10 روش هکرها برای سرقت ارز دیجیتال

ارز دیجیتال
ارزهای دیجیتال

10 روش هکرها برای سرقت ارز دیجیتال

موضوع امنیت برای کاربران ارزهای دیجیتال و علاقه‌مندان این حوزه، بسیار مهم است زیرا با توجه به ویژگی‌های ارزهای دیجیتال، احتمال هک و دزدی بسیار بالاست.

اگر در یکی از سرویس‌های مرتبط با ارزهای دیجیتال مانند کیف پول‌ها کار کرده باشید، می‌دانید که اغلب اوقات نیاز است فرایند خسته‌کننده و گاهی اوقات پیچیده حفظ کردن عبارات بازیابی و کدها را طی کنید یا اینکه کد یا اطلاعاتی را برای دسترسی بعدی در جایی ذخیره نمایید.

درست است که برخی کیف پول‌ها با در اختیار قراردادن کلید خصوصی به کاربران، کنترل کامل دارایی‌شان را به آنها واگذار می‌کنند ولی بهای داشتن کنترل این است که باید مسئول حفظ امنیت ارز دیجیتال‌تان باشید.

و از آنجایی که بیشتر مردم در حوزه امنیت متخصص نیستند، بدون اینکه بدانند در معرض خطر قرار دارند و حتی بسیاری از مواقع، کارکشته‌های تکنولوژی، ابتدایی‌ترین نکات امنیتی را رعایت نمی‌کنند و این باعث تعجب است.

در دنیای ارزهای دیجیتال، حتی با داشتن یک کیف پول سخت‌افزاری معتبر که امروزه به عنوان یک استاندارد بالا شناخته می‌شود، شما همیشه در معرض ریسک هستید. زیرا بسیاری از اوقات، مشکلات در زمانی که شما قصد اتصال برقرار کردن با کیف پول‌تان را دارید به وجود می‌آیند. بنابراین چیزی که ما را در معرض ریسک قرار می‌دهد، الزاما ضعف تجهیزات یا سرویس‌هایی که با آنها سروکار دارید نیست، بلکه این نبود توجه و دقت است.

ارز دیجیتال

در ادامه این مطلب از خوارزمی 10 حقه و روش که هکرها برای دزدیدن کلید خصوصی و موجودی ارز دیجیتال شما به کار می‌برند را بخوانید.

1. کپی و Paste

شما آدرسی که می خواهید برای آن بیت کوین ارسال کنید را مشاهده می کنید. این آدرس را کپی کرده و سپس در کیف پول خودتان Paste می کنید. این روال به صورت عادی انجام می شود به جز در مواردی که چیزهایی نظیر تروجان کریپتوشافلر(CryptoShuffler) وجود داشته باشند، کریپتوشافلر برنامه ی کوچکی است که آدرسی که شما کپی کردید را با آدرس دیگری که هیچ ربطی به آدرس اصلی ندارد، جابه جا می کند. این تروجان با هر نوع رمز عبوری از جمله کپی کردن رمز عبور اصلی شما برای مدیر رمز عبور(مثلاً آخرین رمز عبور) کار می کند.

نکته: این کار پر دردسر است اما(حتماً) آدرس را قبل از paste کردن آن، بررسی کنید(۵ رقم اول و آخر). اگر نحوه ی استفاده از کد QR را می دانید از آن استفاده کنید.

نکته ۲: نرم افزارهای عجیب و غریب(غیرعادی) یا برنامه ای که از آن ها اطمینان ندارید را نصب نکنید. به طور منظم یک ضد بدافزار(anti Malware) را بر روی کامپیوتر خود اجرا کنید (مانند Bitdefender و kaspersky) تا کامپیوتر شما پاک سازی شود.

نکته ی کلیدی و هوشمندانه: به جای آدرس های مستعد خطای انسانی که بررسی آن ها غیر ممکن است، از ENS موثق (سرویس نام اتریوم ethereum name service) (بیشتر برای آنچه در ادامه آمده) استفاده کنید. برخی از ENSها ارزان هستند برخی خیر. اما استفاده از ENS موثق آسودگی خاطر به ارمغان می آورد.

