10 روش هکرها برای سرقت ارز دیجیتال
15 می 2021 2021-05-10 19:3910 روش هکرها برای سرقت ارز دیجیتال
10 روش هکرها برای سرقت ارز دیجیتال
موضوع امنیت برای کاربران ارزهای دیجیتال و علاقهمندان این حوزه، بسیار مهم است زیرا با توجه به ویژگیهای ارزهای دیجیتال، احتمال هک و دزدی بسیار بالاست.
اگر در یکی از سرویسهای مرتبط با ارزهای دیجیتال مانند کیف پولها کار کرده باشید، میدانید که اغلب اوقات نیاز است فرایند خستهکننده و گاهی اوقات پیچیده حفظ کردن عبارات بازیابی و کدها را طی کنید یا اینکه کد یا اطلاعاتی را برای دسترسی بعدی در جایی ذخیره نمایید.
درست است که برخی کیف پولها با در اختیار قراردادن کلید خصوصی به کاربران، کنترل کامل داراییشان را به آنها واگذار میکنند ولی بهای داشتن کنترل این است که باید مسئول حفظ امنیت ارز دیجیتالتان باشید.
و از آنجایی که بیشتر مردم در حوزه امنیت متخصص نیستند، بدون اینکه بدانند در معرض خطر قرار دارند و حتی بسیاری از مواقع، کارکشتههای تکنولوژی، ابتداییترین نکات امنیتی را رعایت نمیکنند و این باعث تعجب است.
در دنیای ارزهای دیجیتال، حتی با داشتن یک کیف پول سختافزاری معتبر که امروزه به عنوان یک استاندارد بالا شناخته میشود، شما همیشه در معرض ریسک هستید. زیرا بسیاری از اوقات، مشکلات در زمانی که شما قصد اتصال برقرار کردن با کیف پولتان را دارید به وجود میآیند. بنابراین چیزی که ما را در معرض ریسک قرار میدهد، الزاما ضعف تجهیزات یا سرویسهایی که با آنها سروکار دارید نیست، بلکه این نبود توجه و دقت است.
در ادامه این مطلب از خوارزمی 10 حقه و روش که هکرها برای دزدیدن کلید خصوصی و موجودی ارز دیجیتال شما به کار میبرند را بخوانید.
1. کپی و Paste
شما آدرسی که می خواهید برای آن بیت کوین ارسال کنید را مشاهده می کنید. این آدرس را کپی کرده و سپس در کیف پول خودتان Paste می کنید. این روال به صورت عادی انجام می شود به جز در مواردی که چیزهایی نظیر تروجان کریپتوشافلر(CryptoShuffler) وجود داشته باشند، کریپتوشافلر برنامه ی کوچکی است که آدرسی که شما کپی کردید را با آدرس دیگری که هیچ ربطی به آدرس اصلی ندارد، جابه جا می کند. این تروجان با هر نوع رمز عبوری از جمله کپی کردن رمز عبور اصلی شما برای مدیر رمز عبور(مثلاً آخرین رمز عبور) کار می کند.
نکته: این کار پر دردسر است اما(حتماً) آدرس را قبل از paste کردن آن، بررسی کنید(۵ رقم اول و آخر). اگر نحوه ی استفاده از کد QR را می دانید از آن استفاده کنید.
نکته ۲: نرم افزارهای عجیب و غریب(غیرعادی) یا برنامه ای که از آن ها اطمینان ندارید را نصب نکنید. به طور منظم یک ضد بدافزار(anti Malware) را بر روی کامپیوتر خود اجرا کنید (مانند Bitdefender و kaspersky) تا کامپیوتر شما پاک سازی شود.
نکته ی کلیدی و هوشمندانه: به جای آدرس های مستعد خطای انسانی که بررسی آن ها غیر ممکن است، از ENS موثق (سرویس نام اتریوم ethereum name service) (بیشتر برای آنچه در ادامه آمده) استفاده کنید. برخی از ENSها ارزان هستند برخی خیر. اما استفاده از ENS موثق آسودگی خاطر به ارمغان می آورد.
