۱۰ ترفند هوشمندانه ی هکرها برای به سرقت بردن ارزهای شما و راه های در امان ماندن از خطرات
مجموعه ی وسیع ارزهای رمزنگاری شده یک مجموعه ی واقعاً آشفته و دارای هرج و مرج است، تا آنجا که تأمین امنیت آن باعث نگرانی مشتریان و خریدان ارزهای رمزپایه شده است.
اگر تاکنون از هر یک از سرویس های رمزنگاری حتی به طور سطحی (تا حدی که مشکلات اولیه شما برطرف شده باشد)، استفاده کرده باشید برای این کار هم مجبور خواهید بود از یک سری تدابیر امنیتی خسته کننده پیروی کنید که شامل عبارات و کدهای پیچیده و طولانی است که باید آن ها را به خاطر داشته باشید یا در مکانی امن حفظشان کنید(هرچند مکان امن برای ذخیره ی کد، در واقع بی معنی است).
بله، شما کنترل دارایی هایتان را به دست دارید اما هزینه ای که باید برای آن بپردازید این است که خود شما مسئول تأمین امنیت خودتان هستید و از آنجا که اکثر مردم، کارشناسان امنیتی نیستند، غالباً بدون آن که بدانند، بسیار زیاد در معرض خطر قرار می گیرند. من همیشه از مشاهده ی این که چگونه بسیاری از افراد، حتی افراد متبحر، اقدامات امنیتی اولیه را رعایت نمی کنند شگفت زده می شوم.
حتی در صورت که شما از یک کیف پول سخت افزاری فوق العاده امن استفاده کنید که استانداردی طلایی برای امنیت امروزی محسوب می شود، باز هم در معرض خطر قرار دارید. در واقع بیشتر مشکلات، در “مراحل اتصال و ارتباط” با کیف پول شما به وجود می آیند، نه در خود کیف پول.
آنچه در معرض خطر قرار دارد، لزوماً تنظیمات شما نیست بلکه دقت و مراقبت شماست
در این مقاله، برخی از ترفندهایی که هکرها به استفاده از آن ها برای به سرقت بردن کلیدهای خصوصی(private keys) شما (اطلاعات مورد نیاز برای سرقت ارزهای رمزنگاری شده ی شما) علاقه دارند یا حتی روش هایی که به وسیله آن به شما حقه می زنند تا شما سکه ها/ توکن ها را به مقصدی اشتباه را ارسال کنید، شرح داده می شوند.
۱. کپی و Paste
شما آدرسی که می خواهید برای آن بیت کوین ارسال کنید را مشاهده می کنید. این آدرس را کپی کرده و سپس در کیف پول خودتان Paste می کنید. این روال به صورت عادی انجام می شود به جز در مواردی که چیزهایی نظیر تروجان کریپتوشافلر(CryptoShuffler) وجود داشته باشند، کریپتوشافلر برنامه ی کوچکی است که آدرسی که شما کپی کردید را با آدرس دیگری که هیچ ربطی به آدرس اصلی ندارد، جابه جا می کند. این تروجان با هر نوع رمز عبوری از جمله کپی کردن رمز عبور اصلی شما برای مدیر رمز عبور(مثلاً آخرین رمز عبور) کار می کند.
نکته: این کار پر دردسر است اما(حتماً) آدرس را قبل از paste کردن آن، بررسی کنید(۵ رقم اول و آخر). اگر نحوه ی استفاده از کد QR را می دانید از آن استفاده کنید.
نکته ۲: نرم افزارهای عجیب و غریب(غیرعادی) یا برنامه ای که از آن ها اطمینان ندارید را نصب نکنید. به طور منظم یک ضد بدافزار(anti Malware) را بر روی کامپیوتر خود اجرا کنید (مانند Bitdefender و kaspersky) تا کامپیوتر شما پاک سازی شود.
نکته ی کلیدی و هوشمندانه: به جای آدرس های مستعد خطای انسانی که بررسی آن ها غیر ممکن است، از ENS موثق (سرویس نام اتریوم ethereum name service) (بیشتر برای آنچه در ادامه آمده) استفاده کنید. برخی از ENSها ارزان هستند برخی خیر. اما استفاده از ENS موثق آسودگی خاطر به ارمغان می آورد.
۲. برنامه های موبایلی هک شده
هکرها می توانند برنامه های تجاری جعلی واقعی منتشر کنند که دارایی ها را از یک صرافی ارز رمزنگاری شده(مانند صرافی Poloniex) خریداری کنند، اما در واقع شما در هیچ مکانی مبادله نمی کنید بلکه پول را به حساب هکر جعلی ارسال می کنید.
به طور کلی، اندروید واقعاً مستعد هک شدن است(بیشتر از iOS). شما باید مراقب آنچه نصب می کنید باشید و اطمینان حاصل کنید که دستگاه شما به طور منظم از داده های ناخواسته(junk) پاک سازی می شود.
نکته: زیاد تخیل پردازی نکنید. واضح است(البته نه برای همه) که شما باید از دستگاه خودتان با استفاده از پین (PIN)، حسگر اثر انگشت (Touch ID) یا قابلیت تشخیص چهره (FaceID) حفاظت کنید، احراز هویت دو مرحله ای را برای تمام برنامه هایی که آن را به شما پیشنهاد می دهند، اضافه کنید و از دانلود موارد ناخواسته بپرهیزید.
۳. ربات های هک Slack
ربات هایی که بر روی Slack مستقر می شوند، مثل یک آفت هستند.
آن ها خطرات امنیتی بر روی کیف پول شما را هشدار می دهند(که البته ممکن است مورد خطرناکی وجود نداشته باشد) و شما را به URL ای متصل می کنند که آن ها از شما کلید خصوصیتان را مطالبه می کنند. این کار را انجام ندهید.
نکته: ربات های بر روی کانال slack را نادیده بگیرید. هنگامی که با شما ارتباط برقرار می کنند، آن ها را گزارش دهید. همچنین از Metacert برای محافظت از کانال های slack خودتان استفاده کنید.
۴. افزونه های مرورگر(Browser extensions)
برخی از افزونه ها ادعا می کنند که تجربه ی کاربری شما بر روی سایت های خرید و فروش را بهبود خواهند بخشید. در حالی که ممكن است آن ها به طور همزمان تمام چيزهايي كه شما در آنجا تايپ مي كنيد را بخوانند.
با پیگیری تجارب بد کاربران شما می توانید امنیت بیشتری داشته باشید.
نكته: افزونه هاي رمزي را دانلود نكنيد. مرورگر را در “حالت خصوصی (Private mode)” قرار دهید که معمولاً افزونه ها در این حالت غيرفعال مي شوند. يا از يك مرورگر دست اول و جدید صرفاً براي اين كار استفاده كنيد.
مي توانيد نگاهی به Brave داشته باشید، Brave يك مرورگر بومي بلاک چین به همراه کیف پول تعبیه شده درون آن است.
۵. وب سايت های نسخه برداری و تقلید شده (Clone Websites)
هنگامی که تایپ URL یک سایت را شروع می کنید، نوارURL شما، به وسیله ی یک URL دیگری که بسیار شبیه به URL وب سایت مورد نظر شما، دقیقاً با همان ظاهر و قيافه و لوگو است، هك می شود. مراقب باشید!
افزونه Cryptonite كروم
نكته: به دنبال گواهی صحت https باشید (تا از اصل بودن آدرس مطمئن شوید)، از افزونه Cryptonite كروم/فايرفاكس استفاده کنید كه می توانند URL هاي جعلي را برجسته و مشخص کنند.
۶. تبلیغات/سئو (Ads/SEO) جعلي گوگل
-
- URL جعلي در Google Ads
-
- URL جعلي در Google Ads
این روش، تكنيك شناخته شده اي است. شما به دنبال سايت هاي ارزهای رمزنگاری شده ی مورد علاقه خودتان (یا تمام سایت ها نه صرفاً مورد علاقه) در گوگل هستيد اما هكرها با در اختیار گرفتن اولین نتايج جستجوی paid در بالای لیست نتایح (یا ارگانیک) با URLهاي مشابه (با يك تغيير كوچك) شما را فریب داده و به جای سایت اصلی، به سایت خودشان هدایت می کنند.
نكته: URL را پس از كليك کردن به دقت بررسی کنید.
۷. اکانت های اجتماعي جعلي
در این مورد مواظب باشيد، تنها اکانت هاي تأييد شده را دنبال كنيد يا بر روي لينك هاي اجتماعي از وب سايت هاي رسمي سرويسي كه مي خواهيد آن را دنبال كنيد كليك كنيد. به هيچ منبع ديگري اعتماد نكنيد، حتي الگوريتم هاي پيشنهادي توئيتر/ فيسبوك كه مي توانند اكانت هاي جعلي جدید را به زور غالب كنند.
۸. احراز هویت دو مرحله ای از طریق اس ام اس تلفن همراه
اين موضوعي است كه به طور گسترده شناخته شده است. سرويس ها از شما، شماره تلفن همراهتان را برای ثبت نام یا فعال سازی قابلیت احراز هویت دو مرحله ای (2FA) می پرسيد، اما به ويژه در آمريكا، برخی از هكرها در فریب دادن تيم پشتيباني اپراتورهاي تلفن همراه بسيار مستعد هستند و مجوزهای شما را به دست می آورند و از این طریق به هر اكانت لينك شده به تلفن همراه شما دسترسي خواهند داشت.
نكته: از اپراتور خود بپرسيد که تلفن همراه شما چگونه محافظت مي شود.
نكته۲: هرگز هرگز از سرويسي كه به شماره تلفن همراه شما نياز دارد استفاده نكنيد و هرگز قابلیت 2FA را از طریق پیامک (SMS) فعال نكنيد (به جاي آن از يك راه حل نرم افزاري استفاده كنيد مثلِ google authenticator).
۹. فیشینگ ایمیل (Email phishing)
شما يك ايميل از سرويسي كه مي شناسيد دريافت مي كنيد، در حالی که اين ايميل از طرف آن ها نيست. آن ها از فرمت، قالب و طرح دقيقاً يكسانی با آن سرویس، استفاده خواهند كرد. بسياري از اوقات، این سرويس، حتی ايميل شما را در اختیار ندارد، اما مهم نيست، چون شما به یاد نخواهيد آورد که آدرس ایمیل خودتان را در اختیار این سرویس قرار داده اید یا خیر. به خاطر داشته باشيد، كوركورانه كليك نكنيد.
جعلي
نكته: به لينكي كه بر روی آن كليك مي كنيد توجه كنيد، آن ها را در بخش لينك مرورگر مشاهده كنيد. اگر عجيب و غريب به نظر مي رسند، از آن ها خارج شوید.
۱۰. هك کردن واي فاي (Wifi hacking)
ممكن است خبرهايی درباره ی هک وای فای ديده باشيد اما (Wi-Fi Protected Access) (دسترسی امن به وای فای) پروتكل امنيتي كه توسط اکثر مسيرياب هاي (routers) وای فای مورد استفاده قرار گرفته، در معرض خطر قرار گرفته است.
به دلیل آسیب پذیری “krack attack” هر كسي مي تواند تمام داده هايي كه از شبكه واي فاي شما عبور مي كنند را ببيند. مشكلات مشابهي در وای فای هاي عمومي نیز اتفاق افتاده است (مانند واي فاي فرودگاه).
نكته: روتر خود را تنظیم كنيد، آپديت ها را چك كنيد و هيچ وقت از طریق وای فای های عمومي، داد و ستد نكنيد (حداقل بدون يك VPN امن اين كار را انجام ندهید).
پاداش۱: ENS جعلي
ENS معادل ايميل ها/DNS (سرویس های نام دامنه) براي آدرس کیف پول است (یک پُست مفصل در این باره به زودی منتشر خواهد شد). بسياري از ICOهاي خوب از آن به جاي آدرسي كه مستعد خطا است، استفاده می کنند. مثلاً ENS ای شبيه به whatever.eth
اما بعضي از هكرها، ENS جعلي را در تالارهای گفتگو (فروم ها) ارسال می کنند كه شبيه به ENS اصلی که آن ها دارند به نظر خواهد رسید با نامی نزدیک به نام ENS آن ها (مثلاً thisICO.eth به جاي thatICO.eth).
نكته: تنها به مرجع ENS ارائه شده توسط شركت اطمينان كنيد و قبل از استفاده، دوبار آن را چك كنيد.
نکته ی کلیدی و هوشمندانه: اگر شما يك ICO را سِت كنيد، ENS مخصوص خودتان (از جمله قابلیت typos) را دریافت می کنید، حتی اگر قصد استفاده از آن را نداشته باشيد.
پاداش۲: Airdropهای رایگان
Airdropها، توزيع تصادفي توكن هاي رایگان هستند تا به دارندگان توكن ها، پاداش دهند يا كاربران بيشتري را به راه اندازی يك سرويس ارز رمزنگاري شده تشویق كنند. عالی به نظر می رسد. شما کیف پول خود را افتتاح مي كنيد. شگفت انگیز است! توكن هاي رایگان(در آن وجود دارند). برخي ادعا مي كنند يك Airdrop وجود دارد در حالي كه اينگونه نيست. برخي از آن ها، توكن هاي واقعي ارائه خواهند كرد تا شما را ترغيب كنند كه در سايت كلاهبرداري آن ها ثبت نام كنيد و اطلاعات شخصي شما را به دست آورند. خيلي مراقب باشيد.
يك نكته به عنوان خلاصه ای از تمام مواردی که بیان شد: بيش از حد مراقب باشيد!
تشکر.