Мошенники используют несколько форм методов социальной инженерии, чтобы украсть исходные Seed-фразы кошельков и заставить людей потерять свои цифровые активы.
Мошенничество с Seed-фразой включает в себя различные методы, используемые для того, чтобы заставить цели раскрыть свою Seed-фразу и скомпрометировать кошелек, в котором хранятся их цифровые активы.
Распространенным мошенничеством с Seed-фраз является фишинг, при котором злоумышленник создает ощущение срочности, прося цель отправить Seed-фразу на фишинговом веб-сайте или через форму.
Seed-фразы являются главным ключом к крипто-кошельку, и их раскрытие подвергает владельца риску потери своих средств, которые не являются обратимыми.
Некоторые из мер, направленных на предотвращение мошенничества с Seed-фразой, включают в себя: хранение Seed-фразы в безопасном месте, разделение ее на части и хранение каждого сегмента в разных местах, шифрование ее при хранении в сети и воздержание от обращения за поддержкой, за исключением случаев, когда требуется помощь в приложении.
Необходимо принять меры, чтобы не потерять Seed-фразу в тикете к поддеркже, поскольку это приведет к потере доступа к кошельку и средствам в нем.
Криптопространство — это неспокойнай океан с волнами, которые требуют осторожности и осторожности. Это сфера, в которой отдельным лицам предоставляется огромная власть, позволяющая им управлять своими финансами, включая хранение средств, не полагаясь на банк или учреждение. Тому, кому многое дано, нужно внимательно следить за безопасностью! Хранилище, в котором хранятся криптоактивы, известное как кошелек, имеет главный ключ, который обеспечивает доступ к нему и может быть использован для восстановления. Этот мастер-ключ называется Seed-фразой. В последнее время число мошенников, нацеленных на Seed-фразы, растет. Seed-фраза состоит из 12-24 алгоритмически сгенерированных слов, предоставляемых при настройке кошелька в качестве механизма резервного копирования. При переносе кошелька с одного устройства на другое или после потери устройства для восстановления кошелька потребуется Seed-фраза, а одно начальное значение может использоваться для восстановления всего портфеля токенов и монет. Поэтому, чтобы мошенники попали в яблочко, они разработали различные методы, направленные на то, чтобы заставить людей разглашать их исходную фразу.
Мошеннические схемы по краже Seed-фраз
Один поэт-классик однажды сказал: “Я познаю зло не потому, что совершаю его, а для того, чтобы не впасть во зло”. Один из способов предотвратить мошенничество с Seed-фразами — это понять различные методы, используемые мошенниками для получения Seed-фраз от людей. В мае прошлого года популярный крипто-кошелек Metamask поднял тревогу по поводу бота, используемого для кражи Seed-фраз в Twitter. Мошенническая схема была в форме запроса от учетной записи, которая казалась подлинной. В заявлении предлагалось заполнить форму поддержки и запросить секретную фразу восстановления. Это один из различных способов, с помощью которых мошенники пытаются получить доступ и опустошить кошельки людей, получая их Seed-фразу.
Популярные мошеннические техники:
Источник: blog.malwarebytes.com
1. Фишинг: Фишинг — это не новая концепция, когда речь идет о безопасности и защите в киберпространстве. Она возглавляет список способов, с помощью которых мошенники заманивают людей выдавать свои Seed-фразы, заставляя их вводить их на сомнительном веб-сайте. Это включает в себя обман людей с целью разглашения их пароля или личных данных, одновременно создавая ощущение срочности, в данном случае для получения их Seed-фразы, для получения доступа к их кошельку. Некоторые фишинги в виде всплывающих окон ссылаются на фишинговый веб-сайт или расширение для браузера, имитирующее популярные кошельки, такие как Exodus и Metamask. В результате фишинг-атаки Доменик Яковоне потерял активы на сумму 65 000 долларов. Мошенник, замаскировавшийся под агента службы поддержки клиентов Apple, позвонил жертве, сообщив, что его учетная запись Apple была скомпрометирована и что он отправит код на телефон, чтобы убедиться, что жертва является владельцем учетной записи. Получив доступ к телефону с помощью этого трюка, хакер пошел дальше, чтобы получить доступ к Seed-фразе через резервную копию iCloud, и в течение нескольких секунд опустошил кошелек.
Одна из типичных фишинговых атак, которую также используют мошенники, — это нацеленные фишинг. В этом случае злоумышленник использует настроенное электронное письмо или сообщение, чтобы нацелиться на людей, притворится надежным отправителем, таким как поставщики аппаратных кошельков, предлагая им обновить свои Seed-фразы. Тот, кто станет жертвой их уловки, скомпрометирует свой кошелек.
2. Наживка: Наживка — это еще один метод мошенничества, с помощью которого злоумышленники крадут исходные фразы. В процессе мошенник побуждает людей предоставить свои учетные данные для входа, обещая им товары или предметы, такие как эйрдропы, подарки или цифровые предметы коллекционирования. Некоторые также просят свою цель ввести заданную Seed-фразу в свой кошелек, чтобы заманить их в ловушку и получить доступ к их средствам. Распределение вознаграждений является общим стимулом для создания криптосообществ. Мошенники часто прячутся под предлогом распределения бонусов в рамках запуска своего проекта, чтобы заманить людей в ловушку, заставляя их давать свои Seed-фразы, тем самым ставя под угрозу их кошельки. Многие люди рассматривают эйрдропы и другие раздачи как возможность приобрести бесплатно некоторые цифровые активы и могут не быть осторожны, чтобы проверить подлинность всей схемы.
Одна распространенная афера с наживкой, которая находится в тренде, связана с тем, что некоторые недобросовестные элементы раскрывают свои Seed-фразы в Интернете, притворяясь, что это случайно. Некоторые ничего не подозревающие люди будут заманены в ловушку, чтобы ввести эти Seed-фразы в свои кошельки, чтобы забрать активы. Это позволит мошеннику получить доступ к кошельку, что приведет к сливу всех средств в кошельке, как тех, что были в нем раньше, так и средств, с помощью которых владелец кошелька был обманут.
3. Услуга за услугу: Услуга за услугу очень похожа на наживку. Услуга за услугу основана на обещании предоставить услугу, которая может понадобиться цели для обмена регистрационной информацией. Выгода, обещанная в рамках схемы, часто заключается в обслуживании, например, в модернизации системы, в то время как в случае наживки она в основном проявляется в виде товара. Случай с Домиником Яковоне подпадает под категорию "услуга за услугу" как часть фишинговой атаки.
Как действовать против подобного мошенничества
Кошельки хранятся в интернете, такие называются горячими кошельками, или в автономном режиме на физическом оборудовании, известном как холодный кошелек. Горячие кошельки более подвержены взлому. Как бы то ни было, следует принять превентивные меры, чтобы предотвратить мошенничество с Seed-фразой. В отличие от традиционной финансовой системы, транзакции в криптопространстве осуществляются на основе блокчейна и не являются обратимыми. Как только человек получит доступ к вашему кошельку и опустошит его, отменить транзакцию будет невозможно, что делает эти меры очень важными.
Храните свою Seed-фразу в надежном месте, желательно записав ее где-нибудь. Предположим, если вы должны хранить его в Интернете, то вам следует хранить ее зашифрованную версию.
При сохранении исходной фразы используйте метод сегментирования, который включает в себя разделение исходной фразы на сегменты и хранение их в разных местах.
Избегайте ввода странной Seed-фразы в свой кошелек, так как это может быть приманкой от мошенников.
Избегайте случайного поиска поддержки в приложениях или социальных сетях, а если вам необходимо обратиться за помощью, делайте это только из приложения, в котором вам нужна помощь.
Seed-фраза требуется только в нескольких случаях; поэтому никогда не вводите свою Seed-фразу ни в одной онлайн-форме для каких-либо эйрдропов.
Если вы используете устройство, которое автоматически записывает Seed-фразу в облачное резервное копирование, например Apple, вы можете перейти отключить возможность резервного копирования.
Всегда проверяйте законность отправителя и будьте осторожны, когда на вас оказывают давление, требуя принятия срочных мер, связанных с тем, что вы даете свою Seed-фразу.
Включите 2-факторную верификацию и избегайте открытых сетей Wi-Fi, особенно при взаимодействии с вашим кошельком.
Организации должны проводить надлежащую подготовку сотрудников для повышения осведомленности и отчетности.
При работе с веб-сайтами проверяйте URL-адрес, чтобы убедиться, что сертификат веб-сайта является надежным, и придерживайтесь предупреждений, указывающих на то, что ваше подключение к сайту небезопасно.
Цена небольшой небрежности с Seed-фразой огромна, и ее можно себе представить только в том случае, если в вашем кошельке находится значительные средства. Для сохранности ваших активов вы также можете хранить только некоторые части в своем горячем кошельке онлайн, в то время как более значительную часть вы храните в своем холодном кошельке в автономном режиме. В любом случае, никогда не будет лишним проявлять особую осторожность с вашей Seed-фразой.
Автор: Gate.io, Аналитик:
M. Olatunji Переводчик:
Николай Д.
Дисклеймер:
Эта статья представляет собой только мнение аналитика и не представляет собой каких-либо инвестиционных советов.
Gate.io оставляет за собой все права на эту статью. Перепост статьи будет разрешен при условии ссылки на Gate.io. Во всех других случаях в связи с нарушением авторских прав будет возбужден судебный иск.