0

۱۰ روش هوشمندانه هکرها برای سرقت ارزهای شما و راه‌های ایمنی برای جلوگیری از خطرات

هکر
بازدید 558

“مجموعه گسترده ارزهای رمزنگاری شده، یک مجموعه واقعاً پرهرج و مرج است و امنیت آن به حدی نگران‌کننده است که مشتریان و خریداران ارزهای رمزپایه، نگران شده‌اند.”

اگر تا به حال هر یک از خدمات رمزنگاری (حتی به طور مقطعی) استفاده کرده‌اید، برای این کار باید از یک سری تدابیر امنیتی خسته کننده پیروی کنید. این تدابیر شامل عبارات و کدهای پیچیده و بلند است که شما باید آن‌ها را به خاطر بسپارید یا در مکانی امن نگهداری کنید. با این حال، یافتن یک مکان امن برای نگهداری کدها، در واقع بی‌معنی است.

بله، شما کنترل دارایی های خود را در اختیار دارید، اما هزینه‌ای که باید پرداخت کنید، این است که شما مسئول تأمین امنیت خودتان هستید. اکثر مردم، به عنوان کاربران عادی، به امنیت دیجیتال آگاهی کافی ندارند و بدون آگاهی کافی، به خطراتی از جمله سرقت دارایی هایشان، معرض می‌شوند. من همیشه شگفت‌زده می‌شوم که چگونه بسیاری از افراد، حتی افراد ماهر، اقدامات امنیتی اولیه را رعایت نمی‌کنند.

حتی اگر از یک کیف پول سخت‌افزاری بسیار امن و با استفاده از استاندارد‌های امنیتی بالا استفاده کنید، هنوز هم در معرض خطر قرار دارید. در واقع، بیشتر مشکلات در مراحل اتصال و ارتباط با کیف پول شما به وجود می‌آیند، نه در خود کیف پول.

آنچه در واقع در معرض خطر قرار دارد، تنظیمات شما نیست، بلکه دقت و مراقبت شماست.

در این مقاله، به برخی از ترفندهایی که هکرها برای سرقت کلیدهای خصوصی (private keys) شما (اطلاعات لازم برای سرقت ارزهای رمزنگاری شده شما) یا روش‌هایی که با آن‌ها به شما حقه می‌زنند تا شما سکه‌ها / توکن‌ها را به مقصد نادرستی ارسال کنید، پرداخته شده است. این ترفندها عبارتند از:

  1. کپی و پیست:

شما آدرسی که می‌خواهید بیت‌کوین را به آن ارسال کنید را مشاهده می‌کنید و سپس آن را کپی و در کیف پول خود paste می‌کنید. این روال به صورت عادی انجام می‌شود، به جز در مواردی که تروجان‌هایی مانند CryptoShuffler وجود داشته باشند. CryptoShuffler یک برنامه کوچک است که آدرسی که شما کپی کرده‌اید را با آدرس دیگری که هیچ ربطی به آدرس اصلی ندارد، جابجا می‌کند. این تروجان با هر نوع رمز عبوری که شما در حساب‌های خود استفاده می‌کنید، مانند کپی کردن رمز عبور اصلی شما برای مدیر رمز عبور (مانند آخرین رمز عبور) کار می‌کند.

توجه: این کار دردسری دارد، اما پیش از paste کردن آدرس، حتماً آن را بررسی کنید (5 رقم اول و آخر). اگر با استفاده از کد QR آشنایی دارید، می‌توانید از آن استفاده کنید.

توجه 2: هیچگاه نرم‌افزارهای عجیب و غریب یا برنامه‌هایی که اعتماد به آن‌ها ندارید، را نصب نکنید. به طور منظم، یک نرم‌افزار ضد بدافزار (مانند Bitdefender و Kaspersky) را بر روی کامپیوتر خود اجرا کنید تا کامپیوتر شما پاک شود.

نکته کلیدی و هوشمندانه: به جای استفاده از آدرس‌هایی که به خطاهای انسانی مستعد هستند و بررسی آن‌ها غیرممکن است، از ENS معتبر (سرویس نام Ethereum) استفاده کنید (بیشتر برای مواردی که در ادامه ذکر خواهد شد). برخی از ENS‌ها ارزان هستند و برخی دیگر گران‌تر، اما استفاده از ENS معتبر آسایش و اطمینان بیشتری را به شما می‌بخشد.

۲. برنامه‌های موبایل هک شده

هکرها می‌توانند برنامه‌های تقلبی واقعی را منتشر کنند که به نظر می‌رسند از یک صرافی رمزنگاری شده (مانند صرافی Poloniex) خریداری شده‌اند، اما در واقع شما در هیچ مکانی معامله نمی‌کنید و به جای آن پول را به حساب جعلی هکر ارسال می‌کنید.

به طور کلی، سیستم عامل اندروید به هک شدن بیشتر از iOS مستعد است. از نصب برنامه‌هایی که به آن‌ها اعتماد ندارید، پرهیز کنید و اطمینان حاصل کنید که دستگاه شما به طور منظم از داده‌های ناخواسته پاک‌سازی می‌شود.

توجه: به تخیل پردازی زیاد روی نیاورید. برای حفاظت از دستگاه خود با استفاده از پین (PIN)، حسگر اثر انگشت (Touch ID) یا قابلیت تشخیص چهره (FaceID)، باید اقدام کنید. برای تمام برنامه‌هایی که به شما پیشنهاد می‌دهند، احراز هویت دو مرحله‌ای را اضافه کنید و از دانلود موارد ناخواسته پرهیز کنید.

۳. ربات‌های هک Slack

ربات‌هایی که بر روی سرویس Slack نصب می‌شوند، شبیه یک آفت هستند. آن‌ها بر روی کیف‌پول شما خطرات امنیتی را هشدار می‌دهند (اگرچه ممکن است خطری وجود نداشته باشد) و شما را به یک آدرس URL متصل می‌کنند که از شما برای کسب کلید خصوصی خود درخواست می‌کنند. این کار را انجام ندهید.

نکته: ربات‌هایی که بر روی کانال Slack شما نصب شده‌اند را نادیده نگیرید. هرگاه با شما ارتباط برقرار کردند، آن‌ها را گزارش دهید. همچنین از Metacert برای حفاظت از کانال‌های Slack خود استفاده کنید.

۴.افزونه‌های مرورگر (Browser extensions)

برخی افزونه‌ها ادعا می‌کنند که تجربه کاربری شما را در سایت‌های خرید و فروش بهبود خواهند بخشید، در حالی که ممکن است به طور همزمان تمام چیزهایی که شما در آنجا تایپ می‌کنید را بخوانند.

با پیگیری تجربیات بد کاربران، می‌توانید به امنیت بیشتری دست پیدا کنید.

توجه: افزونه‌های رمزنگاری را دانلود نکنید. مرورگر خود را در حالت خصوصی (Private mode) قرار دهید، که در این حالت افزونه‌ها معمولاً غیرفعال می‌شوند. یا از یک مرورگر جدید و مطمئن برای این کار استفاده کنید.

می‌توانید نگاهی به مرورگر Brave بیندازید. Brave یک مرورگر بومی با قابلیت بلاک‌کردن تبلیغات و دارای کیف‌پول داخلی است.

۵. وب‌سایت‌های نسخه برداری و تقلیدی (Clone Websites)

وقتی شروع به تایپ کردن نشانی URL یک وب‌سایت می‌کنید، نوار URL شما ممکن است توسط یک نشانی URL دیگر که بسیار شبیه به نشانی وب‌سایت مورد نظر شما، دقیقا با همان ظاهر و لوگو است، هک شود. بنابراین بسیار محتاط باشید.

توصیه می‌شود به دنبال گواهی امنیتی HTTPS باشید (تا اطمینان حاصل کنید که نشانی اصلی است) و از افزونه Cryptonite برای مرورگرهای Chrome/Firefox استفاده کنید، که می‌توانند نشانی‌های جعلی را شناسایی و مشخص کنند.

۶. تبلیغات/سئو (Ads/SEO) جعلی گوگل، یک تکنیک شناخته شده است

شما ممکن است به دنبال سایت‌هایی برای ارزهای رمزنگاری شده مورد علاقه خودتان (یا تمام سایت‌ها نه تنها مورد علاقه) در گوگل باشید، اما هکرها با در اختیار گرفتن اولین نتایج جستجوی پرداختی در بالای لیست نتایج (یا ارگانیک) با URLهای مشابه (با یک تغییر کوچک) شما را فریب داده و به جای سایت اصلی، به سایت خودشان هدایت می‌کنند.

توصیه می‌شود پس از کلیک کردن، URL را با دقت بررسی کنید.

۷. اکانت‌های اجتماعی جعلی

در این مورد بسیار محتاط باشید. فقط اکانت‌های تأیید شده را دنبال کنید و یا بر روی لینک‌های اجتماعی از وب‌سایت‌های رسمی سرویسی که می‌خواهید آن را دنبال کنید، کلیک کنید. به هیچ منبع دیگری اعتماد نکنید، حتی الگوریتم‌های پیشنهادی توییتر/فیسبوک که ممکن است اکانت‌های جعلی جدید را به زور غالب کنند.

۸. احراز هویت دو مرحله‌ای از طریق پیامک

این موضوع، به طور گسترده شناخته شده است. سرویس‌ها برای ثبت نام یا فعال‌سازی قابلیت احراز هویت دو مرحله‌ای (2FA)، شماره تلفن همراه شما را درخواست می‌کنند، اما به ویژه در آمریکا، برخی از هکرها بسیار ماهر در فریب دادن تیم پشتیبانی اپراتورهای تلفن همراه هستند و می‌توانند مجوزهای شما را به دست آورده و از این طریق به هر اکانتی که به تلفن همراه شما لینک شده، دسترسی پیدا کنند.

نکته: از اپراتور خود بپرسید که تلفن همراه شما چگونه محافظت می‌شود.

نکته ۲: هرگز از سرویسی که به شماره تلفن همراه شما نیاز دارد، استفاده نکنید و هرگز قابلیت 2FA را از طریق پیامک (SMS) فعال نکنید (به جای آن از یک راه‌حل نرم‌افزاری مانند Google Authenticator استفاده کنید).

۹. فیشینگ ایمیل (Email Phishing)

شما یک ایمیل از سرویسی که می‌شناسید دریافت می‌کنید، در حالی که این ایمیل از طرف آن‌ها نیست. آن‌ها از فرمت، قالب و طرح دقیقاً یکسانی با آن سرویس، استفاده خواهند کرد. بسیاری از اوقات، این سرویس، حتی ایمیل شما را در اختیار ندارد، اما مهم نیست، چون شما به یاد نخواهید آورد که آدرس ایمیل خودتان را در اختیار این سرویس قرار داده‌اید یا خیر. به خاطر داشته باشید، کورکورانه کلیک نکنید.

نکته: به لینکی که بر روی آن کلیک می‌کنید توجه کنید، آن‌ها را در بخش لینک مرورگر مشاهده کنید. اگر عجیب و غریب به نظر می‌رسند، از آن‌ها خارج شوید.

۱۰. هک کردن وای‌فای (WiFi hacking)

ممکن است خبرهایی درباره هک وای‌فای دیده باشید، اما پروتکل امنیتی WPA (Wi-Fi Protected Access) که توسط اکثر مسیریاب‌های وای‌فای مورد استفاده قرار می‌گیرد، در معرض خطر قرار گرفته است. به دلیل آسیب‌پذیری “Krack Attack” هر کسی می‌تواند تمام داده‌هایی که از شبکه وای‌فای شما عبور می‌کنند را ببیند. مشکلات مشابهی در وای‌فای‌های عمومی نیز اتفاق افتاده است (مانند وای‌فای فرودگاه).

نکته: روتر خود را تنظیم کنید، آپدیت ها را چک کنید و هیچ‌وقت از طریق وای‌فای‌های عمومی، داد و ستد نکنید (حداقل بدون یک VPN امن این کار را انجام ندهید).

پاداش ۱: ENS جعلی

ENS معادل ایمیل‌ها / DNS (سرویس‌های نام دامنه) برای آدرس کیف پول است (یک پست مفصل در این باره به زودی منتشر خواهد شد). بسیاری از ICOهای خوب از آن به جای آدرسی که مستعد خطا است، استفاده می‌کنند. مثلاً ENSی شبیه به whatever.eth

اما بعضی از هکرها، ENS جعلی را در تالارهای گفتگو (فروم‌ها) ارسال می‌کنند که شبیه به ENS اصلی که آن‌ها دارند به نظر خواهد رسید با نامی نزدیک به نام ENS آن‌ها (مثلاً thisICO.eth به جای thatICO.eth).

نکته: تنها به مرجع ENS ارائه شده توسط شرکت اطمینان کنید و قبل از استفاده، دوبار آن را چک کنید.

نکته ی کلیدی و هوشمندانه: اگر شما یک ICO را ست کنید، ENS مخصوص خودتان (از جمله قابلیت تایپو) را دریافت می‌کنید، حتی اگر قصد استفاده از آن را نداشته باشید.

پاداش ۲: Airdrop

Airdropها، توزیع تصادفی توکن‌های رایگان هستند تا به دارندگان توکن‌ها، پاداش دهند یا کاربران بیشتری را به راه‌اندازی یک سرویس ارز رمزنگاری شده تشویق کنند. عالی به نظر می‌رسد. شما کیف‌پول خود را افتتاح می‌کنید. شگفت‌انگیز است! توکن‌های رایگان (در آن وجود دارند). برخی ادعا می‌کنند یک Airdrop وجود دارد در حالی که اینگونه نیست. برخی از آن‌ها، توکن‌های واقعی ارائه خواهند کرد تا شما را ترغیب کنند که در سایت کلاهبرداری آن‌ها ثبت‌نام کنید و اطلاعات شخصی شما را به دست آورند. خیلی مراقب باشید.

یک نکته به عنوان خلاصه‌ای از تمام مواردی که بیان شد: بیش از حد مراقب باشید!

به این پست امتیاز بدید
برچسب‌ها:

نظرات کاربران

  •  چنانچه دیدگاهی توهین آمیز باشد و متوجه نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  •  چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  •  چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *