memungkinkan, gunakan perangkat keras atau celah udara dompet untuk menyimpan aset digital. Perangkat ini, terkadang digambarkan sebagai “penyimpanan dingin”, menghapus kripto Anda dari internet hingga Anda siap menggunakannya. Meskipun umum dan nyaman untuk menggunakan dompet berbasis browser seperti MetaMask, ingat, apa pun yang terhubung ke internet berpotensi diretas.

Jika Anda menggunakan dompet seluler, browser, atau desktop, juga dikenal sebagai dompet panas, unduh dari platform resmi seperti Google Play Store, App Store Apple, atau situs web terverifikasi. Jangan pernah mengunduh dari tautan yang dikirim melalui teks atau email. Meskipun aplikasi jahat dapat menemukan jalannya ke toko resmi, ini lebih aman daripada menggunakan tautan.

Setelah menyelesaikan transaksi Anda, lepaskan dompet dari situs web.

Pastikan untuk merahasiakan kunci pribadi, frasa awal, dan kata sandi Anda. Jika Anda diminta untuk membagikan informasi ini untuk berpartisipasi dalam investasi atau pencetakan, itu adalah penipuan.

Hanya berinvestasi dalam proyek yang Anda pahami. Jika tidak jelas bagaimana skema bekerja, berhenti dan lakukan penelitian lebih lanjut.

Abaikan taktik tekanan tinggi dan tenggat waktu yang ketat. Seringkali, scammers akan menggunakan ini untuk mencoba dan meminta FOMO dan membuat calon korban tidak memikirkan atau melakukan penelitian tentang apa yang mereka diberitahu.

Last but not least, jika kedengarannya terlalu bagus untuk menjadi kenyataan, itu mungkin scam.