Καθώς η παγκόσμια οικονομία κρυπτογράφησης συνεχίζει να ευημερεί, με το Bitcoin (BTC) να καταλαμβάνει επί του παρόντος την περιοχή των 15.500 δολαρίων, ερωτήματα σχετικά με τη συνολική ασφάλεια των ψηφιακών περιουσιακών στοιχείων συνεχίζουν να παραμένουν, ειδικά μετά από μια νέα απάτη με την οποία οι χάκερ χρησιμοποίησαν ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος για να κατευθύνετε τους χρήστες σε έναν ψεύτικο ιστότοπο Ledger. Σύμφωνα με διάφορες αναφορές, τα θύματα απάτησαν το ποσό των 1.150.000 XRP, αξίας περίπου 290.000 δολαρίων.
Ο Dave Jevans, Διευθύνων Σύμβουλος της εταιρείας πληροφοριών blockchain CipherTrace και πρόεδρος της Ομάδας Εργασίας Anti-Phishing, δήλωσε στο Cointelegraph: «Το Ledger πρέπει σαφώς να έχει μια πιο επιθετική αμυντική στρατηγική απόκτησης τομέα, καθώς παρόμοιοι τομείς χρησιμοποιήθηκαν από phishers σε μια προσπάθεια να ξεγελάσουν τους χρήστες του Ledger ” Εξήγησε περαιτέρω ότι ένα παράνομο πρόγραμμα δημιουργίας χρημάτων χρησιμοποίησε τη χρήση ενός ομογλύφου στην επίσημη διεύθυνση URL της εταιρείας – σε αυτήν την περίπτωση, ένα γράμμα που έμοιαζε με το γράμμα “e”. Αυτός πρόσθεσε:
«Οι απάτες ηλεκτρονικού ψαρέματος ήταν πιθανότατα αποτέλεσμα μηνυμάτων ηλεκτρονικού ταχυδρομείου από παραβίαση δεδομένων ηλεκτρονικού εμπορίου / μάρκετινγκ. Ένα μη εξουσιοδοτημένο τρίτο μέρος είχε πρόσβαση σε ένα τμήμα της βάσης δεδομένων ηλεκτρονικού εμπορίου και μάρκετινγκ της Ledger μέσω ενός κλειδιού API. “
Νωρίτερα φέτος τον Ιούλιο, η ομάδα των Ledger αποκάλυψε ότι είχε φτάσει στο τέλος της παραβίασης δεδομένων, ως αποτέλεσμα της οποίας σχεδόν ένα εκατομμύριο διευθύνσεις ηλεκτρονικού ταχυδρομείου διακυβεύθηκαν, μαζί με τα προσωπικά στοιχεία ενός υποσυνόλου 9.500 πελατών. Επιπλέον, το 2018, οι απατεώνες κατάφεραν επινοήστε ένα αντίγραφο του ιστότοπου Binance (συμπληρώνεται με πιστοποιητικό SSL), το οποίο παρέμεινε ενεργό για κάποιο χρονικό διάστημα προτού καταργηθεί.
Τέλος, ορισμένοι κακοποιοί μπόρεσαν να συγκεντρώσουν αρκετά μάρκες XRP 1,4 εκατομμυρίων τον Μάρτιο, χρησιμοποιώντας μια απάτη επέκταση Google Chrome που αναπαράγει την ομοιότητα του Ledger. Στην πραγματικότητα, η επέκταση ήταν ζωντανή στο κατάστημα εφαρμογών Google για σχεδόν έναν μήνα. Μιλώντας για τα διάφορα πρωτόκολλα ασφαλείας που χρησιμοποιεί η εταιρεία, ένας εκπρόσωπος της Ledger είπε στο Cointelegraph:
«Το Ledger έχει το δικό του εργαστήριο επίθεσης, το Ledger Donjon, όπου οι ειδικοί ασφαλείας προσπαθούν να χαράξουν και να δοκιμάσουν το άγχος για τις δικές μας λύσεις, τις λύσεις των συνεργατών μας και τις λύσεις των ανταγωνιστών μας. Επιπλέον, η Ledger πραγματοποιεί τακτικά δοκιμές διείσδυσης. “
Οι πελάτες φέρουν επίσης ευθύνη?
Είναι αυτονόητο ότι οι φορείς εκμετάλλευσης πορτοφολιών πρέπει να είναι στην κορυφή του παιχνιδιού ασφαλείας τους όσον αφορά την προστασία των περιουσιακών στοιχείων των πελατών τους. Ωστόσο, οι επιθέσεις ηλεκτρονικού ψαρέματος (phishing) είναι μια συχνή εμφάνιση, όχι μόνο εντός του χώρου κρυπτογράφησης, αλλά και με οποιαδήποτε διαδικτυακή υπηρεσία που περιλαμβάνει μέσο πληρωμής.
Μιλώντας για το θέμα, ο Pavol Rusnák, συνιδρυτής και επικεφαλής τεχνολογίας της SatoshiLabs, της εταιρείας πίσω από το πορτοφόλι Trezor, δήλωσε στο Cointelegraph ότι είναι πρωταρχικής σημασίας οι ιδιοκτήτες κρυπτογράφησης να είναι προσεκτικοί και να ελέγχουν κάθε πληροφορία που λαμβάνουν σε σχέση με τα ψηφιακά τους περιουσιακά στοιχεία, είτε από τους παρόχους πορτοφολιών τους είτε από το Διαδίκτυο γενικά:
“Εάν ένα email ισχυρίζεται ότι πρέπει να κάνετε κάτι, μπορείτε πάντα να το επιβεβαιώσετε μέσω της υποστήριξης του προμηθευτή ή με άλλους χρήστες στο Reddit ή στο Twitter. Όσο για το τι μπορούν (και πρέπει) να κάνουν οι προμηθευτές είναι να μειώσουν την πιθανότητα διαρροής, μη κοινοποιώντας τα δεδομένα των πελατών τους με τρίτα μέρη και μειώνοντας τον αντίκτυπο αυτών των διαρροών, διαγράφοντας τα δεδομένα των πελατών τους μετά από ένα ορισμένο χρονικό διάστημα. “
Μια παρόμοια προοπτική μοιράστηκε και η Jevans που πιστεύει ότι θέματα που σχετίζονται με την ασφάλεια των πελατών και το απόρρητο πρέπει να εξεταστούν με ένα φακό «κοινής ευθύνης», έτσι ώστε οι φορείς εκμετάλλευσης πορτοφολιών υλικού καθώς και οι κάτοχοι κρυπτογράφησης να συνεργάζονται μεταξύ τους για να διασφαλίσουν το βέλτιστο ασφάλεια των περιουσιακών τους στοιχείων από απειλές τρίτων.
Η Jevans ενθάρρυνε τους χρήστες να λάβουν εύλογες διασφαλίσεις για να προστατεύσουν την αξία τους και να αναλάβουν την ευθύνη για τις ενέργειές τους χρησιμοποιώντας πρακτικές που εμπίπτουν στην ατομική ασφάλεια δεδομένων, προσθέτοντας: «Αναπτύξτε τον έλεγχο ταυτότητας δύο παραγόντων και μην κάνετε ποτέ κλικ σε έναν σύνδεσμο καθολικού, εκτός εάν ζητήσουν συγκεκριμένα τη δική τους ΕΠΑΝΑΦΟΡΑ ΚΩΔΙΚΟΥ. Οι χρήστες πρέπει πάντα να πληκτρολογούν οι ίδιοι τη διεύθυνση URL όταν επισκέπτονται απευθείας τον ιστότοπο Ledger. “
Η εκπαίδευση κρυπτογράφησης παραμένει κρίσιμη
Παρά το ότι είναι επαναστατικό στο σχεδιασμό και στο τεχνολογικό δυναμικό, το crypto εξακολουθεί να παραμένει μια ξένη ιδέα για τους περισσότερους. Ωστόσο, παρέχοντας στους ανθρώπους νομισματική αυτονομία, η τεχνολογία τους έχει επιβαρύνει επίσης πολύ προσωπική ευθύνη, ειδικά όσον αφορά την ατομική οικονομική ασφάλεια. Ως αποτέλεσμα, είναι λογικό ότι οι εταιρείες στο blockchain και στο crypto space πρέπει να εκπαιδεύσουν τους χρήστες τους σχετικά με τις επιπτώσεις στην ασφάλεια των ενεργειών τους.
Ο Rusnák πιστεύει ότι ο κλάδος εξακολουθεί να έχει κάποιο έδαφος για την ασφάλεια. Τόνισε ότι ορισμένες εταιρείες που δραστηριοποιούνται σε αυτόν τον τομέα σήμερα τείνουν να κάνουν ακαθάριστες υπερπλοκές, όπως, “Τα νομίσματά σας είναι ασφαλή επειδή το πορτοφόλι σας έχει ένα ασφαλές στοιχείο” ή “Τα νομίσματά σας είναι ασφαλή επειδή είναι ασφαλισμένη η ανταλλαγή μας.” Σε αυτό, πρόσθεσε, «Αυτό δεν βοηθάει το ζήτημα, κάνοντας τους ανθρώπους να πιστεύουν σε κάτι που δεν είναι αλήθεια, καθιστώντας τους ανυπεράσπιστους».
Στατιστικά μιλώντας, περίπου το 85% έως το 90% των κατόχων κρυπτογράφησης φαίνεται να πέφτουν θύματα πολύ συνηθισμένων προγραμμάτων κλοπής κρυπτογράφησης, συνήθως ψεύτικες απάτες επενδύσεων παρά παγίδες ηλεκτρονικού ψαρέματος, σύμφωνα με στοιχεία που παρέχονται στην Cointelegraph από την CipherTrace. Ως αποτέλεσμα, η Jevans πιστεύει ότι θα ήταν προς το συμφέρον των μεγάλων χειριστών πορτοφολιών υλικού να χρησιμοποιούν τις πλατφόρμες τους για να εκπαιδεύσουν τους χρήστες τους σχετικά με το τι πρέπει να αναζητήσουν όταν πρόκειται για απόπειρες ηλεκτρονικού ψαρέματος, ειδικά όταν αυτές οι απάτες επικαλούνται το όνομα του παρόχου πορτοφολιών:
«Με βάση εκατοντάδες περιπτώσεις κλοπής κλοπής και απάτης, οι χρήστες κρυπτογράφησης πρέπει να γίνουν πολύ πιο εξελιγμένοι όσον αφορά τις προσωπικές τους λειτουργίες ασφαλείας (SecOps) όταν επιλέγουν να διατηρήσουν τα ιδιωτικά τους κλειδιά. Πολλά θύματα εγκλήματος κρυπτογράφησης δεν ξέρουν τι να κάνουν όταν ανακαλύπτουν ότι έχουν υποστεί κλοπή. “
Οι φορείς εκμετάλλευσης πορτοφολιών πρέπει να γίνουν πρωτοπόροι της βιομηχανίας
Ενώ εταιρείες όπως η Ledger και η Trezor έχουν αφιερωμένες πληροφορίες που σχετίζονται με το ηλεκτρονικό ψάρεμα και άλλες παρόμοιες, απάτες τακτικές στους ιστότοπούς τους, αυτές οι σελίδες δεν είναι εύκολα προσβάσιμες και συνήθως βυθίζονται βαθιά στις ενότητες FAQ αντιμετώπισης προβλημάτων. Επομένως, φαίνεται λογικό να αναμένουμε ότι οι πάροχοι πορτοφολιών που έχουν καθιερωθεί κάνουν περισσότερα όσον αφορά την παροχή στους πελάτες βελτιωμένης πρόσβασης σε εκπαίδευση υψηλής ποιότητας που επικεντρώνεται στην ασφάλεια.
Σχετικά με το θέμα, ο Rusnák επιμένει ότι η διαφάνεια και η εκπαίδευση είναι τα κλειδιά για τη μεγιστοποίηση της ασφάλειας των κεφαλαίων. Έκρινε ότι οι χρήστες δεν μπορούν πραγματικά να είναι ασφαλείς, εκτός αν χρειάζονται πραγματικά χρόνο για να καθίσουν και να κατανοήσουν την ωφέλιμη ασφάλεια κρυπτογράφησης και την ασφάλεια του προσωπικού πορτοφολιού.
Σε μια πιο τεχνική σημείωση, εξήγησε ότι ο βασικός επιχειρησιακός σχεδιασμός των διαφόρων επιλογών πορτοφολιού της Trezor είναι πλήρως ανοιχτού κώδικα και ότι η εταιρεία είναι απολύτως διαφανής για όλες τις διάφορες επιχειρησιακές συμφωνίες της με τους πελάτες της, για να αποφευχθούν όλα τα νομικά νομισματικά ζητήματα που θα συναντηθούν αργότερα. η γραμμή: “Θα χρειαστεί λίγος χρόνος έως ότου το καταλάβει κάθε εταιρεία στον χώρο κρυπτογράφησης, αλλά είναι επίσης δική μας δουλειά να απαιτούμε διαφάνεια και διαφάνεια από τους παρόχους υπηρεσιών που χρησιμοποιούμε.”