Ciberseguridad en Web3: Protégete a ti mismo (y a tu simio JPEG)

Aunque Web3 los evangelistas han promocionado durante mucho tiempo las características de seguridad nativas de blockchain, el torrente de dinero que fluye hacia la industria lo convierte en una perspectiva tentadora para los piratas informáticos, estafadores y ladrones

Cuando los malos actores logran violar la seguridad cibernética de Web3, a menudo se debe a que los usuarios pasan por alto las amenazas más comunes de la codicia humana, FOMO e ignorancia, en lugar de fallas en la tecnología.

Muchas estafas prometen grandes ganancias, inversiones o beneficios exclusivos; la FTC llama a estas oportunidades de hacer dinero y de inversión estafas.

Mucho dinero en estafas

Según un junio de 2022 reporte según la Comisión Federal de Comercio, se han robado más de mil millones de dólares en criptomonedas desde 1. Y los terrenos de caza de los piratas informáticos son los lugares donde la gente se reúne en línea.

“Casi la mitad de las personas que informaron haber perdido criptomonedas por una estafa desde 2021 dijeron que comenzó con un anuncio, una publicación o un mensaje en una plataforma de redes sociales”, dijo la FTC.

Aunque las insinuaciones fraudulentas suenan demasiado buenas para ser verdad, las víctimas potenciales pueden suspender su incredulidad dada la intensa volatilidad del criptomercado; la gente no quiere perderse la próxima gran cosa.

Atacantes dirigidos a NFT

Junto con las criptomonedas, NFTs, o tokens no fungibles, se han convertido en un cada vez más popular objetivo de los estafadores; según la firma de ciberseguridad Web3 Laboratorios TRM, en los dos meses posteriores a mayo de 2022, la comunidad de NFT perdió aproximadamente $22 millones debido a estafas y ataques de phishing.

Colecciones “blue-chip” tales como Club de yates de mono aburrido (BAYC) son un objetivo especialmente preciado. En abril de 2022, la cuenta de Instagram de BAYC fue hackeado por estafadores que desviaron a las víctimas a un sitio que agotó sus billeteras Ethereum de criptografía y NFT. Se robaron unos 91 NFT, con un valor combinado de más de 2.8 millones de dólares. Meses después, un explotación de la discordia vio NFT por valor de 200 ETH robados a los usuarios.

Los titulares de BAYC de alto perfil también han sido víctimas de estafas. El 17 de mayo, el actor y productor Seth Green tuiteó que fue víctima de una estafa de phishing que resultó en el robo de cuatro NFT, incluido Bored Ape # 8398. Además de resaltar la amenaza que representan los ataques de phishing, podría haber descarrilado un programa de transmisión/televisión con el tema de NFT planeado por Green, "White Horse Tavern". Los NFT de BAYC incluyen derechos de licencia para usar el NFT con fines comerciales, como en el caso del aburrido y hambriento restaurante de comida rápida en Long Beach, CA.

Durante una sesión de Twitter Spaces el 9 de junio, Verde dijo que había recuperado el JPEG robado después de pagar 165 ETH (más de $295,000 XNUMX en ese momento) a una persona que había comprado el NFT después de que se lo robaran.

“El phishing sigue siendo el primer vector de ataque”, Luis Lubeck, ingeniero de seguridad de la firma de ciberseguridad Web3, Halborn, Dijo Descifrar.

Lubeck dice que los usuarios deben estar al tanto de los sitios web falsos que solicitan credenciales de billetera, enlaces clonados y proyectos falsos.

Según Lubeck, una estafa de phishing puede comenzar con ingeniería social, informándole al usuario sobre un lanzamiento anticipado de token o que multiplicará por 100 su dinero, una API baja o que su cuenta ha sido violada y requiere un cambio de contraseña. Estos mensajes generalmente vienen con un tiempo limitado para actuar, lo que aumenta aún más el miedo del usuario a perderse algo, también conocido como FOMO.

En el caso de Green, el ataque de phishing se produjo a través de un enlace clonado.

El phishing de clones es un ataque en el que un estafador toma un sitio web, un correo electrónico o incluso un enlace simple y crea una copia casi perfecta que parece legítima. Green pensó que estaba creando clones de "GutterCat" utilizando lo que resultó ser un sitio web de phishing.

Cuando Green conectó su billetera al sitio web de phishing y firmó la transacción para acuñar el NFT, les dio acceso a los piratas informáticos a sus claves privadas y, a su vez, a sus Bored Apes.

