Historie Internetu je od počátku doprovázena určitým druhem nekalé činnosti, které jakoby se technologický pokrok v oblasti kybernetické bezpečnosti téměř netýkal. Ano, hovoříme o tzv. sociálním inženýrství. Bohužel dnes se cílem těchto praktik může stát kdokoli a ušetřeni nemusíte zůstat ani vy a vaše kryptopeníze.
Útoky, jež vešly do povědomí pod názvem phishing, vycházejí ze způsobu lidského rozhodování známého jako kognitivní chyba úsudku. Phishing, nejrozšířenější forma útoku, se používá k vylákání citlivých informací, jako např. čísel kreditních karet, hesel a jiných důvěrných informací od neinformovaných uživatelů internetu. Oběti bývají útočníkem kontaktovány, aby tyto informace útočníkovi dobrovolně zaslaly. A mnohdy se tak skutečně děje.
Díky novým technologickým možnostem mohou phishingové útoky dosahovat i “nepřímých” forem – například imitací nějaké aplikace, kterou při nákupu a prodeji kryptoměn využíváte. V takovém případě vás útočník přímo nekontaktuje, ale místo toho vám podstrčí falešný program, který se může tvářit třeba jako rozhraní vaší kryptoměnové peněženky, a při kliknutí na nějaké tlačítko můžete třeba nechtěně útočníkovi udělit přístup k vašim financím.
Poznámka
TIP: To nejzákladnější, co si musíte uvědomit, tedy zní: Nikdy nikomu nesdělujte seed vaší peněženky ani privátní klíč k vaší peněžence. Vždy je uchovávejte pouze napsané na papír, nebo na jiném bezpečném místě, kde se k nim nikdo nedostane. Vyzkoušet můžete např. tyto způsoby.
Věřte svému přístroji
Takto vypadá zařízení bezpečné peněženky Trezor
Váš internetový prohlížeč a softwarová peněženka bývají často náchylné k infikování škodlivým programem, rozšířením nebo virem. Pokud však máte peněženku Trezor, znamená to, že pracujete v režimu off-line a podobných pokusů jste ušetřeni.
Základním smyslem bezpečných hardware peněženek jako Trezor či Ledger je zachovat vaše heslo peněženky (seed) stranou od těchto rizik.
Nicméně i při práci s Trezorem se doporučuje důkladně si všechny funkce ověřit. Váš počítač by je (seed atd.) po vás nikdy neměl vyžadovat, pokud nechcete zrovna svoji peněženku např. po ztrátě zařízení obnovit.
Kdybyste se opravdu na svůj účet potřebovali dostat a byli nuceni svůj seed zadat, přístroj vás vždy vyzve, abyste slova zadali v přeházeném pořadí. Doporučujeme také vkládat slova vašeho seedu přímo na hardware peněžence jako takové a ne v počítači. Tím zajistíte maximální ochranu vašich transakcí.
Stejně opatrní byste však měli být i při manipulaci se softwarovými peněženkami. Je důležité si vždy dávat pozor kam a za jakých okolností svůj seed zadáváte. U softwarových peněženek je riziko ztráty finančních prostředků ještě větší kvůli snížené úrovni bezpečnosti (pracují vždy v režimu on-line).
Z toho důvodu důrazně doporučujeme používání hardwarových peněženek Trezor. Pokud softwarové peněženky potřebujete (např. pro vstup na DeFi burzy), je možné je pro zvýšení bezpečnosti s hardwarovými peněženkami propojit.
V následujícím článku se podíváme na některé známé techniky phishingu a tipy, jak se před podobnými pokusy ochránit.
Technika falešné identity
Jedním z nejrychlejších a technologicky nejjednodušších způsobů phishingového útoku je technika falešné identity. Útočník, snažící se vylákat z neinformovaného uživatele citlivé informace formou e-mailu, telefonátu nebo falešných webových stránek, se obvykle vydává za pracovníka klientských služeb nebo prodejního zástupce samotné společnosti, která peněženky vyrábí.
Cílem mnoha technik phishingu je dostat vás na falešné stránky, odkud může útočník veškeré zaslané informace libovolně shromažďovat a kontrolovat. Podobně jako v případě falešné identity je jejich smyslem připravit vás o vaše privátní klíče.
Poznámka
Pokud používáte peněženku Trezor, je důležité si uvědomit, že zástupci společnosti SatoshiLabs, oficiálního výrobce peněženek Trezor, po vás za žádných okolností zadávání seedu nebo čísla kreditní karty chtít nebudou!
Pokud byste u vašeho přístroje narazili na nějaký problém nebo se potřebovali na něco v souvislosti s Trezorem dotázat, jediný bezpečný způsob, jak SatoshiLabs kontaktovat, je poslat tzv. support ticket na jejich středisko podpory. Další možnost je napsat komentář přímo zde na našich stránkách Finex.cz a my se budeme snažit na váš dotaz najít odpověď.
Podporu v podobě telefonátu či přímého živého kontaktu firma SatoshiLabs neposkytuje. Proto nikdy nevolejte na čísla, která se tváří, že jsou spojeny s podporou peněženky Trezor. Nejsou!
Pod formou falešné identity si však můžeme představit víceméně jakoukoliv formu phishingu. Zde jsme psali např. o falešné kampani podvodníků vydávajících se za vývojáře Chainlinku.
Imitace rozhraní používaných aplikací
Další možný přístup je vytvořit velmi podobné rozhraní vámi používané oficiální aplikace a vydávat se za ni. Vzhledem k principu je možné tuto techniku také označit za formu falešné identity.
Mějme jako příklad softwarovou peněženku MetaMask. Jedná se o nejběžnější softwarovou peněženku zejména pro DeFi a proto si ji útočníci rádi vybírají. K napodobení můžeme přistupovat různými způsoby. Ty nejběžnější si vysvětlíme níže.
Klonování vzhledu MetaMask pomocí CSS: Útočník kódováním vytvoří vzhledově velmi podobnou formu kryptoměnové peněženky, ve skutečnosti se však jedná úplně o jinou aplikaci. Na první pohled může fungovat stejně – pokud se uživatel chce přihlásit, musí zadat heslo nebo seed phrase. Zadávání hesla běžně vyžaduje uložené informace o uživateli v zašifrované podobě a hackeři se kvůli vysoké úrovni zabezpečení k těmto informacím běžně nedostanou. Pokud ale uživatel zvolí přihlášení pomocí seed phrase, hacker má vyhráno.
Zdroj: bloom.com
Příklad falešného rozhraní kryptoměnové peněženky MetaMask
Označení již dokončené transakce za chybnou a vyžadování povolení pro opětovné provedení: Podvodníci různými způsoby zjistí informace o vámi provedené minulé transakci a zobrazí vám upozornění, že transakce selhala a vyžadují po vás nápravnou akci. Ta může např. vyžadovat opětovné zadání seed phrase. V závislosti na způsobu provedení se může opět jednat o imitovanou aplikaci s jiným vzhledem. Informace o transakcích mohou obsahovat přímo ID minulé transakce, nebo pouze nesmyslné chyby – zde záleží na schopnostech podvodníků.
Zdroj: stackoverflow.com
Falešné upozornění o selhané transakci
Podepisování příchozích transakcí: Na první pohled se může jednat o téměř stejný případ jako výše. Technicky ale funguje úplně jiným způsobem. Podvodníci snadno získají informace přímo o adresách, množství kryptoměn, či o zaplaceném poplatku příchozí transakce a “vyžadují potvrzení”. Bystrý uživatel samozřejmě ví, že příchozí transakce MetaMask nikdy nepotvrzuje. Podvodníci však sázejí na chvilkovou nepozornost uživatelů. A opět, podpis je možné provést “například” pomocí seed phrase. Jaká náhoda.
Zdroj: bloom.com
Falešné upozornění o podpisu příchozí transakce
Technika DNS Spoofing (“Otrava DNS”)
Jedná se o techniku útoku, která využívá způsobu práce systému DNS. Funguje to tak, že vás útočník “svede z cesty” (kde vše vypadá, jako byste pracovali v režimu off-line) nebo jste přesměrováni přímo na stránky kontrolované samotným útočníkem.
V případě tzv. BGP hijacking se hacker naopak zmocní skupiny IP prefixů patřících potenciální oběti útoku. Oba způsoby lze identifikovat pomocí neplatného SSL certifikátu, nicméně uživatelé toto varování snadno přehlédnou a ocitnou se nechtěně na falešných stránkách.
Proto je velmi důležité všímat si všech upozornění, zvláště pokud se pohybujete v natolik citlivém prostředí jako jsou kryptoměny.
Unicode domain phishing
Dalším z možných typů útoku je tzv. unicode domain phishing známý též pod názvem homografický útok, využívající skutečnosti, že určité internetové prohlížeče zobrazují unikódový text v názvech domén v podobě běžných znaků, čímž znemožňují jejich virtuální odlišení od pravých domén.
Ve svém prohlížeči tedy zběžně můžete vidět adresu www.bitfinex.com, ale ve skutečnosti může mít doména malé rozdíly a vypadat např. takto: www.bítfínex.com.
Je důležité věnovat pozornost i těmto detailům – a ve světe kryptoměn to platí dvojnásob!
Pokud si útočník zaregistruje doménu, kterou nelze na první pohled rozeznat od pravé domény, může se mu podařit zmást uživatele, kteří ji budou považovat za pravou.
Email phishing
Další poměrně známou technikou je rozesílání SPAM emailů, které od uživatele loudí jméno a heslo k některým z kryptoměnových burz, nebo k samotnému emailovému účtu.
Zdroj: facebook.com
Ukázka podvodného emailu
Na obrázku výše je fotka emailu, který přišel jednomu z kryptoměnových obchodníků. Ten ji poslal na Facebook jako varování dalším uživatelům.
Povšimněte si toho, že odesílatel je emailová adresa [email protected], ale oficiální webová adresa burzy Poloniex je poloniex.com.
E-mailová adresa odesílatele by tedy vždy měla končit na @poloniex.com!
Dalším krásným případem emailového phishingu je výše zmiňovaná phishingová kampaň cílená na majitele kryptoměny Chainlink.
Na následujícím obrázku je ukázka emailové komunikace od podvodníků s návodem pro aktivování falešné aktualizace. Opět si zde můžeme všimnout zvláštní emailové adresy [email protected]
Zdroj: twitter.com
Emailová komunikace od podvodníků vydávajících se za chainlink – falešná identita
Pozor! Tento útok je obzvláště nebezpečný.
Byl velmi úspěšný kvůli skutečnosti, že podvodníci pro krádež kryptoměn nepotřebovali znát seed phrase kryptoměnových peněženek obětí.
Podrobné vysvětlení funkčnosti tohoto podvodu je k dispozici v článku.
Co si z toho odnést? Nepropadejte falešné představě, že přístup k vašim kryptoměnám je možný pouze přes privátní klíče a seed. Ano, jde to i jinak.
Útočníci jsou vynalézaví a mohou vymyslet různé způsoby. Naštěstí mnohé podvodné emaily jsou snadno detekovatelné kvůli falešným emailovým adresám. Pro ověření informací je vždy dobré zavítat na oficiální zdroje, kde si vše ověříte.
Cybersquatting
Kybernetický squatting neboli doménový squatting znamená registraci nebo využívání nelegálního názvu domény. Tento typ napadení se může projevovat v řadě různých podob, přičemž prvotním účelem je vždy snaha zcizit nebo znetvořit název domény. Kybernetický squatting může rovněž zahrnovat případy, kdy se “inzerent” snaží napodobit názvy domén různých známých a často navštěvovaných stránek.
Poznámka
TIP: Abyste se vyvarovali výše zmíněných rizik, nikdy nezadávejte svůj seed na počítači v režimu on-line v přímém pořadí a nevyzrazujte pořadí slov.
Pár rad na co se zaměřit, abyste se nestali obětí phishingu:
Důvěřujte svému přístroji. Sledujte jednotlivá potvrzování na monitoru, zvláště pokud při nich probíhají nějaké transakce nebo pracujete s vaším seedem.
Vždy si zkontrolujte, že jste na oficiálních stránkách jakýchkoliv služeb, které používáte
Ukládejte si oficiální adresy burz a peněženek do záložek v prohlížeči, v případě peněženky Trezor je to https://wallet.trezor.io, přejdete tak překlepům při zadávání nebo podsrtčení nepravé domény útočníkem.
Zelený zámeček ve vašem prohlížeči vlevo od adresy sice nemusí vždy zaručit 100% autentičnost stránek, nicméně pokud tam takový zámek chybí, určitě se něco děje.
Nikdy svůj seed nikomu neukazujte nebo nepředávejte. To se týká nejen pracovníků technické podpory Trezoru, ale i ředitele společnosti nebo kterékoli jiné osoby. To samé samozřejmě platí i pro MetaMask a jakékoliv jiné služby.
Pozorně sledujte adresy stránek a všímejte si jakýchkoli nepřesností v pravopisu či podivných znaků.
Používejte poslední verze zabezpečovacího softwaru, instalujte si všechny bezpečnostní záplaty a aktualizace, které jsou k dispozici.
Neklikejte na odkazy či zásilky v podobě e-mailu nebo na sociálních sítích, u nichž si nejste 100% jisti jejich autentičností.
Věnujte zvýšenou pozornost různým zkráceným či neúplným odkazům, zvláště pokud jde o sociální média.
Zaměstnanci SatoshiLabs (firma vyvíjející peněženku Trezor) nebo Ledger vás nikdy nebudou kontaktovat na Facebooku či v emailu, abyste jim prozradili nějaká data.
U provádění transakcí pomocí softwarových peněženek si vždy dejte pozor na všechna vyskakující upozornění a kontrolujte si průběh všech vašich transakcí.
Při zadávání seed phrase do přihlašovacích dialogů si ověřujte, že se nacházíte v oficiální aplikaci.
Bývalý šéfredaktor, softwarový architekt a nadšenec do kryptografie, kyberbezpečnosti a blockchainu. V rámci Finexu se zaměřuje zejména na technická témata v oblasti kryptoměn. V současnosti působí také jako správce financí v rámci investiční skupiny Icecaps Capital, v níž se zaměřuje na využití strojového učení v algoritmickém obchodování.
Kryptoměny považuje za platidlo budoucnosti řešící řadu problémů s centralizovanou náturou existujících platebních prostředků. DeFi svět považuje za úchvatný a nabízející spoustu skvělých příležitostí.
Abychom mohli poskytovat co nejlepší služby, používáme k ukládání a/nebo přístupu k informacím a funkcím technologie, jako jsou soubory cookies. Váš souhlas s použitím těchto technologií nám umožní zpracovávat údaje, jako je Vaše chování při používání našeho webu. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce těchto webových stránek.
Technické
Vždy aktivní
Technické cookies jsou nezbytně nutné pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistiky
Cookies využívané výhradně pro statistické a analytické účely.Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Cookies používané k vytvoření uživatelských profilů za účelem zobrazování reklamy nebo sledování chování na webových stránkách pro podobné marketingové účely.
95 %
86 %
Diskuze (0 komentářů)
Tento článek zatím nikdo neokomentoval. Přihlašte se a buďte první! Napište svůj názor a zahajte diskuzi.