امنیت سایبری در Web3: راهنمای محافظت از دارایی‌های دیجیتال

اگر در حوزه امور مالی غیرمتمرکز، NFT ها و یا متاورس فعالی می‌کنید، احتمال سوالاتی در مورد امنیت وب 3 برایتان پیش آمده است. در این مقاله با نحوه محافظت از دارایی‌های دیجیتال‌تان آشنا خواهید شد.

حتی با وجود اینکه طرفداران این فناوری مدت‌هاست با افتخار از ویژگی‌های امنیتی وب 3 صحبت کرده‌اند، اما سیل پولی که هر روزه به این صنعت سرازیر می‌شود آن را به چشم‌اندازی وسوسه‌انگیز برای هکرها، کلاهبرداران و سارقان تبدیل کرده است.

هنگامی که بازیگران خرابکار موفق به نفوذ به وب 3 می‌شوند، اغلب به دلیل کوتاهی کاربران در نادیده گرفتن تهدیدهای شایع، طمع، ترس از جا ماندن یا همان فومو (FOMO)، و بی‌اطلاعی است، نه به دلیل اشکالات احتمالی در این فناوری.

بسیاری از کلاهبردارها با وعده پرداخت سودهای بزرگ، سرمایه‌گذاری یا امتیازات انحصاری کاربران ناآگاه را فریب می‌دهند. کمیسیون فدرال تجارت (FTC) این فرصت‌های پول‌سازی و سرمایه‌گذاری را کلاهبرداری یا اسکم (Scam) می‌داند.

بیشتر بخوانید: 9 نشانه که یک ارز دیجیتال اسکم (کلاهبردار) است

امنیت وب 3 در برابر وعده پول‌های کلان!

طبق گزارش ژوئن 2022 کمیسیون تجارت فدرال، بیش از یک میلیارد دلار ارز دیجیتال از سال 2021 به سرقت رفته است.

اگرچه چنین دعوت‌های تقلبی و وعده‌های وسوسه‌انگیز غیرواقعی‌تر از آن هستند که بتوان باور کرد اما قربانیان احتمالی ممکن است با توجه به نوسان‌های شدید بازار ارزهای دیجیتال خود را گول بزنند و در نهایت به دام کلاهبرداران بیفتند.

بیشتر بخوانید: 15 اشتباه مهلکی که مبتدیان کریپتو مرتکب می‌‌شوند!

مهاجمانی که NFT‌ها را هدف قرار می‌دهند

در کنار ارزهای دیجیتال، NFTها یا توکن‌های غیر مثلی، به یک هدف محبوب برای کلاهبرداران تبدیل شده‌اند.

به گفته شرکت TRM Labs (فعال در حوزه امنیت سایبری و وب 3)، در دو ماه پس از می ‌2022، جامعه کاربران NFT حدود 22 میلیون دلار دارایی را در جریان کلاهبرداری و حملات فیشینگ از دست داده است.

کلکسیون‌هایی مانند میمون‌های کسل (BAYC) یکی از اهداف ویژه کلاهبرداران هستند. در آوریل 2022، کلاهبرداران حساب اینستاگرام BAYC را هک کردند و قربانیان را به سایتی هدایت کردند و در آنجا موجودی ارزهای دیجیتال و NFT کیف پول‌های اتریوم آن‌ها را به سرقت بردند.

در نتیجه این کلاهبرداری حدود 91 NFT با ارزش مجموع بیش از 2.8 میلیون دلار به سرقت رفت. چند ماه بعد در یک سوءاستفاده که در شبکه دیسکورد انجام شد، NFT‌هایی به ارزش 200 اتریوم از کاربران به سرقت رفت!

دارندگان سرشناس BAYC نیز قربانی کلاهبرداری شده‌اند. در 17 می، بازیگر و تهیه کننده، ست گرین در توییتی اعلام کرد که قربانی یک کلاهبرداری فیشینگ شده است که در نتیجه آن چهار NFT از جمله بورد ایپ شماره #8398 خود را از دست داد. این اتفاق علاوه بر برجسته کردن تهدید ناشی از حملات فیشینگ، می‌توانست یک برنامه تلویزیونی با مضمون NFT به نام «White Horse Tavern» را که توسط گرین تهیه شده بود از مسیر خارج کند.

«فکر می‌کردم دارم مجموعه GutterCat Clones را مینت (ضرب) می‌کنم، لینک فیشینگ کاملاً سالم به نظر می‌رسید» ست گرین (@SethGreen)، 17 می 2022

در طی جلسه توییتر اسپیس در نهم ژوئن، گرین اعلام کرد که عکس‌های JPEG سرقت شده را با پرداخت 165 اتریوم (بیش از 295000 دلار در آن زمان) به شخصی که NFTهای او را از سارق خریداری کرده بود، پس گرفت!

لوئیس لوبک، مهندس امنیت در شرکت امنیت سایبری Halborn معتقد است: «فیشینگ هنوز محبوب‌ترین ابزار حمله است.» 

لوبک می‌گوید که کاربران باید مراقب وب سایت‌های جعلی که اطلاعات شخصی کیف پول‌شان را درخواست می‌کنند، لینک‌های شبیه‌سازی شده و پروژه‌های جعلی باشند.

بیشتر بخوانید: چگونه از کلاهبرداری‌های حوزه NFT در امان باشیم؟

به گفته لوبک، کلاهبرداری‌های فیشینگ ممکن است از طریق مهندسی اجتماعی شروع شود؛ برای مثال به کاربر گفته شود که قرار است در آینده نزدیک یک توکن جدید راه‌اندازی شود، یا اینکه با سرمایه‌گذاری در یک پروژه خاص می‌تواند پولش را 100 برابر کند، یا اینکه حساب دارایی‌های دیجیتالش نقض شده است و نیاز به تغییر رمز عبور دارد.

کلاهبرداران در این پیام‌ها معمولاً به کاربر می‌گویند که فرصت بسیار کوتاهی برای عمل دارد و همین باعث ترس کاربر از جا ماندن می‌شود که به آن فومو (FOMO) نیز گفته می‌شود. حمله فیشینگ به ست گرین نیز از طریق یک لینک شبیه‌سازی شده انجام شد.

کلون فیشینگ (Clone phishing) حمله‌ای است که در آن کلاهبردار یک وب سایت، ایمیل یا حتی یک لینک ساده را انتخاب می‌کند و یک کپی تقریباً کاملاً مشابه آن ایجاد می‌کند که معتبر به نظر می‌رسد. گرین فکر می‌کرد که در حال مینت کردن کلون‌های «GutterCat» با استفاده از یک وب‌سایت معتبر است که معلوم شد فیشینگ بوده است.

هنگامی که گرین کیف پول خود را به وب سایت فیشینگ وصل کرد و تراکنش مربوط به مینت کردن NFT را امضا کرد، در واقع به هکرها اجازه دسترسی به کلیدهای خصوصی و به دنبال آن به NFTهای میمون‌های کسل (Bored Apes) خود را داد.

انواع حملات سایبری که امنیت وب 3 را تهدید می‌کنند

نقض‌های امنیتی می‌تواند بر شرکت‌ها و افراد تأثیر بگذارد. در فهرست زیر -اگرچه کامل نیست- تعدادی از انواع حملات سایبری که امنیت وب 3 را هدف قرار می‌دهند معرفی شده است:

• فیشینگ (Phishing): حملات فیشینگ که یکی از قدیمی‌ترین و در عین حال رایج‌ترین اشکال حملات سایبری است معمولاً از طریق ارسال ایمیل و پیام‌های جعلی در رسانه‌های اجتماعی انجام می‌شود. این پیام‌ها در ظاهر از سوی یک منبع معتبر ارسال شده‌اند. این کلاهبرداری سایبری همچنین می‌تواند به شکل یک وب‌سایت هک شده یا کدگذاری شده باشد که می‌تواند پس از اتصال کیف پول کریپتو توسط کاربر، ارزهای دیجیتال یا NFTهای را از کیف پول تحت وب او را تخلیه کند.
• بدافزار (Malware): عبارت انگلیسی معادل بدافزار مخفف دو واژه نرم‌افزارهای مخرب است و یک اصطلاح کلی برای اشاره بر هر برنامه یا کد مضر برای سیستم‌ها است. بدافزارها می‌توانند از طریق ایمیل‌های فیشینگ، پیامک‌ها و پیام‌ها وارد سیستم شوند.
• وب‌سایت‌های به خطر افتاده (Compromised Websites): کنترل این وب‌سایت‌های معتبر به دست مجرمان افتاده و آن‌ها از این وب‌سایت‌ها برای ذخیره بدافزارها استفاده می‌کنند. کاربران ناآگاه با کلیک بر روی یک لینک، تصویر یا فایل بدافزارها را دانلود می‌کنند.
• جعل آدرس (URL Spoofing): وب‌سایت‌های جعلی سایت‌های مخربی هستند که در ظاهر کاملاً شبیه وب‌سایت‌های اصلی هستند. این سایت‌ها که با نام URL Phishing شناخته می‌شوند، می‌توانند نام‌های کاربری، رمز عبور، مشخصات کارت‌های اعتباری، ارزهای دیجیتال و سایر اطلاعات شخصی کاربران را جمع‌آوری کنند.
• افزونه‌های جعلی مرورگر (Fake Browser Extensions): همان‌طور که از نام آن پیداست، هکرها در این روش از طریق ساخت افزونه‌های جعلی برای مرورگرهای اینترنتی کاربران ارزهای دیجیتال را فریب دهند تا اطلاعات کاربری یا کلیدهای خود را در افزونه‌ای وارد کنند که به این کلاهبرداران سایبری اجازه دسترسی به داده‌ها را بدهد.

بیشتر بخوانید: 5 کلاهبرداری رایج در حوزه دیفای + راهکارهای مقابله با آن‌ها

هدف کلاهبرداران از این حملات معمولاً دسترسی به اطلاعات حساس یا در مورد ست گرین، سرقت NFTهای میمون‌های کسل اوست.

چگونه در برابر حملات سایبری از دارایی‌هایمان محافظت کنیم؟

لوبک می‌گوید بهترین راه برای محافظت از دارایی‌های دیجیتال در برابر حملات فیشینگ این است که هیچ وقت به ایمیل، پیامک، پیام تلگرام، پیام در شبکه Discord یا پیام رسان واتس‌اپ از طرف اشخاص، شرکت‌ها یا حساب‌های کاربری ناشناس پاسخ ندهید.

لوبک در ادامه می‌گوید: «حتی این‌ها کافی نیست. هرگز اطلاعات امنیتی یا اطلاعات شخصی کیف پول‌تان را به کسی یا وب‌سایتی ندهید مگر اینکه خودتان آغاز کننده این ارتباط باشید.»

علاوه بر این، لوبک می‌گوید که افراد نباید صرفاً به دلیل استفاده از یک سیستم عامل یا یک نوع گوشی موبایل خاص احساس امنیت کاذب داشته باشند.

او می‌گوید: «وقتی در مورد این نوع کلاهبرداری‌ها صحبت می‌کنیم، چه فیشینگ، چه جعل هویت صفحه وب یا هر روش دیگری، مهم نیست که از آیفون، اندروید، و ویندوز استفاده کنید یا از لینوکس، مک، یا کروم بوک یا هر سیستم عامل دیگری. مشکل از سایت کلاهبرداری است نه از دستگاه شما!»

نگهداری امن ارزهای دیجیتال و NFT ها

در ادامه یک راهکار موثر برای افزایش امنیت در وب 3 را بررسی می‌کنیم:

در صورت امکان، از کیف پول‌های سخت‌افزاری یا بدون اتصال به اینترنت برای ذخیره دارایی‌های دیجیتال استفاده کنید. این دستگاه‌ها که گاهی اوقات با عنوان «کیف پول سرد» هم شناخته می‌شوند، تا زمانی که کاربر نخواهد از ارزهای دیجیتالش استفاده کند از ارتباط دارایی‌های او با اینترنت جلوگیری می‌کند.

اگرچه استفاده از کیف پول‌های مبتنی بر مرورگر مانند متامسک (MetaMask) برای ذخیره و استفاده از ارزهای دیجیتال بسیار رایج و راحت است، اما به یاد داشته باشید که هر چیزی که به اینترنت متصل باشد پتانسیل هک شدن را دارد.

اگر از کیف پول‌های موبایل، مرورگر یا دسکتاپ استفاده می‌کنید که به آن‌ها کیف پول گرم نیز گفته می‌شود، آن‌ها را از پلتفرم‌های رسمی مانند فروشگاه Google Play، اپ استور اپل یا وب‌سایت‌های تأیید شده دانلود کنید.

هرگز هیچ کیف پولی را از لینک‌هایی که از طریق پیامک یا ایمیل برایتان ارسال می‌شود دانلود نکنید. اگرچه حتی فروشگاه‌های رسمی هم ممکن است دارای برنامه‌های مخرب باشند، اما استفاده از این منبع به مراتب امن‌تر از استفاده از لینک‌های ناشناس است.

پس از تکمیل تراکنش، کیف پول را از وب سایت جدا کنید.

یکی از مهم‌ترین اقدامات امنیتی برای جلوگیری از هک شدن این است که کلیدهای خصوصی، عبارات بازیابی و رمزهای عبور خود را در اختیار هیچ کس نگذارید. اگر کسی از شما خواست این اطلاعات را برای مشارکت در یک سرمایه‌گذاری یا مینت کردن در اختیار آن‌ها بگذارید، احتمالاً هدف آن‌ها کلاهبرداری است.

بیشتر بخوانید: راهکارهای استفاده ایمن از کیف پول‌های سخت‌افزاری

فقط روی پروژه‌هایی سرمایه‌گذاری کنید که با آن‌ها آشنایی دارید. اگر مطمئن نیستید عملکرد یک طرح یا پروژه چگونه است، صبر کنید و تحقیقات بیشتری انجام دهید.

پیشنهادهای فوری و ضرب الاجل‌های مصرانه را نادیده بگیرید. اغلب، کلاهبرداران از این تاکتیک‌ها برای برانگیختن احساس فومو در کاربران استفاده می‌کنند و قربانیان بالقوه را مجبور می‌کنند که بدون فکر یا تحقیق کافی، پیشنهاد آن‌ها را قبول کند.

همچنین اگر احساس کردید یک طرح یا پیشنهاد به طرز غیرمقعولی جذاب به نظر می‌رسد احتمالاً با یک کلاهبرداری طرف هستید!

جمع بندی

در نهایت باید گفت که برای افزایش امنیت وب 3 علاوه بر استفاده از کیف پول‌های سخت افزاری، باید روی مدیریت احساسات خود نیز کار کنید! فریب خوردن کلاهبرداران با وعده پول‌های کلان که با فیشینگ ادغام می‌شود، مهمترین روش کلاهبرداران برای سرقت دارایی‌های دیجیتال شماست.

شما در بورس، علاوه بر خرید و فروش سهام:

• می‌توانید در دارایی‌هایی مانند طلا و مسکن سرمایه‌گذاری کنید
• در صندوق‌های سرمایه گذاری بدون ریسک، سود ثابت بگیرید

برای شروع سرمایه‌گذاری، افتتاح حساب رایگان را در یکی از کارگزاری‌ها انجام دهید:

نام شرکت	ویژگی‌ها	امتیاز	لینک ثبت‌نام
کارگزاری آگاه	باشگاه مشتریان با جایزه نرم‌افزار معاملاتی پیشرفته دریافت اعتبار معاملاتی خرید آنلاین صندوق‌ سرمایه‌گذاری ثبت‌نام آنلاین برای کد بورسی

برای سرمایه‌گذاری و معامله موفق، نیاز به آموزش دارید. خدمات آموزشی زیر از طریق کارگزاری آگاه ارائه می‌شود:

نام خدمات	ویژگی‌ها	لینک ثبت‌نام
دوره‌های آموزش تحلیل تکنیکال	دوره‌های حضوری + غیرحضوری شناخته‌شده‌ترین اساتید در سطح مقدماتی، متوسط و پیشرفته ارائه مدرک معتبر گذراندن دوره