Tipos de ataques cibernéticos

Las brechas de seguridad pueden afectar tanto a empresas como a particulares. Si bien no es una lista completa, los ataques cibernéticos dirigidos a Web3 generalmente se clasifican en las siguientes categorías:

• ? Phishing: Una de las formas más antiguas pero más comunes de ciberataque, los ataques de phishing comúnmente vienen en forma de correo electrónico e incluyen el envío de comunicaciones fraudulentas como textos y mensajes en las redes sociales que parecen provenir de una fuente confiable. Este ciberdelincuencia también puede tomar la forma de un sitio web comprometido o codificado maliciosamente que puede drenar la criptografía o NFT de una billetera adjunta basada en un navegador una vez que se conecta una billetera criptográfica.
• ?‍☠️ Malware: Abreviatura de software malicioso, este término general cubre cualquier programa o código dañino para los sistemas. El malware puede ingresar a un sistema a través de correos electrónicos, mensajes de texto y mensajes de phishing.
• ? Sitios web comprometidos: Estos sitios web legítimos son secuestrados por delincuentes y se utilizan para almacenar malware que los usuarios desprevenidos descargan una vez que hacen clic en un enlace, imagen o archivo.
• ? URL Spoofing: Desvincular sitios web comprometidos; Los sitios web falsificados son sitios maliciosos que son clones de sitios web legítimos. También conocidos como URL Phishing, estos sitios pueden recopilar nombres de usuario, contraseñas, tarjetas de crédito, criptomonedas y otra información personal.
• ? Extensiones de navegador falsas: Como sugiere el nombre, estos exploits usan extensiones de navegador falsas para engañar a los criptousuarios para que ingresen sus credenciales o claves en una extensión que le da al ciberdelincuente acceso a los datos.

Estos ataques generalmente tienen como objetivo acceder, robar y destruir información confidencial o, en el caso de Green, un NFT de Bored Ape.

Que puedes hacer para protegerte?

Lubeck dice que la mejor manera de protegerse del phishing es nunca responder a un correo electrónico, mensaje de texto SMS, Telegram, Discord o WhatsApp de una persona, empresa o cuenta desconocida. “Iré más lejos que eso”, agregó Lubeck. “Nunca ingrese credenciales o información personal si el usuario no inició la comunicación”.

Lubeck recomienda no ingresar sus credenciales o información personal cuando use WiFi o redes públicas o compartidas. Además, Lübeck cuenta Descifrar que las personas no deben tener una falsa sensación de seguridad porque usan un sistema operativo o tipo de teléfono en particular.

“Cuando hablamos de este tipo de estafas: phishing, suplantación de identidad de páginas web, no importa si estás usando un iPhone, Linux, Mac, iOS, Windows o Chromebook”, dice. “Nombra el dispositivo; el problema es el sitio, no su dispositivo”.

Mantenga sus criptos y NFT seguros

Veamos un plan de acción más "Web3".

Cuando sea posible, utilice hardware o air-gapped TARJETEROS para almacenar activos digitales. Estos dispositivos, a veces descritos como "almacenamiento en frío", eliminan su criptografía de Internet hasta que esté listo para usarla. Si bien es común y conveniente usar billeteras basadas en navegador como MetaMask, recuerda, cualquier cosa conectada a Internet tiene el potencial de ser pirateada.

Si usa una billetera móvil, de navegador o de escritorio, también conocida como billetera caliente, descárguelos de plataformas oficiales como Google Play Store, App Store de Apple o sitios web verificados. Nunca descargue desde enlaces enviados por mensaje de texto o correo electrónico. Aunque las aplicaciones maliciosas pueden llegar a las tiendas oficiales, es más seguro que usar enlaces.

Después de completar su transacción, desconecte la billetera del sitio web.

Asegúrese de mantener privadas sus claves privadas, frases iniciales y contraseñas. Si se le pide que comparta esta información para participar en una inversión o acuñación, es una estafa.

Solo invierte en proyectos que entiendas. Si no está claro cómo funciona el esquema, deténgase e investigue más.

Ignore las tácticas de alta presión y los plazos ajustados. A menudo, los estafadores usarán esto para tratar de invocar FOMO y lograr que las víctimas potenciales no piensen o investiguen lo que se les dice.

Por último, pero no menos importante, si suena demasiado bueno para ser verdad, probablemente sea una estafa.