Od kilku dni świat IT mówi tylko o lukach bezpieczeństwa w procesorach. Odkryto błąd w architekturze procesorów (nie tylko tych produkowanych przez Intela). Rezultatem jest dziura, która objawia się bardzo groźnym wyciekiem informacji przechowywanych w pamięci jądra systemu operacyjnego.

Aby usunąć tę dziurę trzeba… albo wymienić procesor albo zainstalować łatki, które znacznie spowolniają jego pracę (od 5% do nawet 62%, w zależności od tego, do czego głównie wykorzystujecie komputer). Co więcej, problem dotyczy nie tylko użytkowników domowych komputerów. Dziura zagraża także “chmurom” Amazon EC2, Microsoft Azure i Google Compute Engine.

Jednym z wektorów ataku może być złośliwy kod JavaScript umieszczony na stronie internetowej, który uzyska dostęp do danych z innych kart (domen) otwartych w przeglądarce. Można to efektywnie wykorzystać do kradzieży cookies a co za tym idzie danych logowania.

Google dodaje, że nie ma szans na to, aby sprawdzić, czy ktoś był/jest ich ofiarą. A że błąd został odkryty niezależnie przez aż 3 zespoły i w przypadku procesorów Intela istnieje od 2010 roku, to można przypuszczać, że od dawna może też być znany i wykorzystywany (bez śladu!) przez inne grupy.

Aby sprawdzić czy nasz system jest podatny: https://downloadcenter.intel.com/download/27150

Jeśli pokaże się wam zielony napis: "This system is not volnerable" wasz system nie jest podatny.

Mimo sprawdzenia jakimkolwiek narzędziem, sugerujemy jak najszybsze wgranie dostępnych aktualizacji systemu operacyjnego, przeglądarki, jeśli jeszcze tego nie zrobiliście.

Giełda BitBay przypomniała dziś o tym swoim użytkownikom:

W nawiązaniu do ostatnich wiadomości, które obiegły świat dotyczących krytycznych błędów odkrytych w procesorach Intela, AMD i ARM, apelujemy o szczególną ostrożność oraz aktualizowanie swoich systemów operacyjnych, przeglądarek internetowych oraz pozostałego oprogramowania na bieżąco, zarówno w komputerach osobistych, jak i w urządzeniach mobilnych. Podatność dotyczy każdej platformy, nie ma znaczenia czy korzystacie z Linuksa, macOS czy też Windowsa.

Przypominamy także o konieczności aktualizacji portfela Electrum, w którym również znaleziono luki bezpieczeństwa.

Otwarta sieć może być niebezpiecznym miejscem dla użytkowników kryptowalut. Ataki phishingowe, trojany i socjotechnika obejmują coraz szersze kręgi, sprawiając, że nawet najsprytniejsi posiadacze bitcoin muszą pozostać czujni. Jednak w sklepach z aplikacjami Apple i Google zakłada się, że jeśli aplikacja mobilna została sprawdzona i pobrana w tysiącach, musi być bezpieczna. Założenie to jest dalekie od prawdy, dziesiątki tysięcy użytkowników odkryło na własnym przykładzie.

Ani Google Play, ani App Store nie są chronione przed fałszywymi, spamerskimi lub oszukańczymi aplikacjami. Ale to użytkownicy Androida najczęściej cierpią z powodu pozbawionych skrupułów programistów. Jedna z najbardziej rażących aplikacji, która okradła tysiące użytkowników, nazywa się po prostu Poloniex. Pomimo tego, że nazwana jest "Oficjalną aplikacją Poloniex ®" popularnej giełdy kryptowalut.

Wydaje się być ok, ale nie jest !!!

Aby użytkownicy mogli tylko pobieżnie rzucić okiem na aplikację przed kliknięciem przycisku "Pobierz", łatwo można go rozpoznać po znanym logo i zrzutach ekranu z platformy transakcyjnej. Dokładna inspekcja ujawnia ciąg literówek, sugerujących, że wszystko jest nie tak, co potwierdza średnia ocena aplikacji wynosząca tylko jedną gwiazdkę, na podstawie 162 opinii.

Przeciętny użytkownik sieci Web może pomyśleć dwa razy przed kliknięciem podejrzanego linku e-mail, ale nie będzie w stanie dokładnie zbadać najwyższego wyniku, który pojawi się w sklepie z aplikacjami. Sądząc po setkach niezadowolonych komentarzy, "Oficjalna aplikacja Poloniex ®" przyczynia się do kradzieży danych konta użytkowników, a następnie ich monet.