2. برنامه های موبایلی هک شده
هکرها می توانند برنامه های تجاری جعلی واقعی منتشر کنند که دارایی ها را از یک صرافی ارز رمزنگاری شده(مانند صرافی Poloniex) خریداری کنند، اما در واقع شما در هیچ مکانی مبادله نمی کنید بلکه پول را به حساب هکر جعلی ارسال می کنید.
به طور کلی، اندروید واقعاً مستعد هک شدن است(بیشتر از iOS). شما باید مراقب آنچه نصب می کنید باشید و اطمینان حاصل کنید که دستگاه شما به طور منظم از داده های ناخواسته(junk) پاک سازی می شود.
نکته: زیاد تخیل پردازی نکنید. واضح است(البته نه برای همه) که شما باید از دستگاه خودتان با استفاده از پین (PIN)، حسگر اثر انگشت (Touch ID) یا قابلیت تشخیص چهره (FaceID) حفاظت کنید، احراز هویت دو مرحله ای را برای تمام برنامه هایی که آن را به شما پیشنهاد می دهند، اضافه کنید و از دانلود موارد ناخواسته بپرهیزید.
3. ربات های هک Slack
ربات هایی که بر روی Slack مستقر می شوند، مثل یک آفت هستند.
آن ها خطرات امنیتی بر روی کیف پول شما را هشدار می دهند(که البته ممکن است مورد خطرناکی وجود نداشته باشد) و شما را به URL ای متصل می کنند که آن ها از شما کلید خصوصیتان را مطالبه می کنند. این کار را انجام ندهید.
نکته: ربات های بر روی کانال slack را نادیده بگیرید. هنگامی که با شما ارتباط برقرار می کنند، آن ها را گزارش دهید. همچنین از Metacert برای محافظت از کانال های slack خودتان استفاده کنید.
4. اکستنشنهای مرورگر
برخی از اکستنشنها در مرورگر کروم یا فایرفاکس مدعی هستند که میتوانند تجربه کاربری بهتری در پلتفرمهای معاملاتی برای شما فراهم کنند. اما احتمال این وجود دارد که این افزونههای مرورگر، همه اطلاعاتی که در آن سایتها ثبت میکنید را ذخیره کرده و به آن دسترسی یابند.
راهکار 1 : هیچ افزونهای روی مروگرتان نصب نکنید. برای دسترسی به سایتهای مهم، مرورگر را در “حالت خصوصی” باز نمایید.
(برای اینکار در مرورگر فایرفاکس در منوی File گزینه New Private Window و در مروگر کروم New Incognito Window را بزنید)
راهکار 2 : از یک مروگر جداگانه برای کارهای حساسی مانند دسترسی به صرافیها و کیف پول استفاده کنید. مرورگر Brave یکی از بهترین گزینهها برای اینکار است.
5. وب سايت های نسخه برداری و تقلید شده (Clone Websites)
هنگامی که تایپ URL یک سایت را شروع می کنید، نوارURL شما، به وسیله ی یک URL دیگری که بسیار شبیه به URL وب سایت مورد نظر شما، دقیقاً با همان ظاهر و قيافه و لوگو است، هك می شود. مراقب باشید!
نكته: به دنبال گواهی صحت https باشید (تا از اصل بودن آدرس مطمئن شوید)، از افزونه Cryptonite كروم/فايرفاكس استفاده کنید كه می توانند URL هاي جعلي را برجسته و مشخص کنند.
6. تبلیغات گوگلی قلابی
این نیز یک تکنیک شناخته شده است که هکرها از آن برای دزدیدن اطلاعات افراد استفاده میکنند.
شما با سرچ در گوگل به دنبال یک سایت هستید، ولی روی لینکی کلیک میکنید که توسط هکرها ایجاد شده و یک تبلیغ گوگلی است و لینک آن طوری ایجاد شده تا بسیار شبیه لینک سایت اصلی باشد.
با این ترفند شما وارد سایتی قلابی با ظاهر کاملا مشابه سایت اصلی میشوید و اطلاعات شما به سرقت میرود.
راهکار: تنها راهکار، بررسی دقیق لینکی است که در تبلیغات گوگل روی آن کلیک میکنید.
7. حسابهای قلابی در شبکههای اجتماعی
فقط صفحاتی در شبکههای اجتماعی را دنبال کنید که در سایت رسمی آن سرویس، اعلام و تایید شده است.
به هیچ منبع دیگری اعتماد نکنید، حتی توصیههایی که توسط الگوریتم خودکار توئیتر یا فیسبوک و اینستاگرام داده میشود قابل اعتماد نیست و ممکن است صفحات فیک و قلابی را به شما نمایش دهد.
بهترین راهکار این است که فقط با کلیک روی لینک شبکههای اجتماعی که در سایت سرویس مربوطه معرفی شده، صفحات آنها را در شبکههای اجتماعی بیابید.
۸. احراز هویت دو مرحله ای از طریق اس ام اس تلفن همراه
اين موضوعي است كه به طور گسترده شناخته شده است. سرويس ها از شما، شماره تلفن همراهتان را برای ثبت نام یا فعال سازی قابلیت احراز هویت دو مرحله ای (2FA) می پرسيد، اما به ويژه در آمريكا، برخی از هكرها در فریب دادن تيم پشتيباني اپراتورهاي تلفن همراه بسيار مستعد هستند و مجوزهای شما را به دست می آورند و از این طریق به هر اكانت لينك شده به تلفن همراه شما دسترسي خواهند داشت.
نكته: از اپراتور خود بپرسيد که تلفن همراه شما چگونه محافظت مي شود.
نكته۲: هرگز هرگز از سرويسي كه به شماره تلفن همراه شما نياز دارد استفاده نكنيد و هرگز قابلیت 2FA را از طریق پیامک (SMS) فعال نكنيد (به جاي آن از يك راه حل نرم افزاري استفاده كنيد مثلِ google authenticator).
۹. فیشینگ ایمیل (Email phishing)
شما يك ايميل از سرويسي كه مي شناسيد دريافت مي كنيد، در حالی که اين ايميل از طرف آن ها نيست. آن ها از فرمت، قالب و طرح دقيقاً يكسانی با آن سرویس، استفاده خواهند كرد. بسياري از اوقات، این سرويس، حتی ايميل شما را در اختیار ندارد، اما مهم نيست، چون شما به یاد نخواهيد آورد که آدرس ایمیل خودتان را در اختیار این سرویس قرار داده اید یا خیر. به خاطر داشته باشيد، كوركورانه كليك نكنيد.
۱۰. هك کردن واي فاي (Wifi hacking)
ممكن است خبرهايی درباره ی هک وای فای ديده باشيد اما (Wi-Fi Protected Access) (دسترسی امن به وای فای) پروتكل امنيتي كه توسط اکثر مسيرياب هاي (routers) وای فای مورد استفاده قرار گرفته، در معرض خطر قرار گرفته است.
به دلیل آسیب پذیری “krack attack” هر كسي مي تواند تمام داده هايي كه از شبكه واي فاي شما عبور مي كنند را ببيند. مشكلات مشابهي در وای فای هاي عمومي نیز اتفاق افتاده است (مانند واي فاي فرودگاه).
نكته: روتر خود را تنظیم كنيد، آپديت ها را چك كنيد و هيچ وقت از طریق وای فای های عمومي، داد و ستد نكنيد (حداقل بدون يك VPN امن اين كار را انجام ندهید).
مرکز آموزشی و کارآفرینی خوارزمی در مسیر یادگیری مهارت های حرفه ای، پیشرفت شغلی، کارآفرینی و توسعه کسب و کار با بهره مندی از دانش و تجربه اساتید متخصص و دارا بودن کادری مجرب در کنار فراهم آوردن محیطی پویا با امکانات روز آموزشی، با افتخار در کنار شما خواهد بود. امیدواریم بتوانیم نقش و سهمی موثر در آینده، جایگاه شغلی و اجتماعی شما مردم کشور عزیزمان ایران داشته باشیم و رسالت اجتماعی خود را به نحو احسن ایفا نماییم.