Web3’te Siber Güvenlik: Kendinizi (Ve Maymun JPEG’inizi) Korumak
Web3 evangelistleri blok zincirinin organik güvenlik özelliklerini uzun süredir övüyor olsalar da, sektöre akan para akışı onu bilgisayar korsanları, dolandırıcılar ve hırsızlar için cazip bir olasılık haline getiriyor.
Fena erkek oyuncular Web3 siber güvenliğini ihlal etmeyi başardığında, teknolojideki kusurlardan ziyade çoğu zaman insanların açgözlülüğü, FOMO ve bilgisizlik şeklinde en yaygın tehditleri görmezden gelen kullanıcılara düşer.
Birçok dolandırıcılık, büyük kazançlar, yatırımlar yada hususi avantajlar vaat eder; FTC, bu para kazanma fırsatları ve yatırım dolandırıcılığı olarak adlandırıyor.
Dolandırıcılıkta büyük para
Federal Tecim Komisyonu’nun Haziran 2022 raporuna bakılırsa, 2021’den bu yana 1 milyar doların üstünde kripto para çalındı. Ve bilgisayar korsanlarının avlanma alanları, insanların çevrimiçi olarak toplandığı bölgeler.
FTC, “2021’den bu yana bir dolandırıcılık sebebiyle kripto kaybettiğini bildiren kişilerin neredeyse yarısı, bunun bir toplumsal medya platformunda bir reklam, gönderi yada mesajla başladığını söylemiş oldu.”
Hileli girişler gerçek olamayacak kadar iyi görünse de, potansiyel kurbanlar kripto piyasasının yoğun oynaklığı göz önüne alındığında inançsızlığı askıya alabilir; insanoğlu bir sonraki büyük şeyi kaçırmak istemiyorlar.
NFT’leri hedef alan saldırganlar
Kripto para birimleriyle beraber, NFT’ler yada takas edilemeyen tokenler, dolandırıcılar için giderek daha popüler bir hedef haline geldi; Web3 siber güvenlik şirketi TRM Labs’e bakılırsa, Mayıs 2022’yi takip eden iki ayda, NFT topluluğu dolandırıcılık ve kimlik avı saldırıları sebebiyle tahmini 22 milyon dolar yitirdi.
Bored Ape Yacht Club (BAYC) şeklinde “mavi çip” koleksiyonları bilhassa kıymetli bir hedeftir. Nisan 2022’de BAYC Instagram hesabı, kurbanları Ethereum cüzdanlarındaki kripto ve NFT’leri tüketen bir siteye yönlendiren dolandırıcılar tarafınca saldırıya uğradı. Toplam kıymeti 2,8 milyon doların üstünde olan 91 NFT çalındı. Aylar sonrasında, bir Discord istismarı, kullanıcılardan 200 ETH değerinde NFT’lerin çalındığını görmüş oldu.
Yüksek profilli BAYC sahipleri de dolandırıcılığın kurbanı oldu. 17 Mayıs’ta erkek oyuncu ve yapımcı Seth Green, Bored Ape #8398 dahil olmak suretiyle dört NFT’nin çalınmasıyla sonuçlanan bir kimlik avı dolandırıcılığının kurbanı bulunduğunu tweetledi. Kimlik avı saldırılarının oluşturduğu tehdidi vurgulamanın yanı sıra, Green tarafınca planlanan NFT temalı tv/gösterim programı “White Horse Tavern” de raydan çıkabilirdi. BAYC NFT’leri, Long Beach, CA’daki Bored & Hungry fast food restoranında olduğu şeklinde, NFT’yi ticari amaçlarla kullanma lisans haklarını ihtiva eder.
GutterCat klonlarını bastığımı sanıyordum – kimlik avı bağlantısı temiz görünüyordu
— Seth Green (@SethGreen) 17 Mayıs 2022
9 Haziran’daki Twitter Spaces oturumu esnasında Green, çalınan JPEG’i, çalındıktan sonrasında NFT’yi satın alan bir kişiye 165 ETH (o sırada 295.000 dolardan fazla) ödedikten sonrasında kurtardığını söylemiş oldu.
Halborn, Web3 siber güvenlik firmasında bir güvenlik mühendisi olan Luis Lubeck, Decrypt’e “Kimlik avı hala ilk hücum vektörü” dedi.
Lubeck, kullananların cüzdan kimlik detayları, klonlanmış bağlantılar ve düzmece projeler isteyen düzmece web sitelerinden haberdar olmaları icap ettiğini söylüyor.
Lubeck’e bakılırsa, bir kimlik avı dolandırıcılığı, toplumsal mühendislikle başlayabilir, kullanıcıya erken bir jeton lansmanı yada paralarının 100 katına çıkacağını, düşük bir API’yi yada hesaplarının ihlal edildiğini ve bir gizyazı değişikliği gerektirdiğini söyleyebilir. Bu mesajlar çoğu zaman harekete geçmek için sınırı olan bir süre ile gelir ve kullanıcının FOMO olarak da malum bir şeyi kaçırma korkusunu daha da artırır.
Green’in durumunda, kimlik avı saldırısı klonlanmış bir bağlantı kanalıyla geldi.
GutterCat klonlarını bastığımı sanıyordum – kimlik avı bağlantısı temiz görünüyordu
— Seth Green (@SethGreen) 17 Mayıs 2022
Kimlik avı klonlama, bir dolandırıcının bir internet sayfasını, e-postayı ve hatta kolay bir bağlantıyı almış olduğu ve meşru görünen mükemmele yakın bir kopya oluşturduğu bir saldırıdır. Green, bir kimlik avı internet sayfası olduğu ortaya çıkan şeyi kullanarak “GutterCat” klonlarını bastığını düşündü.
Green, cüzdanını kimlik avı internet sayfasına bağlayıp NFT’yi basmak için işlemi imzaladığında, bilgisayar korsanlarına hususi anahtarlarına ve sırayla Bored Apes’lerine erişim izni verdi.
Siber Hücum Türleri
Güvenlik ihlalleri hem şirketleri hem de fertleri etkileyebilir. Tam bir sıralama olmasa da, Web3’ü hedefleyen siber saldırılar çoğu zaman aşağıdaki kategorilere girer:
🎣 Kimlik Avı: Siber saldırının en eski sadece en yaygın biçimlerinden kabul edilen kimlik avı saldırıları çoğu zaman e-posta biçiminde gelir ve toplumsal medyada elit bir kaynaktan geliyormuş şeklinde görünen metinler ve mesajlar şeklinde düzmece iletişimler göndermeyi ihtiva eder. Bu siber kabahat, bir kripto cüzdanı bağlandığında bağlı tarayıcı tabanlı cüzdandan kriptoyu yada NFT’yi boşaltabilen, güvenliği ihlal edilmiş yada fena niyetli olarak kodlanmış bir internet sayfası biçimini de alabilir. 🏴☠️ Fena Amaçlı Yazılım: Fena amaçlı yazılımın kısaltması olan bu genel terim, sistemlere zararı olan tüm programları yada kodları kapsar. Fena amaçlı yazılım, kimlik avı e-postaları, metinler ve mesajlar kanalıyla bir sisteme girebilir. 👾 Ele Geçirilmiş Web Siteleri: Bu meşru internet sayfaları suçlular tarafınca ele geçirilir ve şüpheli olmayan kullananların bir bağlantıya, resme yada dosyaya tıkladıklarında indirdikleri fena amaçlı yazılımları depolamak için kullanılır. 🪤 URL Sahtekarlığı: Güvenliği ihlal edilmiş web sitelerinin bağlantısını kaldırın; Düzmece internet sayfaları, meşru web sitelerinin klonları olan fena amaçlı sitelerdir. URL Kimlik Avı olarak da malum bu siteler, kullanıcı adlarını, şifreleri, kredi kartlarını, kripto para birimini ve öteki kişisel detayları toplayabilir. 🤖 Düzmece Tarayıcı Uzantıları: Adından da anlaşılacağı şeklinde, bu istismarlar, kripto kullanıcılarını, siber suçluların verilere erişmesini elde eden bir uzantıya kimlik bilgilerini yada anahtarlarını girmeleri için kandırmak için düzmece tarayıcı uzantıları kullanır.
Bu saldırılar çoğu zaman kırılgan bilgilere yada Green’in durumunda bir Bored Ape NFT’ye erişmeyi, çalmayı ve yok etmeyi amaçlar.
Kendinizi korumak için ne yapabilirsiniz?
Lubeck, kendinizi kimlik avından korumanın en iyi yolunun, bilinmeyen bir kişiden, şirketten yada hesaptan gelen bir e-postaya, SMS metnine, Telegram’a, Anlaşmazlığa yada WhatsApp mesajına asla cevap vermemek bulunduğunu söylüyor. “Bundan daha ileri gideceğim,” diye ekledi Lübeck. “Kullanıcı iletişimi başlatmadıysa asla kimlik bilgilerini yada kişisel detayları girmeyin.”
Lubeck, her insana açık yada paylaşılan WiFi yada ağları kullanırken kimlik bilgilerinizi yada kişisel bilgilerinizi girmemenizi önerir. Ek olarak Lubeck, Decrypt’e, insanların belirli bir işletim sistemi yada telefon türü kullandıkları için yanlış bir güvenlik duygusuna haiz olmamaları icap ettiğini söyler.
“Bu tür dolandırıcılıklardan bahsettiğimizde: kimlik avı, web sayfası kimliğine bürünme, iPhone, Linux, Mac, iOS, Windows yada Chromebook kullanıyor olmanızın bir önemi yok” diyor. “Cihaza bir ad verin; problem sitede, cihazınızda değil.”
Kriptolarınızı ve NFT’lerinizi güvende tutun
Daha çok “Web3” fiil planına bakalım.
Mümkün olduğunda, dijital varlıkları depolamak için donanım yada hava boşluklu cüzdanlar kullanın. Kimi zaman “soğuk depolama” olarak tanımlanan bu cihazlar, siz kullanmaya hazır olana kadar kriptonuzu internetten kaldırır. MetaMask şeklinde tarayıcı tabanlı cüzdanları kullanmak yaygın ve kullanışlı olsa da, internete bağlı her şeyin saldırıya uğrama potansiyeli bulunduğunu ihmal etmeyin.
Sıcak cüzdan olarak da malum bir mobil, tarayıcı yada masaüstü cüzdanı kullanıyorsanız, bu tarz şeyleri Google Play Store, Apple’ın App Store’u yada doğrulanmış internet sayfaları şeklinde resmi platformlardan indirin. Metin yada e-posta kanalıyla gönderilen bağlantılardan asla indirme yapmayın. Fena amaçlı uygulamalar resmi mağazalara girebilse de, bağlantıları kullanmaktan daha güvenlidir.
İşleminizi tamamladıktan sonrasında cüzdanın internet adresinden bağlantısını kati.
Hususi anahtarlarınızı, çekirdek tümcelerinizi ve parolalarınızı gizli saklı tuttuğunuzdan güvenilir olun. Bir yatırım yada para basma işlemine katılmak için bu detayları paylaşmanız istenirse, bu bir dolandırıcılıktır.
Bir tek anladığınız projelere yatırım yapın. Planın iyi mi çalmış olduğu belli değilse, durun ve daha çok araştırma yapın.
Yüksek baskı taktiklerini ve sıkı teslim tarihlerini görmezden gelin. Bir çok vakit, dolandırıcılar bunu FOMO’yu tecrübe etmek ve çağırmak ve potansiyel kurbanların kendilerine söylenenleri düşünmemelerini yada araştırma yapmalarını sağlamak için kullanır.
Son olarak, gerçek olamayacak kadar iyi geliyorsa, muhtemelen bir aldatmacadır.
Kripto haberlerinden haberdar olun, gelen kutunuzda günlük güncellemeler alın.