Aplikacja Poloniex nie jest bynajmniej jedyną oszukańczą aplikacją - w Google Play jest co najmniej pięć aplikacji z nazwą Poloniex. Jednym z powodów, dla których Poloniex jest tak łatwy w podszywaniu się, jest fakt, że na giełdzie brakuje własnej oficjalnej aplikacji mobilnej. Pozostawia to pustkę, którą wykorzystali oszuści. Gdyby Poloniex miał wydać własną aplikację, jak większość swoich rówieśników z Coinbase, Bitfinex, wyeliminowałaby lub ukrył większość imitacji za jednym zamachem.

Pomógłby też, gdyby Poloniex zrobił więcej, aby zdystansować się od aplikacji firm trzecich, jego konto na Twitterze nie przekazało komentarza na ten temat od początku 2016 roku, a tysiące użytkowników zostało oszukanych. Google Play również zasługuje na krytykę za to, że nie usuwa tych aplikacji, użytkownicy powinni być bardziej czujni na sygnały, że takie aplikacje są rażąco fałszywe.

"Wieczna czujność jest ceną wolności". Te słowa zostały napisane przez Wendella Phillipsa ponad sto lat temu, ale obowiązują one również dzisiaj. Oszuści będą próbować każdego możliwego ataku, aby znaleźć podatny na atak cel. Pojawiły się nawet doniesienia o fałszywej pomocy telefonicznej, która rzekomo pochodzi od Coinbase i Krakena. Te mistyfikacje, które zwykle emanują z Indii, są jedynie zaktualizowaną wersją oszustwa telefonicznego dotyczącego systemu Windows.

Podczas gdy przestrzeń krypto-waluta przyciąga swoją część oszustów, problem ten nie jest izolowany. Ponad milion osób pobrało fałszywą wersję Whatsapp ze sklepu Google Play, podczas gdy złośliwe oprogramowanie Bankbot, które kradnie hasła i szczegóły 2FA, zostało dwukrotnie usunięte przez Google, ale pojawiło się ponownie, ostatnio pod nazwą "Crypto currencies market prices".

Pomyśl zanim klikniesz

Użytkownikom poszukującym aplikacji mobilnej dla ich preferowanej giełdy kryptowaluty, ticker lub portfel będę doradzał, aby kliknąć na linki z oficjalnej giełdy, ticker lub portfel sprawdzić, poczytać komentarze, aby nie trafić na fałszywą wersję wewnątrz sklepu z aplikacjami. Jednak nawet klikając na legalne linki opłaca się zachować ostrożność.

Pewna firma od zabezpieczeń niedawno obejrzała 90 najpopularniejszych aplikacji z Androidem do kryptowaluty, które mają miliony pobrań. Ich odkrycia? 94% wykorzystało przestarzałe szyfrowanie, 66% nie używało szyfrowania, a 44% używało zakodowanych na stałe haseł zapisanych w postaci zwykłego tekstu.

Ekosystem aplikacji Apple nie jest idealny, jednak większość problemów związanych z nieuczciwymi lub źle zakodowanymi aplikacjami pochodzi z Androida.

Na użytkowników komputerów stacjonarnych również czyhają zagrożenia w postaci fałszywych linków do giełd w wyszukiwarkach, fałszywych maili od giełd i wiele innych. Zaleca się szczególną ostrożność wszędzie.

Uwaga na Phishing !!!

październik 03, 2017

Wraz z naszymi partnerami JPK Traders ostrzegamy o kolejnym zagrożeniu jakim jest Phishing.

W poprzednim artykule poświęconemu bezpieczeństwu na rynku kryptowalutowym poruszyliśmy schemat działania Pump and Dump. W tym tygodniu chcielibyśmy poruszyć temat Phishingu.

 


Czym jest Phishing?

 


Celem phishingu jest odwzorowanie strony bądź maila (a nawet profilu social media) prawdziwej organizacji, tak aby użytkownicy myśleli, że kontaktują się z przedstawicielem firmy, gdy tak naprawdę po drugiej stronie znajduje się oszust. Nie jest to nowy sposób oszustwa i jest bardzo popularny poza światkiem kryptowalutowym - próbowano w ten sposób ukraść informację użytkowników z takich stron jak Adobe, Blizzard, Microsoft, Google czy setek innych.

 


Po udanym podszyciu się pod organizację, oszuści zechcą zdobyć dane personalne użytkowników - na przykład poprzez zresetowanie hasła czy poprostu przekazanie ich poprzez kliknięcie w link. Natomiast najbardziej popularny phishing w przypadku kryptowalut odbywa się za pomocą upodobnienia się do popularnych portfeli (np. My Ether Wallet) czy głównych ICO, które właśnie się rozpoczęły (jak Bancor czy Distric0x).

 


Jak działa Phishing?

Schemat

 

Oszuści wybierają znane i szeroko rozpoznawalne strony - My Ether Wallet jest bardzo popularnym wyborem w przypadku inwestycji w Ethereum czy tokenów ERC-20. Również wiele osób używa go w celu inwestowania w ICO. Przestępcy „inspirują się” różnymi częściami portalu:

adresem organizacji

interfejsem użytkownika

podpisem email

nazwą konta w Social Media

 


Następnie postarają się zarejestrować nazwę bardzo podobną do oryginalnej strony. Prawdziwy adres My Ether Wallet to www.myetherwallet.com, więc oszuści mogą próbować kupić domenę www.myethervvallet.com (podwójne V) czy www.myetherwallet.com.net. Potem skopiują interfejs użytkownika z My Ether Wallet i podłączą pod niego własną bazę danych.

 


W dalszej kolejności przestępcy na popularnych kanałach dla użytkowników kryptowalut - takich jak slack, reddit czy telegram, wybiorą nazwę odpowiednią dla swojego celu. Świeżym przykładem jest rejestracja profilów publicznych pod loginem „ether-security-team” czy „vitalik-buterin”.

 


Początek zabawy

Wówczas oszuści roześlą do jak największej ilości osób wiadomość informującą o pewnym problemie. Ostatnio podszywając się pod DEV team Ethereum informowali o potrzebie włączenia 2FA, bez którego zostaną zablokowane tokeny oraz środki.

 


Nieświadomi użytkownicy klikając w link myetherwallet.com w rzeczywistości zostali przeniesieni na stronę myethervvallet.com (podwójne V) na której mieli wpisać swoje poufne dane. Poprzez potężny spam za pomocą kilku kanałow, użytkownicy przekazywali swoje prywatne klucze, hasła i inne cenne informacje.

 


Wypłata

Po przekazaniu informacji oszuści mają bezpośredni dostęp do prywatnych kluczy, a tym samym do środków. Używając programów przesyłają je z adresów ofiar na swój własny. Gdy taka transakcja zostanie wykonana nie jest już możliwe jej odwrócenie.

 


Więc jak nie stać się ofiarą?

Istnieje kilka sposobów, które mogą ograniczyć ryzyko bycia oszukanym.

 


Dołącz do społeczności

Bardzo ważne jest wzajemne informowanie się. Znanym przypadkiem był ostatnio phishing podszywający się pod Bittrex o którym informował jeden z użytkowników na grupie Kryptowaluty - Oszuści (https://www.facebook.com/groups/275810916244743/permalink/280214345804400/)

 


 

 


Używaj własnych zakładek i znanych linków przekierowujących

Jeżeli Coinbase chciałoby abyś zmienił hasło, ogłosiłoby to na swojej stronie lub wysłało zapowiedzianego emaila. Zawsze bądź podejrzliwy wobec linków wysyłanych poprzez prywatne wiadomości czy email. Jeżeli chcesz odwiedzić stronę w celu potwierdzenia informacji, użyj zakładki lub zapisanego linku.

 


Wielokrotne potwierdzenie

Jeżeli pojawia się krytyczny błąd w oprogramowaniu, jest on ogłaszany poprzez stronę organizacji, jej fanpage, a nawet media. Zawsze weryfikuj informację u wielu źródeł.

 


Kontaktuj się tylko poprzez oficjalne kanały

Projekty kontaktują się z użytkownikami głównie poprzez email, reddit czy slack. Jeżeli otrzymujesz informację z innego źródła możesz założyć, że jest to scam i zignorować ją.

 


Podsumowanie

Podobnie jak w przypadku schematów Pump and Dump, jeżeli jesteś zdyscyplinowany, opanowany i cierpliwy, nigdy nie dasz się nabrać na phishing. Jednak w przeciwieństwie do Pump and Dump naiwność nie rodzi się tu ze strachu przed „odjechaniem pociągu”, a bazuje na poczuciu bezpieczeństwa.

PUMP AND DUMP

wrzesień 18, 2017

Wspólnie z naszymi partnerami JPK Traders, zapraszamy na serię artykułów dotyczących zagrożeń w świecie kryptowalut jakie mogą na was czekać.

 

PUMP AND DUMP

OSZUSTWA, MANIPULACJA RYNKU, SCHEMAT DZIAŁANIA

 

 

Jeżeli interesujesz się trochę kryptowalutami, a mając na uwadze ostatnie wzrosty-jest to całkiem prawdopodobne, bez wątpienia możesz dojść do całkiem ciekawych konkluzji. Istnieją ludzie, którzy twierdzą, że zarobili 1000% w ciągu kilku miesięcy, a Dash i Ripple uczynił z nich milionerów w ciągu nocy!
Biorąc pod uwagę takie wnioski łatwo uwierzyć, że można szybko dorobić się fortuny - jeśli jesteś szczęśliwcem jest to możliwe. Jednak z powodu powiększenia się rynku, pojawiło się również więcej oszustów, którzy wręcz krzyczą o swoich zyskach. Jeżeli jesteś nowy w tym biznesie możesz w nie uwierzyć.

W tej serii przedstawimy powszechne oszustwa kryptowalutowe, czyli jak ludzie dają się nabrać i jak łatwo je zidentyfikować. Dziś przyjrzymy się bliżej schematowi Pump and Dump.

 
CZYM JEST Pump and Dump?

Pump and Dump to specyficzny schemat manipulacji rynku, polega na szybkim wzroście ceny i sprzedaży na szczycie popularności waluty. W przypadku dużych kryptowalut jak Ethereum czy Bitcoin jest to praktycznie niemożliwe, aby jeden człowiek stał za manipulacją kursu. Jednak są setki tokenów z kapitalizacją poniżej 5 milionów dolarów. W ich przypadkach, znacznie łatwiejszym jest zdobycie pokaźnej ilości waluty w celu rozpoczęcia manipulacji.

 
JAK DZIAŁA Pump and Dump?

Schemat

Jak w przypadku każdej rynkowej manipulacji istnieją dwie grupy ludzi. Pierwsza to insiderzy którzy promują aktywo i chcą nakłonić drugą grupe, aby kupowała, podczas gdy oni będą im sprzedawać. Bardzo znanym sposobem na stworzenie grupy insiderów jest utworzenie grupy Pump and Dump.

Grupy Pump and Dump to wszelakie półprywatne kanały, takie jak Slack czy Telegram, które pozwalają użytkownikom na spokojne planowanie daleko od publiki. Czasem można zobaczyć ich reklamy na bardziej publicznych kanałach takich jak Reddit, jednak na ogół insiderzy nie promują się jeszcze na tym etapie. W tym czasie zajmują się skupowaniem wybranej waluty po niskiej cenie.

 
Początek zabawy

Gdy insiderzy zakupią już wystarczający pakiet zaczyna się robić głośno. Bardzo głośno.

 
Zacznynają promować kryptowalutę mówiąc, że ta technologia ma prawdziwy potencjał, posiada udogodnienia, których nie ma żadna inna i… cena zaczyna rosnąć! Użytkownicy spoza pierwotnej grupy zaczynają dostrzegać token i go kupować. Jako, że cena utrzymuje się na niskim poziomie, nie potrzebna jest spora aktywność aby ją szybko podnieść.

 
Kapitalizacja takiej kryptowaluty wzrośnie z 5 milionów $ do 50 milionów $ w ciągu paru dni, powodując, że rynek chwilowo poszybuje. Wielu innych inwestorów zacznie ją promować na swoich blogach dodając jeszcze więcej wiarygodności szybkiemu wzrostowi ceny.

 
Wypłata

Nareszcie przyszedł właściwy czas dla insiderów, aby upłynnić swoje aktywa, sprzedając po cichu, dalej mówiąc innym aby kupowali. Po tym jak grupa insiderów zyska 10-krotność swojego wkładu, często po prostu znika, a rynek wciąż kupuje.

 
Wtedy cena spada tak szybko jak urosła. Wielu tych, którzy kupili na szczycie pozostanie z kryptowalutami o zmniejszającej się wartości. Oni są prawdziwymi celami insiderów, odkupili kryptowalutę 10 razy drożej, która tak naprawdę jest bezwartościowa. A po takim schemacie wzrostu i spadku, rzadko kiedy waluta ponownie urośnie.

 
JAK POZNAĆ SCHEMAT Pump and Dump?

Powodem dla którego inwestorzy dają się załapać w taki schemat jest to, że 4000% wzrost nie jest niczym niespotykanym w ‚kryptoświatku' - Ethereum uzyskało taki sam zwrot od stycznia do czerwca. Jednak istnieją kluczowe różnice, które można dostrzec przed zainwestowaniem w coś bezwartościowego.

 


Długi brak aktywności przed nagłym skokiem

Znaczące wzrosty cen nie są niczym specjalnym, jednakże w przypadku Pump and Dump handel przed wzrostem praktycznie nie istniał. Dla przykładu oto wykres Ethereum przedstawiający sytuację przed nagłym wzrostem:

Mimo, że wolumen przed skokiem był dość niski, był to dość aktywny rynek, z dołkami i szczytami.

 
Porównajmy go do ChainCoin, znanej kryptowaluty Pump and Dump

Nie ma praktycznie żadnej aktywności przed skokiem 8 lipca. Ethereum posiadało aktywny rynek rosnący w siłę, podczas gdy handel na ChainCoin praktycznie nie istniał, a wzrost aktywności był nagły.

 
Zerowy wolumen to jeden z charakterystycznych oznak Pump and Dump.

 
Bardzo mało znany token poza jednym czy dwoma kanałami

Jeżeli jesteś nowy, ciężko znaleźć dobre źródła wiedzy o krypto. Jednakże po zrobieniu odpowiedniego researchu odnajdziesz wiele społeczności na kanałach takich jak Reddit, Telegram, Slack czy nawet IRC. Nawet mniejsze kryptowaluty jak Nexus mają tysiące użytkowników na Slacku, Reddit i Twitterze.

W przypadku Pump and Dump insiderzy posiadają jeden kanał przekazywania informacji (grupa telegram, kanał slack czy youtube) oraz ludzi przekazujących wiedzę na cudzych grupach o tematyce kryptowalutowej. Będzie więc istniała spora aktywność skupiona wokół głownej grupy i mimalne informacje na paru innych.


Jeżeli odkryłeś, że nie możesz znaleźć informacji odnośnie swojej inwestycji pośród innych społeczności, jest to znak, że grupa (insiderów) nie istnieje zbyt długo.

 
Natychmiastowe i ostre niszczenie jakiejkolwiek krytyki w zarodku

Użytkownicy kryptowalutowi nie są znani z pokory, jednak nawet w takich miejscach jak subreddit Ethereum i forach Bitcoin, istnieje spora ilość debat i argumentów. Jako, że grupy Pump and Dump polegają na chwilowym hype, nawet jedna różniąca się w poglądach opinia może zaburzyć obraną ścieżkę grupy. W takim przypadku, insiderzy zaczną atakować buntowników dopóki nie odejdą.


Jeżeli grupa nie tworzy uczciwej debaty, jest to zła wróżba.

 

PODSUMOWANIE

 


Powodem dla którego ludzie dają się złapać w sidła oszustów jest strach przed ‚odjechaniem pociągu’. Oszuści w podły sposób wykorzystują obawy ludzi przed tym, że ich pociąg do bogactwa odjedzie. Jeżeli jesteś zdyscyplinowany, opanowany i cierpliwy, nigdy nie dasz się nabrać oszustom.

 


Przed włożeniem swoich pieniędzy w daną inwestycję zawsze należy zaznajomić się z charakterystyką danego waloru. W przypadku kupna akcji inwestorzy poszukują wskaźników fundamentalnych, czytają prospekt emisyjny i ryzyka spółki, Inwestując w kryptowaluty nie posiadamy uniwersalnego wzoru, należy szukać, szukać i jeszcze raz szukać - czasem odnajdziemy ciekawą opinię na mało znanym blogu. Natomiast uniwersalnym ryzykiem w przypadku inwestowania przez internet jest ryzyko oszustwa przez drugą stronę, któej nie znamy.

W celu wzajemnego ostrzegania się przed oszustwami i scamem zapisz się do grupy Kryptowaluty – Oszuści  https://www.facebook.com/groups/275810916244743/, która jest oddolną inicjatywą społeczności kryptowalutowej.

 

Bitbay

Reklama