اگر در حوزه امور مالی غیرمتمرکز، NFT ها و یا متاورس فعالی میکنید، احتمال سوالاتی در مورد امنیت وب 3 برایتان پیش آمده است. در این مقاله با نحوه محافظت از داراییهای دیجیتالتان آشنا خواهید شد.
حتی با وجود اینکه طرفداران این فناوری مدتهاست با افتخار از ویژگیهای امنیتی وب 3 صحبت کردهاند، اما سیل پولی که هر روزه به این صنعت سرازیر میشود آن را به چشماندازی وسوسهانگیز برای هکرها، کلاهبرداران و سارقان تبدیل کرده است.
هنگامی که بازیگران خرابکار موفق به نفوذ به وب 3 میشوند، اغلب به دلیل کوتاهی کاربران در نادیده گرفتن تهدیدهای شایع، طمع، ترس از جا ماندن یا همان فومو (FOMO)، و بیاطلاعی است، نه به دلیل اشکالات احتمالی در این فناوری.
عناوین مطلب:
بسیاری از کلاهبردارها با وعده پرداخت سودهای بزرگ، سرمایهگذاری یا امتیازات انحصاری کاربران ناآگاه را فریب میدهند. کمیسیون فدرال تجارت (FTC) این فرصتهای پولسازی و سرمایهگذاری را کلاهبرداری یا اسکم (Scam) میداند.
بیشتر بخوانید: 9 نشانه که یک ارز دیجیتال اسکم (کلاهبردار) است
امنیت وب 3 در برابر وعده پولهای کلان!
طبق گزارش ژوئن 2022 کمیسیون تجارت فدرال، بیش از یک میلیارد دلار ارز دیجیتال از سال 2021 به سرقت رفته است.
اگرچه چنین دعوتهای تقلبی و وعدههای وسوسهانگیز غیرواقعیتر از آن هستند که بتوان باور کرد اما قربانیان احتمالی ممکن است با توجه به نوسانهای شدید بازار ارزهای دیجیتال خود را گول بزنند و در نهایت به دام کلاهبرداران بیفتند.
بیشتر بخوانید: 15 اشتباه مهلکی که مبتدیان کریپتو مرتکب میشوند!
مهاجمانی که NFTها را هدف قرار میدهند
در کنار ارزهای دیجیتال، NFTها یا توکنهای غیر مثلی، به یک هدف محبوب برای کلاهبرداران تبدیل شدهاند.
به گفته شرکت TRM Labs (فعال در حوزه امنیت سایبری و وب 3)، در دو ماه پس از می 2022، جامعه کاربران NFT حدود 22 میلیون دلار دارایی را در جریان کلاهبرداری و حملات فیشینگ از دست داده است.
کلکسیونهایی مانند میمونهای کسل (BAYC) یکی از اهداف ویژه کلاهبرداران هستند. در آوریل 2022، کلاهبرداران حساب اینستاگرام BAYC را هک کردند و قربانیان را به سایتی هدایت کردند و در آنجا موجودی ارزهای دیجیتال و NFT کیف پولهای اتریوم آنها را به سرقت بردند.
در نتیجه این کلاهبرداری حدود 91 NFT با ارزش مجموع بیش از 2.8 میلیون دلار به سرقت رفت. چند ماه بعد در یک سوءاستفاده که در شبکه دیسکورد انجام شد، NFTهایی به ارزش 200 اتریوم از کاربران به سرقت رفت!
دارندگان سرشناس BAYC نیز قربانی کلاهبرداری شدهاند. در 17 می، بازیگر و تهیه کننده، ست گرین در توییتی اعلام کرد که قربانی یک کلاهبرداری فیشینگ شده است که در نتیجه آن چهار NFT از جمله بورد ایپ شماره #8398 خود را از دست داد. این اتفاق علاوه بر برجسته کردن تهدید ناشی از حملات فیشینگ، میتوانست یک برنامه تلویزیونی با مضمون NFT به نام «White Horse Tavern» را که توسط گرین تهیه شده بود از مسیر خارج کند.
«فکر میکردم دارم مجموعه GutterCat Clones را مینت (ضرب) میکنم، لینک فیشینگ کاملاً سالم به نظر میرسید» ست گرین (@SethGreen)، 17 می 2022
در طی جلسه توییتر اسپیس در نهم ژوئن، گرین اعلام کرد که عکسهای JPEG سرقت شده را با پرداخت 165 اتریوم (بیش از 295000 دلار در آن زمان) به شخصی که NFTهای او را از سارق خریداری کرده بود، پس گرفت!
لوئیس لوبک، مهندس امنیت در شرکت امنیت سایبری Halborn معتقد است: «فیشینگ هنوز محبوبترین ابزار حمله است.»
لوبک میگوید که کاربران باید مراقب وب سایتهای جعلی که اطلاعات شخصی کیف پولشان را درخواست میکنند، لینکهای شبیهسازی شده و پروژههای جعلی باشند.
