عناوینی که در این مقاله می خوانید
- 1 کپی و پیست:
- 2 ۲. برنامههای موبایل هک شده
- 3 ۳. رباتهای هک Slack
- 4 ۴.افزونههای مرورگر (Browser extensions)
- 5 ۵. وبسایتهای نسخه برداری و تقلیدی (Clone Websites)
- 6 ۶. تبلیغات/سئو (Ads/SEO) جعلی گوگل، یک تکنیک شناخته شده است
- 7 ۷. اکانتهای اجتماعی جعلی
- 8 ۸. احراز هویت دو مرحلهای از طریق پیامک
- 9 ۹. فیشینگ ایمیل (Email Phishing)
- 10 ۱۰. هک کردن وایفای (WiFi hacking)
- 11 پاداش ۱: ENS جعلی
- 12 پاداش ۲: Airdrop
“مجموعه گسترده ارزهای رمزنگاری شده، یک مجموعه واقعاً پرهرج و مرج است و امنیت آن به حدی نگرانکننده است که مشتریان و خریداران ارزهای رمزپایه، نگران شدهاند.”
اگر تا به حال هر یک از خدمات رمزنگاری (حتی به طور مقطعی) استفاده کردهاید، برای این کار باید از یک سری تدابیر امنیتی خسته کننده پیروی کنید. این تدابیر شامل عبارات و کدهای پیچیده و بلند است که شما باید آنها را به خاطر بسپارید یا در مکانی امن نگهداری کنید. با این حال، یافتن یک مکان امن برای نگهداری کدها، در واقع بیمعنی است.
بله، شما کنترل دارایی های خود را در اختیار دارید، اما هزینهای که باید پرداخت کنید، این است که شما مسئول تأمین امنیت خودتان هستید. اکثر مردم، به عنوان کاربران عادی، به امنیت دیجیتال آگاهی کافی ندارند و بدون آگاهی کافی، به خطراتی از جمله سرقت دارایی هایشان، معرض میشوند. من همیشه شگفتزده میشوم که چگونه بسیاری از افراد، حتی افراد ماهر، اقدامات امنیتی اولیه را رعایت نمیکنند.
حتی اگر از یک کیف پول سختافزاری بسیار امن و با استفاده از استانداردهای امنیتی بالا استفاده کنید، هنوز هم در معرض خطر قرار دارید. در واقع، بیشتر مشکلات در مراحل اتصال و ارتباط با کیف پول شما به وجود میآیند، نه در خود کیف پول.
آنچه در واقع در معرض خطر قرار دارد، تنظیمات شما نیست، بلکه دقت و مراقبت شماست.
در این مقاله، به برخی از ترفندهایی که هکرها برای سرقت کلیدهای خصوصی (private keys) شما (اطلاعات لازم برای سرقت ارزهای رمزنگاری شده شما) یا روشهایی که با آنها به شما حقه میزنند تا شما سکهها / توکنها را به مقصد نادرستی ارسال کنید، پرداخته شده است. این ترفندها عبارتند از:
کپی و پیست:
شما آدرسی که میخواهید بیتکوین را به آن ارسال کنید را مشاهده میکنید و سپس آن را کپی و در کیف پول خود paste میکنید. این روال به صورت عادی انجام میشود، به جز در مواردی که تروجانهایی مانند CryptoShuffler وجود داشته باشند. CryptoShuffler یک برنامه کوچک است که آدرسی که شما کپی کردهاید را با آدرس دیگری که هیچ ربطی به آدرس اصلی ندارد، جابجا میکند. این تروجان با هر نوع رمز عبوری که شما در حسابهای خود استفاده میکنید، مانند کپی کردن رمز عبور اصلی شما برای مدیر رمز عبور (مانند آخرین رمز عبور) کار میکند.
توجه: این کار دردسری دارد، اما پیش از paste کردن آدرس، حتماً آن را بررسی کنید (5 رقم اول و آخر). اگر با استفاده از کد QR آشنایی دارید، میتوانید از آن استفاده کنید.
توجه 2: هیچگاه نرمافزارهای عجیب و غریب یا برنامههایی که اعتماد به آنها ندارید، را نصب نکنید. به طور منظم، یک نرمافزار ضد بدافزار (مانند Bitdefender و Kaspersky) را بر روی کامپیوتر خود اجرا کنید تا کامپیوتر شما پاک شود.
نکته کلیدی و هوشمندانه: به جای استفاده از آدرسهایی که به خطاهای انسانی مستعد هستند و بررسی آنها غیرممکن است، از ENS معتبر (سرویس نام Ethereum) استفاده کنید (بیشتر برای مواردی که در ادامه ذکر خواهد شد). برخی از ENSها ارزان هستند و برخی دیگر گرانتر، اما استفاده از ENS معتبر آسایش و اطمینان بیشتری را به شما میبخشد.