2. برنامه های موبایلی هک شده

هکرها می توانند برنامه های تجاری جعلی واقعی منتشر کنند که دارایی ها را از یک صرافی ارز رمزنگاری شده(مانند صرافی Poloniex) خریداری کنند، اما در واقع شما در هیچ مکانی مبادله نمی کنید بلکه پول را به حساب هکر جعلی ارسال می کنید.
به طور کلی، اندروید واقعاً مستعد هک شدن است(بیشتر از iOS). شما باید مراقب آنچه نصب می کنید باشید و اطمینان حاصل کنید که دستگاه شما به طور منظم از داده های ناخواسته(junk) پاک سازی می شود.

نکته: زیاد تخیل پردازی نکنید. واضح است(البته نه برای همه) که شما باید از دستگاه خودتان با استفاده از پین (PIN)، حسگر اثر انگشت (Touch ID) یا قابلیت تشخیص چهره (FaceID) حفاظت کنید، احراز هویت دو مرحله ای را برای تمام برنامه هایی که آن را به شما پیشنهاد می دهند، اضافه کنید و از دانلود موارد ناخواسته بپرهیزید.

3. ربات های هک Slack

ربات هایی که بر روی Slack مستقر می شوند، مثل یک آفت هستند.
آن ها خطرات امنیتی بر روی کیف پول شما را هشدار می دهند(که البته ممکن است مورد خطرناکی وجود نداشته باشد) و شما را به URL ای متصل می کنند که آن ها از شما کلید خصوصیتان را مطالبه می کنند. این کار را انجام ندهید.

نکته: ربات های بر روی کانال slack را نادیده بگیرید. هنگامی که با شما ارتباط برقرار می کنند، آن ها را گزارش دهید. همچنین از Metacert برای محافظت از کانال های slack خودتان استفاده کنید.

ارز دیجیتال

4. اکستنشن‌های مرورگر

برخی از اکستنشن‌ها در مرورگر کروم یا فایرفاکس مدعی هستند که می‌توانند تجربه کاربری بهتری در پلتفرم‌های معاملاتی برای شما فراهم کنند. اما احتمال این وجود دارد که این افزونه‌های مرورگر، همه اطلاعاتی که در آن سایت‌ها ثبت می‌کنید را ذخیره کرده و به آن دسترسی یابند.

راهکار 1 : هیچ افزونه‌ای روی مروگرتان نصب نکنید. برای دسترسی به سایت‌های مهم، مرورگر را در “حالت خصوصی” باز نمایید.
(برای اینکار در مرورگر فایرفاکس در منوی File گزینه New Private Window و در مروگر کروم New Incognito Window را بزنید)

راهکار 2 : از یک مروگر جداگانه برای کارهای حساسی مانند دسترسی به صرافی‌ها و کیف پول استفاده کنید. مرورگر Brave یکی از بهترین گزینه‌ها برای اینکار است.

5. وب سايت های نسخه برداری و تقلید شده (Clone Websites)

هنگامی که تایپ URL یک سایت را شروع می کنید، نوارURL‌ شما، به وسیله ی یک URL دیگری که بسیار شبیه به URL وب سایت مورد نظر شما، دقیقاً با همان ظاهر و قيافه و لوگو است، هك می شود. مراقب باشید!

نكته: به دنبال گواهی صحت https باشید (تا از اصل بودن آدرس مطمئن شوید)، از افزونه Cryptonite كروم/فايرفاكس استفاده کنید كه می توانند URL هاي جعلي را برجسته و مشخص کنند.

6. تبلیغات گوگلی قلابی

این نیز یک تکنیک شناخته شده است که هکرها از آن برای دزدیدن اطلاعات افراد استفاده می‌کنند.
شما با سرچ در گوگل به دنبال یک سایت هستید، ولی روی لینکی کلیک می‌کنید که توسط هکرها ایجاد شده و یک تبلیغ گوگلی است و لینک آن طوری ایجاد شده تا بسیار شبیه لینک سایت اصلی باشد.
با این ترفند شما وارد سایتی قلابی با ظاهر کاملا مشابه سایت اصلی می‌شوید و اطلاعات شما به سرقت می‌رود.