بیشتر بخوانید: چگونه از کلاهبرداریهای حوزه NFT در امان باشیم؟
به گفته لوبک، کلاهبرداریهای فیشینگ ممکن است از طریق مهندسی اجتماعی شروع شود؛ برای مثال به کاربر گفته شود که قرار است در آینده نزدیک یک توکن جدید راهاندازی شود، یا اینکه با سرمایهگذاری در یک پروژه خاص میتواند پولش را 100 برابر کند، یا اینکه حساب داراییهای دیجیتالش نقض شده است و نیاز به تغییر رمز عبور دارد.
کلاهبرداران در این پیامها معمولاً به کاربر میگویند که فرصت بسیار کوتاهی برای عمل دارد و همین باعث ترس کاربر از جا ماندن میشود که به آن فومو (FOMO) نیز گفته میشود. حمله فیشینگ به ست گرین نیز از طریق یک لینک شبیهسازی شده انجام شد.
کلون فیشینگ (Clone phishing) حملهای است که در آن کلاهبردار یک وب سایت، ایمیل یا حتی یک لینک ساده را انتخاب میکند و یک کپی تقریباً کاملاً مشابه آن ایجاد میکند که معتبر به نظر میرسد. گرین فکر میکرد که در حال مینت کردن کلونهای «GutterCat» با استفاده از یک وبسایت معتبر است که معلوم شد فیشینگ بوده است.
هنگامی که گرین کیف پول خود را به وب سایت فیشینگ وصل کرد و تراکنش مربوط به مینت کردن NFT را امضا کرد، در واقع به هکرها اجازه دسترسی به کلیدهای خصوصی و به دنبال آن به NFTهای میمونهای کسل (Bored Apes) خود را داد.
انواع حملات سایبری که امنیت وب 3 را تهدید میکنند
نقضهای امنیتی میتواند بر شرکتها و افراد تأثیر بگذارد. در فهرست زیر -اگرچه کامل نیست- تعدادی از انواع حملات سایبری که امنیت وب 3 را هدف قرار میدهند معرفی شده است:
- فیشینگ (Phishing): حملات فیشینگ که یکی از قدیمیترین و در عین حال رایجترین اشکال حملات سایبری است معمولاً از طریق ارسال ایمیل و پیامهای جعلی در رسانههای اجتماعی انجام میشود. این پیامها در ظاهر از سوی یک منبع معتبر ارسال شدهاند. این کلاهبرداری سایبری همچنین میتواند به شکل یک وبسایت هک شده یا کدگذاری شده باشد که میتواند پس از اتصال کیف پول کریپتو توسط کاربر، ارزهای دیجیتال یا NFTهای را از کیف پول تحت وب او را تخلیه کند.
- بدافزار (Malware): عبارت انگلیسی معادل بدافزار مخفف دو واژه نرمافزارهای مخرب است و یک اصطلاح کلی برای اشاره بر هر برنامه یا کد مضر برای سیستمها است. بدافزارها میتوانند از طریق ایمیلهای فیشینگ، پیامکها و پیامها وارد سیستم شوند.
- وبسایتهای به خطر افتاده (Compromised Websites): کنترل این وبسایتهای معتبر به دست مجرمان افتاده و آنها از این وبسایتها برای ذخیره بدافزارها استفاده میکنند. کاربران ناآگاه با کلیک بر روی یک لینک، تصویر یا فایل بدافزارها را دانلود میکنند.
- جعل آدرس (URL Spoofing): وبسایتهای جعلی سایتهای مخربی هستند که در ظاهر کاملاً شبیه وبسایتهای اصلی هستند. این سایتها که با نام URL Phishing شناخته میشوند، میتوانند نامهای کاربری، رمز عبور، مشخصات کارتهای اعتباری، ارزهای دیجیتال و سایر اطلاعات شخصی کاربران را جمعآوری کنند.
- افزونههای جعلی مرورگر (Fake Browser Extensions): همانطور که از نام آن پیداست، هکرها در این روش از طریق ساخت افزونههای جعلی برای مرورگرهای اینترنتی کاربران ارزهای دیجیتال را فریب دهند تا اطلاعات کاربری یا کلیدهای خود را در افزونهای وارد کنند که به این کلاهبرداران سایبری اجازه دسترسی به دادهها را بدهد.
بیشتر بخوانید: 5 کلاهبرداری رایج در حوزه دیفای + راهکارهای مقابله با آنها
هدف کلاهبرداران از این حملات معمولاً دسترسی به اطلاعات حساس یا در مورد ست گرین، سرقت NFTهای میمونهای کسل اوست.
چگونه در برابر حملات سایبری از داراییهایمان محافظت کنیم؟
لوبک میگوید بهترین راه برای محافظت از داراییهای دیجیتال در برابر حملات فیشینگ این است که هیچ وقت به ایمیل، پیامک، پیام تلگرام، پیام در شبکه Discord یا پیام رسان واتساپ از طرف اشخاص، شرکتها یا حسابهای کاربری ناشناس پاسخ ندهید.