۲. برنامههای موبایل هک شده
هکرها میتوانند برنامههای تقلبی واقعی را منتشر کنند که به نظر میرسند از یک صرافی رمزنگاری شده (مانند صرافی Poloniex) خریداری شدهاند، اما در واقع شما در هیچ مکانی معامله نمیکنید و به جای آن پول را به حساب جعلی هکر ارسال میکنید.
به طور کلی، سیستم عامل اندروید به هک شدن بیشتر از iOS مستعد است. از نصب برنامههایی که به آنها اعتماد ندارید، پرهیز کنید و اطمینان حاصل کنید که دستگاه شما به طور منظم از دادههای ناخواسته پاکسازی میشود.
توجه: به تخیل پردازی زیاد روی نیاورید. برای حفاظت از دستگاه خود با استفاده از پین (PIN)، حسگر اثر انگشت (Touch ID) یا قابلیت تشخیص چهره (FaceID)، باید اقدام کنید. برای تمام برنامههایی که به شما پیشنهاد میدهند، احراز هویت دو مرحلهای را اضافه کنید و از دانلود موارد ناخواسته پرهیز کنید.
۳. رباتهای هک Slack
رباتهایی که بر روی سرویس Slack نصب میشوند، شبیه یک آفت هستند. آنها بر روی کیفپول شما خطرات امنیتی را هشدار میدهند (اگرچه ممکن است خطری وجود نداشته باشد) و شما را به یک آدرس URL متصل میکنند که از شما برای کسب کلید خصوصی خود درخواست میکنند. این کار را انجام ندهید.
نکته: رباتهایی که بر روی کانال Slack شما نصب شدهاند را نادیده نگیرید. هرگاه با شما ارتباط برقرار کردند، آنها را گزارش دهید. همچنین از Metacert برای حفاظت از کانالهای Slack خود استفاده کنید.
۴.افزونههای مرورگر (Browser extensions)
برخی افزونهها ادعا میکنند که تجربه کاربری شما را در سایتهای خرید و فروش بهبود خواهند بخشید، در حالی که ممکن است به طور همزمان تمام چیزهایی که شما در آنجا تایپ میکنید را بخوانند.
با پیگیری تجربیات بد کاربران، میتوانید به امنیت بیشتری دست پیدا کنید.
توجه: افزونههای رمزنگاری را دانلود نکنید. مرورگر خود را در حالت خصوصی (Private mode) قرار دهید، که در این حالت افزونهها معمولاً غیرفعال میشوند. یا از یک مرورگر جدید و مطمئن برای این کار استفاده کنید.
میتوانید نگاهی به مرورگر Brave بیندازید. Brave یک مرورگر بومی با قابلیت بلاککردن تبلیغات و دارای کیفپول داخلی است.
۵. وبسایتهای نسخه برداری و تقلیدی (Clone Websites)
وقتی شروع به تایپ کردن نشانی URL یک وبسایت میکنید، نوار URL شما ممکن است توسط یک نشانی URL دیگر که بسیار شبیه به نشانی وبسایت مورد نظر شما، دقیقا با همان ظاهر و لوگو است، هک شود. بنابراین بسیار محتاط باشید.
توصیه میشود به دنبال گواهی امنیتی HTTPS باشید (تا اطمینان حاصل کنید که نشانی اصلی است) و از افزونه Cryptonite برای مرورگرهای Chrome/Firefox استفاده کنید، که میتوانند نشانیهای جعلی را شناسایی و مشخص کنند.
۶. تبلیغات/سئو (Ads/SEO) جعلی گوگل، یک تکنیک شناخته شده است
شما ممکن است به دنبال سایتهایی برای ارزهای رمزنگاری شده مورد علاقه خودتان (یا تمام سایتها نه تنها مورد علاقه) در گوگل باشید، اما هکرها با در اختیار گرفتن اولین نتایج جستجوی پرداختی در بالای لیست نتایج (یا ارگانیک) با URLهای مشابه (با یک تغییر کوچک) شما را فریب داده و به جای سایت اصلی، به سایت خودشان هدایت میکنند.
توصیه میشود پس از کلیک کردن، URL را با دقت بررسی کنید.
۷. اکانتهای اجتماعی جعلی
در این مورد بسیار محتاط باشید. فقط اکانتهای تأیید شده را دنبال کنید و یا بر روی لینکهای اجتماعی از وبسایتهای رسمی سرویسی که میخواهید آن را دنبال کنید، کلیک کنید. به هیچ منبع دیگری اعتماد نکنید، حتی الگوریتمهای پیشنهادی توییتر/فیسبوک که ممکن است اکانتهای جعلی جدید را به زور غالب کنند.
۸. احراز هویت دو مرحلهای از طریق پیامک
این موضوع، به طور گسترده شناخته شده است. سرویسها برای ثبت نام یا فعالسازی قابلیت احراز هویت دو مرحلهای (2FA)، شماره تلفن همراه شما را درخواست میکنند، اما به ویژه در آمریکا، برخی از هکرها بسیار ماهر در فریب دادن تیم پشتیبانی اپراتورهای تلفن همراه هستند و میتوانند مجوزهای شما را به دست آورده و از این طریق به هر اکانتی که به تلفن همراه شما لینک شده، دسترسی پیدا کنند.
نکته: از اپراتور خود بپرسید که تلفن همراه شما چگونه محافظت میشود.
نکته ۲: هرگز از سرویسی که به شماره تلفن همراه شما نیاز دارد، استفاده نکنید و هرگز قابلیت 2FA را از طریق پیامک (SMS) فعال نکنید (به جای آن از یک راهحل نرمافزاری مانند Google Authenticator استفاده کنید).
۹. فیشینگ ایمیل (Email Phishing)
شما یک ایمیل از سرویسی که میشناسید دریافت میکنید، در حالی که این ایمیل از طرف آنها نیست. آنها از فرمت، قالب و طرح دقیقاً یکسانی با آن سرویس، استفاده خواهند کرد. بسیاری از اوقات، این سرویس، حتی ایمیل شما را در اختیار ندارد، اما مهم نیست، چون شما به یاد نخواهید آورد که آدرس ایمیل خودتان را در اختیار این سرویس قرار دادهاید یا خیر. به خاطر داشته باشید، کورکورانه کلیک نکنید.
نکته: به لینکی که بر روی آن کلیک میکنید توجه کنید، آنها را در بخش لینک مرورگر مشاهده کنید. اگر عجیب و غریب به نظر میرسند، از آنها خارج شوید.
۱۰. هک کردن وایفای (WiFi hacking)
ممکن است خبرهایی درباره هک وایفای دیده باشید، اما پروتکل امنیتی WPA (Wi-Fi Protected Access) که توسط اکثر مسیریابهای وایفای مورد استفاده قرار میگیرد، در معرض خطر قرار گرفته است. به دلیل آسیبپذیری “Krack Attack” هر کسی میتواند تمام دادههایی که از شبکه وایفای شما عبور میکنند را ببیند. مشکلات مشابهی در وایفایهای عمومی نیز اتفاق افتاده است (مانند وایفای فرودگاه).
نکته: روتر خود را تنظیم کنید، آپدیت ها را چک کنید و هیچوقت از طریق وایفایهای عمومی، داد و ستد نکنید (حداقل بدون یک VPN امن این کار را انجام ندهید).
پاداش ۱: ENS جعلی
ENS معادل ایمیلها / DNS (سرویسهای نام دامنه) برای آدرس کیف پول است (یک پست مفصل در این باره به زودی منتشر خواهد شد). بسیاری از ICOهای خوب از آن به جای آدرسی که مستعد خطا است، استفاده میکنند. مثلاً ENSی شبیه به whatever.eth
اما بعضی از هکرها، ENS جعلی را در تالارهای گفتگو (فرومها) ارسال میکنند که شبیه به ENS اصلی که آنها دارند به نظر خواهد رسید با نامی نزدیک به نام ENS آنها (مثلاً thisICO.eth به جای thatICO.eth).
نکته: تنها به مرجع ENS ارائه شده توسط شرکت اطمینان کنید و قبل از استفاده، دوبار آن را چک کنید.
نکته ی کلیدی و هوشمندانه: اگر شما یک ICO را ست کنید، ENS مخصوص خودتان (از جمله قابلیت تایپو) را دریافت میکنید، حتی اگر قصد استفاده از آن را نداشته باشید.
پاداش ۲: Airdrop
Airdropها، توزیع تصادفی توکنهای رایگان هستند تا به دارندگان توکنها، پاداش دهند یا کاربران بیشتری را به راهاندازی یک سرویس ارز رمزنگاری شده تشویق کنند. عالی به نظر میرسد. شما کیفپول خود را افتتاح میکنید. شگفتانگیز است! توکنهای رایگان (در آن وجود دارند). برخی ادعا میکنند یک Airdrop وجود دارد در حالی که اینگونه نیست. برخی از آنها، توکنهای واقعی ارائه خواهند کرد تا شما را ترغیب کنند که در سایت کلاهبرداری آنها ثبتنام کنید و اطلاعات شخصی شما را به دست آورند. خیلی مراقب باشید.
یک نکته به عنوان خلاصهای از تمام مواردی که بیان شد: بیش از حد مراقب باشید!
نظرات کاربران