Uwaga na Phishing !!!

październik 03, 2017 928 0

Wraz z naszymi partnerami JPK Traders ostrzegamy o kolejnym zagrożeniu jakim jest Phishing.

W poprzednim artykule poświęconemu bezpieczeństwu na rynku kryptowalutowym poruszyliśmy schemat działania Pump and Dump. W tym tygodniu chcielibyśmy poruszyć temat Phishingu.

 


Czym jest Phishing?

 


Celem phishingu jest odwzorowanie strony bądź maila (a nawet profilu social media) prawdziwej organizacji, tak aby użytkownicy myśleli, że kontaktują się z przedstawicielem firmy, gdy tak naprawdę po drugiej stronie znajduje się oszust. Nie jest to nowy sposób oszustwa i jest bardzo popularny poza światkiem kryptowalutowym - próbowano w ten sposób ukraść informację użytkowników z takich stron jak Adobe, Blizzard, Microsoft, Google czy setek innych.

 


Po udanym podszyciu się pod organizację, oszuści zechcą zdobyć dane personalne użytkowników - na przykład poprzez zresetowanie hasła czy poprostu przekazanie ich poprzez kliknięcie w link. Natomiast najbardziej popularny phishing w przypadku kryptowalut odbywa się za pomocą upodobnienia się do popularnych portfeli (np. My Ether Wallet) czy głównych ICO, które właśnie się rozpoczęły (jak Bancor czy Distric0x).

 


Jak działa Phishing?

Schemat

 

Oszuści wybierają znane i szeroko rozpoznawalne strony - My Ether Wallet jest bardzo popularnym wyborem w przypadku inwestycji w Ethereum czy tokenów ERC-20. Również wiele osób używa go w celu inwestowania w ICO. Przestępcy „inspirują się” różnymi częściami portalu:

adresem organizacji

interfejsem użytkownika

podpisem email

nazwą konta w Social Media

 


Następnie postarają się zarejestrować nazwę bardzo podobną do oryginalnej strony. Prawdziwy adres My Ether Wallet to www.myetherwallet.com, więc oszuści mogą próbować kupić domenę www.myethervvallet.com (podwójne V) czy www.myetherwallet.com.net. Potem skopiują interfejs użytkownika z My Ether Wallet i podłączą pod niego własną bazę danych.

 


W dalszej kolejności przestępcy na popularnych kanałach dla użytkowników kryptowalut - takich jak slack, reddit czy telegram, wybiorą nazwę odpowiednią dla swojego celu. Świeżym przykładem jest rejestracja profilów publicznych pod loginem „ether-security-team” czy „vitalik-buterin”.

 


Początek zabawy

Wówczas oszuści roześlą do jak największej ilości osób wiadomość informującą o pewnym problemie. Ostatnio podszywając się pod DEV team Ethereum informowali o potrzebie włączenia 2FA, bez którego zostaną zablokowane tokeny oraz środki.

 


Nieświadomi użytkownicy klikając w link myetherwallet.com w rzeczywistości zostali przeniesieni na stronę myethervvallet.com (podwójne V) na której mieli wpisać swoje poufne dane. Poprzez potężny spam za pomocą kilku kanałow, użytkownicy przekazywali swoje prywatne klucze, hasła i inne cenne informacje.

 


Wypłata

Po przekazaniu informacji oszuści mają bezpośredni dostęp do prywatnych kluczy, a tym samym do środków. Używając programów przesyłają je z adresów ofiar na swój własny. Gdy taka transakcja zostanie wykonana nie jest już możliwe jej odwrócenie.

 


Więc jak nie stać się ofiarą?

Istnieje kilka sposobów, które mogą ograniczyć ryzyko bycia oszukanym.

 


Dołącz do społeczności

Bardzo ważne jest wzajemne informowanie się. Znanym przypadkiem był ostatnio phishing podszywający się pod Bittrex o którym informował jeden z użytkowników na grupie Kryptowaluty - Oszuści (https://www.facebook.com/groups/275810916244743/permalink/280214345804400/)

 


 

 


Używaj własnych zakładek i znanych linków przekierowujących

Jeżeli Coinbase chciałoby abyś zmienił hasło, ogłosiłoby to na swojej stronie lub wysłało zapowiedzianego emaila. Zawsze bądź podejrzliwy wobec linków wysyłanych poprzez prywatne wiadomości czy email. Jeżeli chcesz odwiedzić stronę w celu potwierdzenia informacji, użyj zakładki lub zapisanego linku.

 


Wielokrotne potwierdzenie

Jeżeli pojawia się krytyczny błąd w oprogramowaniu, jest on ogłaszany poprzez stronę organizacji, jej fanpage, a nawet media. Zawsze weryfikuj informację u wielu źródeł.

 


Kontaktuj się tylko poprzez oficjalne kanały

Projekty kontaktują się z użytkownikami głównie poprzez email, reddit czy slack. Jeżeli otrzymujesz informację z innego źródła możesz założyć, że jest to scam i zignorować ją.

 


Podsumowanie

Podobnie jak w przypadku schematów Pump and Dump, jeżeli jesteś zdyscyplinowany, opanowany i cierpliwy, nigdy nie dasz się nabrać na phishing. Jednak w przeciwieństwie do Pump and Dump naiwność nie rodzi się tu ze strachu przed „odjechaniem pociągu”, a bazuje na poczuciu bezpieczeństwa.

Oceń ten artykuł
(1 Głos)
Ostatnio zmieniany wtorek, 03 październik 2017 08:47
Bitcoin-online

Strona nie jest poradnikiem inwestycyjnym i nie ponosi odpowiedzialności za inwestycje.

https://bitcoin-online.pl

Skomentuj

Komentując pamiętaj że nie wolno przeklinać i obrażać innych. Trzymamy się tematu. Strona bitcoin-online.pl nie odpowiada za przekonania oraz komentarze użytkowników.

Rejestracja na Bitfinex znów otwarta

Reklama

Popularne artykuły

LSK Lisk

LSK Lisk

sierpnia 01, 2017 Kryptowaluty

GAME Gamecredits

GAME Gamecredits

sierpnia 01, 2017 Kryptowaluty