لوبک در ادامه میگوید: «حتی اینها کافی نیست. هرگز اطلاعات امنیتی یا اطلاعات شخصی کیف پولتان را به کسی یا وبسایتی ندهید مگر اینکه خودتان آغاز کننده این ارتباط باشید.»
علاوه بر این، لوبک میگوید که افراد نباید صرفاً به دلیل استفاده از یک سیستم عامل یا یک نوع گوشی موبایل خاص احساس امنیت کاذب داشته باشند.
او میگوید: «وقتی در مورد این نوع کلاهبرداریها صحبت میکنیم، چه فیشینگ، چه جعل هویت صفحه وب یا هر روش دیگری، مهم نیست که از آیفون، اندروید، و ویندوز استفاده کنید یا از لینوکس، مک، یا کروم بوک یا هر سیستم عامل دیگری. مشکل از سایت کلاهبرداری است نه از دستگاه شما!»
نگهداری امن ارزهای دیجیتال و NFT ها
در ادامه یک راهکار موثر برای افزایش امنیت در وب 3 را بررسی میکنیم:
در صورت امکان، از کیف پولهای سختافزاری یا بدون اتصال به اینترنت برای ذخیره داراییهای دیجیتال استفاده کنید. این دستگاهها که گاهی اوقات با عنوان «کیف پول سرد» هم شناخته میشوند، تا زمانی که کاربر نخواهد از ارزهای دیجیتالش استفاده کند از ارتباط داراییهای او با اینترنت جلوگیری میکند.
اگرچه استفاده از کیف پولهای مبتنی بر مرورگر مانند متامسک (MetaMask) برای ذخیره و استفاده از ارزهای دیجیتال بسیار رایج و راحت است، اما به یاد داشته باشید که هر چیزی که به اینترنت متصل باشد پتانسیل هک شدن را دارد.
اگر از کیف پولهای موبایل، مرورگر یا دسکتاپ استفاده میکنید که به آنها کیف پول گرم نیز گفته میشود، آنها را از پلتفرمهای رسمی مانند فروشگاه Google Play، اپ استور اپل یا وبسایتهای تأیید شده دانلود کنید.
هرگز هیچ کیف پولی را از لینکهایی که از طریق پیامک یا ایمیل برایتان ارسال میشود دانلود نکنید. اگرچه حتی فروشگاههای رسمی هم ممکن است دارای برنامههای مخرب باشند، اما استفاده از این منبع به مراتب امنتر از استفاده از لینکهای ناشناس است.
پس از تکمیل تراکنش، کیف پول را از وب سایت جدا کنید.
یکی از مهمترین اقدامات امنیتی برای جلوگیری از هک شدن این است که کلیدهای خصوصی، عبارات بازیابی و رمزهای عبور خود را در اختیار هیچ کس نگذارید. اگر کسی از شما خواست این اطلاعات را برای مشارکت در یک سرمایهگذاری یا مینت کردن در اختیار آنها بگذارید، احتمالاً هدف آنها کلاهبرداری است.
بیشتر بخوانید: راهکارهای استفاده ایمن از کیف پولهای سختافزاری
فقط روی پروژههایی سرمایهگذاری کنید که با آنها آشنایی دارید. اگر مطمئن نیستید عملکرد یک طرح یا پروژه چگونه است، صبر کنید و تحقیقات بیشتری انجام دهید.
پیشنهادهای فوری و ضرب الاجلهای مصرانه را نادیده بگیرید. اغلب، کلاهبرداران از این تاکتیکها برای برانگیختن احساس فومو در کاربران استفاده میکنند و قربانیان بالقوه را مجبور میکنند که بدون فکر یا تحقیق کافی، پیشنهاد آنها را قبول کند.
همچنین اگر احساس کردید یک طرح یا پیشنهاد به طرز غیرمقعولی جذاب به نظر میرسد احتمالاً با یک کلاهبرداری طرف هستید!
جمع بندی
در نهایت باید گفت که برای افزایش امنیت وب 3 علاوه بر استفاده از کیف پولهای سخت افزاری، باید روی مدیریت احساسات خود نیز کار کنید! فریب خوردن کلاهبرداران با وعده پولهای کلان که با فیشینگ ادغام میشود، مهمترین روش کلاهبرداران برای سرقت داراییهای دیجیتال شماست.
شما در بورس، علاوه بر خرید و فروش سهام:
- میتوانید در داراییهایی مانند طلا و مسکن سرمایهگذاری کنید
- در صندوقهای سرمایه گذاری بدون ریسک، سود ثابت بگیرید
برای شروع سرمایهگذاری، افتتاح حساب رایگان را در یکی از کارگزاریها انجام دهید:
نام شرکت | ویژگیها | امتیاز | لینک ثبتنام |
---|---|---|---|
کارگزاری آگاه |
|
برای سرمایهگذاری و معامله موفق، نیاز به آموزش دارید. خدمات آموزشی زیر از طریق کارگزاری آگاه ارائه میشود: