Finex.cz logo
Hamburger menu Close menu
Finex » Kryptoměny » Phishing útoky u kryptoměn: Dejte si pozor!

Phishing útoky u kryptoměn: Dejte si pozor!

Phishing útoky u kryptoměn: Dejte si pozor!

Historie Internetu je od počátku doprovázena určitým druhem nekalé činnosti, které jakoby se technologický pokrok v oblasti kybernetické bezpečnosti téměř netýkal. Ano, hovoříme o tzv. sociálním inženýrství. Bohužel, dnes se cílem těchto praktik může stát kdokoli a ušetřeni nemusíte zůstat ani vy a vaše kryptopeníze.

Útoky, jež vešly do povědomí pod názvem phishing, vycházejí ze způsobu lidského rozhodování známého jako kognitivní chyba úsudku. Phishing, nejrozšířenější forma útoku, se používá k vylákání citlivých informací např. čísel kreditních karet, čísel sociálního zabezpečení, hesel a jiných důvěrných informací od neinformovaných uživatelů internetu. Oběti bývají útočníkem kontaktovány, aby tyto informace útočníkovi dobrovolně zaslaly.

Věřte svému přístroji

peněženka trezor model T

Peněženka Trezor – Model T

Váš internetový prohlížeč a softwarová peněženka bývají často náchylné k infikování škodlivým programem, rozšířením nebo virem. Pokud však máte peněženku Trezor, znamená to, že pracujete v režimu off-line a podobných pokusů jste ušetřeni.

Základním smyslem bezpečných hardware peněženek jako Trezor či Ledger je zachovat vaše heslo peněženky (seed) stranou od těchto rizik. Nicméně, při práci s Trezorem se doporučuje důkladně si všechny funkce ověřit. Váš počítač by je po vás nikdy neměl vyžadovat, pokud nechcete zrovna svoji peněženku např. po ztrátě zařízení obnovit.

Kdybyste se opravdu na svůj účet potřebovali dostat a byli nuceni svůj seed zadat, přístroj vás vždy vyzve, abyste slova zadali v přeházeném pořadí. Proto doporučujeme vkládat slova vašeho seedu přímo na hardware peněžence jako takové a ne v počítači! Tím zajistíte maximální ochranu vašich transakcí.

Technika falešné identity

Jedním z nejrychlejších a technologicky nejjednodušších způsobů phishingového útoku je technika falešné identity. Útočník snažící se vylákat z neinformovaného uživatele citlivé informace formou e-mailu, telefonátu nebo falešných webových stránek se obvykle vydává za pracovníka klientských služeb nebo prodejního zástupce přímo společnosti, která peněženky vyrábí.

Proto je důležité si uvědomit, že zástupci společnosti SatoshiLabs, oficiálního výrobce peněženek Trezor, po vás za žádných okolností zadávání seedu nebo čísla kreditní karty chtít nebudou!

Pokud byste u vašeho přístroje narazili na nějaký problém nebo se potřebovali na něco v souvislosti s Trezorem dotázat, jediný bezpečný způsob, jak SatoshiLabs kontaktovat, je poslat tzv. support ticket na jejich středisku podpory. Další možnost je napsat komentář přímo zde na našich stránkách Finex.cz. My se budeme snažit na váš dotaz najít odpověď.

Podporu v podobě telefonátu či přímého živého kontaktu firma SatoshiLabs neposkytuje. Proto nikdy nevolejte na čísla, která se tváří, jakoby byla spojena s podporou peněženky Trezor.

Cílem mnoha technik phishingu je dostat vás na falešné stránky, odkud může útočník veškeré zaslané informace libovolně shromažďovat a kontrolovat. Podobně jako v případě falešné identity je jejich smyslem připravit vás o vaše privátní klíče.

Technika DNS Spoofing (“Otrava DNS”)

Jedná se o techniku útoku, která využívá způsobu práce systému DNS. Funguje to tak, že vás útočník „svede z cesty“ (kde vše vypadá jako byste pracovali v režimu off-line) nebo jste přesměrováni přímo na stránky kontrolované samotným útočníkem. V případě tzv. BGP hijacking se hacker naopak zmocní skupiny IP prefixů patřících potenciální oběti útoku. Oba způsoby lze identifikovat pomocí neplatného SSL certifikátu, nicméně uživatelé toto varování snadno přehlédnou, a ocitnou se nechtěně na falešných stránkách. Proto je velmi důležité všímat si všech upozornění, zvláště pokud se pohybujete v natolik citlivém prostředí jako jsou kryptoměny.

Unicode domain phishing

Dalším z možných typů útoku je tzv. unicode domain phishing známý též pod názvem homografický útok, využívající skutečnosti, že určité internetové prohlížeče zobrazují unikódový text v názvech domén v podobě běžných znaků, čímž znemožňují jejich virtuální odlišení od pravých domén.

Ve svém prohlížeči tedy můžete vidět adresu www.bitfinex.com, ale ve skutečnosti může doména mít malé rozdíly a vypadat např. www.bítfínex.com.

Pokud si útočník zaregistruje doménu, kterou nelze na první pohled rozeznat od pravé domény, může se mu podařit zmást uživatele, který ji bude považovat za pravou.

Email phishing

Další poměrně známou technikou je rozesílání SPAM emailů, které od uživatele loudí jméno a heslo k některým z kryptoměnových burz, nebo k samotnému emailovému účtu.

poloniex phishing scam

Takto může vypadat podvodný email

Na obrázku výše je fotka emailu, který přišel jednomu z kryptoměnových obchodníků. Ten ji poslal na Facebook jako varování dalším uživatelům.

Povšimněte si toho, že odesílatel je emailová adresa jmeno@poloniexs.site, ale oficiální webová adresa burzy Poloniex je poloniex.com. Emailová adresy odesílatele by tedy měla končit @poloniex.com!

Cybersquatting

Kybernetický neboli doménový squatting znamená registraci nebo využívání nelegálního názvu domény. Tento typ napadení se může projevovat v řadě různých podob, přičemž prvotním účelem je vždy snaha zcizit nebo znetvořit název domény. Kybernetický squatting může rovněž zahrnovat případy, kdy se „inzerent“ snaží napodobit názvy domén různých známých a často navštěvovaných stránek.

Pár rad na co se zaměřit, abyste se nestali obětí phishingu:

  • Důvěřujte svému přístroji. Sledujte jednotlivá potvrzování na monitoru, zvláště pokud při nich probíhají nějaké transakce nebo pracujete s vaším seedem.
  • Vždy si zkontrolujte, že jste na adrese: https://wallet.trezor.io popř. https://beta-wallet.trezor.io
  • Uložte si adresu https://wallet.trezor.io do záložek ve vašem prohlížeči, abyste předešli překlepům při zadávání.
  • Zelený zámeček ve vašem prohlížeči vlevo od adresy sice nemusí zaručit 100% autentičnost stránek, nicméně pokud tam takový zámek chybí, určitě se něco děje.
  • Nikdy svůj seed nikomu neukazujte nebo nepředávejte. To se týká nejen pracovníků technické podpory Trezoru, ale i ředitele společnosti nebo kterékoli jiné osoby.
  • Pozorně sledujte adresy stránek a všímejte si jakýchkoli nepřesností v pravopisu či podivných znaků.
  • Používejte poslední verze zabezpečovacího softwaru, instalujte si všechny bezpečnostní záplaty a aktualizace, které jsou k dispozici.
  • Neklikejte na odkazy či zásilky v podobě e-mailu nebo na sociálních sítích, u nichž si nejste 100% jisti jejich autentičností.
  • Věnujte zvýšenou pozornost různým zkráceným či neúplným odkazům, zvláště pokud jde o sociální média.
  • Zaměstnanci SatoshiLabs (firma vyvíjející peněženku Trezor) nebo Ledger vás nikdy nebudou kontaktovat na Facebooku či v emailu, abyste jim prozradili nějaká data.
Sdílení článku na facebook Facebook Sdílení článku na twitter Twitter

Ohodnoťte tento článek!

Sledujte nás na Facebooku, ať vám nic neunikne!
Facebook icon Jít na Facebook
Finex logo