spot_img

Támadási formák és módszerek – mire figyelj, ha kriptózol (1. rész)

spot_img

A kriptopénzek világában rengeteg az átverés és a csaló. Az csak egy dolog, hogy ismeretlenek rád írnak, és milliós hozammal kecsegtető projekteket ajánlanak neked, ez mondhatni a jéghegy csúcsának egy apró kis darabja. Napról-napra rengetegen dolgoznak azon, hogy a kripto eszközeidet, a seed szavaidat vagy privát kulcsaidat megszerezzék. Erre a csalóknak rengeteg lehetősége van. Körbejárjuk mire kell figyelned ha kriptózol, milyen jellemző csalási formák és módszerek vannak.

Kezdjük az alapokkal! Azt valószínűleg mindenki tudja, hogy csak olyan számítógépen ajánlott elkezdeni a kriptózást, amin van egy folyamatosan naprakészen tartott vírusirtó és nem a hetedik torrentről lehúzott játékot fogjuk hétvégén telepíteni rá. A torrent oldalokon elérhető szoftverek között egyre több az olyan, ami teljesen észrevehetetlenül átnézi a számítógépet különböző kriptotárcák után kutatva. Ez lehet egy játék vagy akár egy grafikai szoftver is, ha rendelkezünk vírusirtóval jó eséllyel jelezni fog, azt viszont abban a pillanatban nem tudhatod, hogy az adott program mit művelt a számítógépeden. Nem árt óvatosnak lenni! Kriptopénzekkel foglalkozni és torrentről letöltött tartalmakat telepíteni/tárolni ugyanazon a gépen nem a legjobb megoldás.

A gyanútlan felhasználók megfertőzése érdekében szoktak olyannal megoldásokkal is próbálkozni, hogy egy ismert weboldal népszerűségét kihasználva az oldal forráskódjába beszúrnak egy scriptet. Az ilyen scriptek az oldalon nem láthatóak, de a böngésző értelmezi őket és akár az is megoldható ezzel a módszerrel, hogy egy másik weboldalról a számítógép a tudtunk nélkül telepítsen valamit. Vírusirtóval ennek a kockázata jelentősen csökkenthető. Ha szeretnéd magad megkímélni az extra kiadásoktól a Windows mellé teljesen ingyenesen járó Defender is teljesen megfelel erre a feladatra. Mac-en valamivel nehezebb vírust összeszedni mint a Microsoft rendszerén, de azért itt sem árt gondoskodni a megfelelő védelemről.

Egy nyilvános vezetéknélküli hálózat is okozhat elég komoly gondot. A védelem nélküli wifi hálózatok ugyanis lehetővé teszik az adataink megismerését a forgalmat lehallgatók számára. Lehetőség szerint kerülni kell a nyilvános wifire való csatlakozás után a különböző tőzsdékre való bejelentkezést, mert nem tudhatjuk, hogy ezek az adatok kin mennek keresztül, és ennek a személynek milyen szándékai vannak. Ha nagyon rá vagyunk kényszerülve, a VPN egy megoldás lehet erre a célra. VPN használata során viszont ne érjen senkit meglepetésként, ha egy tőzsde ideiglenesen zárolja a fiókját mert a magyar IP cím helyett mondjuk egy indai IP címről jelentkezett be. Otthoni környezetben is érdemes átfutni a router beállításait. Első körben célszerű az alapértelmezett adminisztrátori jelszót megváltoztatni, majd beállítani egy kellően erős wifi jelszót. Ha van rá mód használjunk WPA3 protokollt. A jelszókezelés szabályait itt is be kell tartani, gondolunk itt az erősségre, másokkal való megosztásra és az időszakos jelszó változtatásra. A router beállításai között egyébként rengeteg olyan funkciót találunk ami extra biztonságot ad (ha valaki ért hozzá ezekkel is érdemes foglalkozni).

A másik fontos szabály, amit mindenkinek javasolt betartani, hogy a különböző tőzsdékre, lending oldalakra és váltókra való regisztrációkor lehetőleg ne azt az e-mail címet adjuk meg, amit már évek óta használunk. Ajánlott minden platformnál egy teljesen új e-mail címet használni. A jelszóválasztáskor is körültekintőnek kell lenni, lehetőleg olyan jelszót használjunk amiben van szám, speciális karakter, kis és nagybetű, kellően hosszú és ne legyen köthető hozzánk. Azt talán már mondani sem kell, hogy minden oldalon más jelszót kell beállítani, és bizonyos időközönként változtatni kell a jelszót. A 2FA ahol lehet legyen bekapcsolva és állíts be whiteliset-et is.

Ha ezekkel a kezdeti lépésekkel megvagy és sikeresen létrehoztad az első tárcádat jön az (egyik) aranyszabály: privát kulcsot, seed szavakat nem adunk ki senkinek!

Az egyik legegyszerűbb átverés, ami a kriptotérben terjed és még 2022-ben is sokan bedőlnek neki, hogy ismert személyek vagy cégek nevében arra kérik a felhasználókat a csalók, hogy küldjenek egy bizonyos összeget egy adott címre, majd ezt követően ők ennek a dupláját vagy többszörösét küldik vissza. Sűrűn próbálkozni Elon Musk nevében, de volt már példa Vitalik Buterin-re is. Némi skill-ről tesz tanúbizonyságot, ha a csalóknak sikerül feltörni egy ismert cég valamelyik social media fiókját és az adott platform nevében posztolnak. Ilyenkor még több felhasználót tudnak lehúzni. Ingyen pénz nincs és senki nem kezdi el önként szétosztani a vagyonát.

Leginkább Telegramon vagy Discordon szokott előfordulni, hogy ismeretlenek rád írnak, mert egy olyan projektet szeretnének bemutatni neked, amivel ők rengeteg pénzt kerestek az elmúlt időszakban. Az ilyenek 99 százaléka egyfajta piramisjáték és úgymond “maguk alá” gyűjtik az embereket, amiért ők extra profitot kapnak. Jellemzően úgy szokott működni, hogy a befektetett kriptopénzt X hónapig nem tudod kikérni, majd jön a hír, hogy csődbe ment az adott platform. Az se tévesszen meg, ha több éve működik egy ponzi sémára épülő cég. Van amelyik egész sokáig húzza, majd hirtelen mindenféle előjel nélkül lelép a pénzzel vagy fizetésképtelenné válik.

Legyen szó bármilyen kriptós projektről a másik fontos szabály, hogy mindig végezz saját kutatást (DYOR). Manapság könnyen bele lehet futni egy rug pull-ba vagy egyéb más átverésbe.

A következő részben átnézzük, hogy mire figyeljünk szoftveres kriptotárcák telepítésénél és részletesebben megismerkedünk az egyik legnépszerűbb csalási formával a social engineeringgel is.

spot_img
spot_img