راهکار: تنها راهکار، بررسی دقیق لینکی است که در تبلیغات گوگل روی آن کلیک می‌کنید.

ارز دیجیتال

7. حساب‌های قلابی در شبکه‌های اجتماعی

فقط صفحاتی در شبکه‌های اجتماعی را دنبال کنید که در سایت رسمی آن سرویس، اعلام و تایید شده است.

به هیچ منبع دیگری اعتماد نکنید، حتی توصیه‌هایی که توسط الگوریتم خودکار توئیتر یا فیسبوک و اینستاگرام داده می‌شود قابل اعتماد نیست و ممکن است صفحات فیک و قلابی را به شما نمایش دهد.

بهترین راهکار این است که فقط با کلیک روی لینک شبکه‌های اجتماعی که در سایت سرویس مربوطه معرفی شده، صفحات آنها را در شبکه‌های اجتماعی بیابید.

۸. احراز هویت دو مرحله ای از طریق اس ام اس تلفن همراه

اين موضوعي است كه به طور گسترده شناخته شده است. سرويس ها از شما، شماره تلفن همراهتان را برای ثبت نام یا فعال سازی قابلیت احراز هویت دو مرحله ای (2FA) می پرسيد، اما به ويژه در آمريكا، برخی از هكرها در فریب دادن تيم پشتيباني اپراتورهاي تلفن همراه بسيار مستعد هستند و مجوزهای شما را به دست می آورند و از این طریق به هر اكانت لينك شده به تلفن همراه شما دسترسي خواهند داشت.

نكته: از اپراتور خود بپرسيد که تلفن همراه شما چگونه محافظت مي شود.

نكته۲: هرگز هرگز از سرويسي كه به شماره تلفن همراه شما نياز دارد استفاده نكنيد و هرگز قابلیت 2FA را از طریق پیامک (SMS) فعال نكنيد (به جاي آن از يك راه حل نرم افزاري استفاده كنيد مثلِ google authenticator).

ارز دیجیتال

۹. فیشینگ ایمیل (Email phishing)

شما يك ايميل از سرويسي كه مي شناسيد دريافت مي كنيد، در حالی که اين ايميل از طرف آن ها نيست. آن ها از فرمت، قالب و طرح دقيقاً يكسانی با آن سرویس، استفاده خواهند كرد. بسياري از اوقات، این سرويس، حتی ايميل شما را در اختیار ندارد، اما مهم نيست، چون شما به یاد نخواهيد آورد که آدرس ایمیل خودتان را در اختیار این سرویس قرار داده اید یا خیر. به خاطر داشته باشيد، كوركورانه كليك نكنيد.

۱۰. هك کردن واي فاي (Wifi hacking)

ممكن است خبرهايی درباره ی هک وای فای ديده باشيد اما (Wi-Fi Protected Access) (دسترسی امن به وای فای) پروتكل امنيتي كه توسط اکثر مسيرياب هاي (routers) وای فای مورد استفاده قرار گرفته، در معرض خطر قرار گرفته است.
به دلیل آسیب پذیری “krack attack” هر كسي مي تواند تمام داده هايي كه از شبكه واي فاي شما عبور مي كنند را ببيند. مشكلات مشابهي در وای فای هاي عمومي نیز اتفاق افتاده است (مانند واي فاي فرودگاه).

نكته: روتر خود را تنظیم كنيد، آپديت ها را چك كنيد و هيچ وقت از طریق وای فای های عمومي، داد و ستد نكنيد (حداقل بدون يك VPN امن اين كار را انجام ندهید).

مرکز آموزشی و کارآفرینی خوارزمی در مسیر یادگیری مهارت های حرفه ای، پیشرفت شغلی، کارآفرینی و توسعه کسب و کار با بهره مندی از دانش و تجربه اساتید متخصص و دارا بودن کادری مجرب در کنار فراهم آوردن محیطی پویا با امکانات روز آموزشی، با افتخار در کنار شما خواهد بود. امیدواریم بتوانیم نقش و سهمی موثر در آینده، جایگاه شغلی و اجتماعی شما مردم کشور عزیزمان ایران داشته باشیم و رسالت اجتماعی خود را به نحو احسن ایفا نماییم.

دیدگاه خود را اینجا قرار دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *