Data dodania: 2023-08-03 (11:45)
Kryptowaluty dużą część swojej popularności zawdzięczają bezpieczeństwu. Anonimowość i nieodwracalność transakcji krypto sprawiają, że coraz więcej inwestorów zwraca się właśnie ku nim. Gdy jednak nowa technologia zdobywa miłośników, przybywa również oszustów i osób o nieuczciwych zamiarach. Nie inaczej jest w tym wypadku.
Cyberprzestępcy zawsze wymyślają kreatywne sposoby na to, by wzbogacić się cudzym kosztem. W przypadku kryptowalut powszechne stają się wirusy i złośliwe oprogramowanie biorące na cel właścicieli kryptoportfeli – zarówno inwestorów, jak i osoby po prostu gromadzące środki w ramach oszczędności.
Jeśli sam od czasu do czasu dokonujesz transakcji krypto, zastanów się, czy Twoje środki na pewno są dobrze chronione. Większość kryptowalut z definicji gwarantuje bezpieczeństwo na poziomie przelewania funduszy, ale to, co dzieje przed i po transferze, leży po Twojej stronie. Jeśli obawiasz się wycieku czy kradzieży kapitału, polecamy rozwiązania szyfrujące dane, takie jak VPN oraz dodatkowe środki bezpieczeństwa: weryfikację dwuetapową, silne hasła czy przechowywanie funduszy w kilku portfelach. Serwisów VPN na rynku jest wiele i warto przetestować VPN z darmowym okresem próbnym przed wykupieniem abonamentu. Wróćmy jednak do problemu oszustw.
Co to jest i jak działa cryware?
Cryware to wdzięczny i stosunkowo nowy oraz dość potoczny termin oznaczający złośliwe oprogramowanie stworzone w konkretnym celu, którym jest kradzież kryptowalut. Najczęściej chodzi tu o oprogramowanie wykradające dane tak zwanych gorących portfeli, czyli kryptoportfeli online podłączonych do sieci.
Oprogramowanie cryware rozprzestrzenia się tak samo, jak inne rodzaje malware i wirusów:
• poprzez zainfekowane pliki torrent,
• poprzez maile phishingowe,
• poprzez fałszywe witryny internetowe,
• poprzez oszustwa w social mediach,
• i tak dalej.
Przykłady ataków na posiadaczy kryptowalut
Oprogramowanie kradnące kryptowaluty wcale nie musi być niesamowicie zaawansowane, żeby działać. Jak wspomnieliśmy, transakcje krypto z reguły są bezpieczne – gwarantuje to działanie blockchaina, który zapewnia, że przelewu krypto nie da się cofnąć, zmodyfikować czy w żaden sposób sfałszować. Ale co, jeśli zagrożenie wystąpi na poziomie zlecania transferu?
Wystarczy wpisać niewłaściwy adres portfela, by przelać środki nie tam, gdzie miały trafić. Właśnie z tej zasady korzystają odkryte w 2022 roku MortalKombat i Laplas Clipper. Te złośliwe programy nie ingerują bezpośrednio w kryptoportfele, a zamiast tego zajmują się schowkiem komputera. Po prostu podmieniają skopiowany adres na inny – należący do hakerów.
Ofiara oprogramowania próbująca skopiować i wkleić adres odbiorcy przelewu, nieświadomie wkleja podmieniony adres portfela, wysyłając w ten sposób środki przestępcom. A ponieważ adresy portfeli krypto są bardzo długie – trudno zauważyć gołym okiem, że coś jest nie tak. Zresztą co złego może się stać podczas zwykłego kopiowania i wklejania ciągu znaków, prawda?
Oprogramowanie podmieniające dane w schowku może mieć postać wirusa komputerowego albo programu działającego w tle, ale równie dobrze może… udawać wtyczkę do przeglądarki. Tak właśnie funkcjonuje jeden z rodzajów cryptostealera ViperSoftX, ukrywający się jako rozszerzenie Google Sheets 2.1 do Chrome, również wykryty w 2022 roku.
Wtyczka ta działa na podobnej zasadzie, co poprzednio opisane programy, tyle że infekuje przeglądarkę. Jeśli ofiara skopiuje adres portfela krypto – zostanie on podmieniony na inny. Mało tego, wtyczka potrafi modyfikować kod HTML w taki sposób, by ofiara nie zauważyła, że wkleiła niewłaściwy adres – zobaczy bowiem ten „prawidłowy”, ale będzie to tylko fasada.
Problem z cryptostealerami jest taki, że można je „nabyć”, nawet będąc dość ostrożnym. Oszuści wykorzystują wszelkie możliwe środki, by rozprzestrzeniać swoje złośliwe programy – w tym płatne reklamy Google Ads. Sponsorowane reklamy nie muszą być bowiem bezpieczne – hakerzy celowo tworzą fałszywe strony phishingowe rozprzestrzeniające malware, którym następnie wykupują kampanie reklamowe w Google, licząc na to, że ofiary korzystające z wyszukiwarki po prostu klikną pierwszy link od góry.
Stało się tak między innymi w 2023 roku, kiedy to hakerzy podrobili stronę OBS (oprogramowania do przechwytywania i streamowania wideo) i wykupili dla niej kampanię Google Ads. Strona służyła do rozprzestrzeniania oprogramowania wykradającego aktywa krypto.
Jak nie zostać ofiarą kradzieży krypto?
• Przechowuj aktywa w wielu portfelach. W prawdziwym życiu zaleca się, by nie trzymać wszystkich kosztowności w jednym miejscu. Nie inaczej jest z kryptowalutami. Kradzież środków z jednego portfela będzie mniej bolesna, jeśli nie będą to wszystkie aktywa, które posiadasz.
• Uważaj na podejrzane maile i wiadomości prywatne. Może się zdarzyć, że dostaniesz wiadomość o potrzebie zresetowania hasła do swojego portfela kryptowalutowego albo platforma poinformuje Cię o jakiejś nietypowej aktywności. Uważaj na tego typu wiadomości i dokładnie sprawdzaj, dokąd chcą Cię przekierować. Mogą być formą phishingu, czyli podszywania się pod zaufaną witrynę w celu wyłudzenia poufnych danych.
• Sprawdzaj adres odbiorcy transferu po dwa razy. Oprogramowanie podmieniające adresy portfeli w schowku bywa trudne do wykrycia, ale jeśli zachowasz czujność, być może unikniesz nieprzyjemności. Sprawdzaj dokładnie, gdzie wysyłasz środki i czy adres, który wkleiłeś w pasku odbiorcy przelewu, jest tym samym, który skopiowałeś.
• Włącz uwierzytelnianie wieloetapowe. Jeśli włączysz weryfikację dwu- lub wieloetapową, będziesz musiał dodatkowo potwierdzić swoją tożsamość (np. jednorazowym kodem SMS) przed zalogowaniem. To skuteczne zabezpieczenie wszystkich kont (nie tylko portfeli!) przed kradzieżą danych logowania.
• Korzystaj z tak zwanych zimnych portfeli. Zimne portfele przechowują prywatne klucze właścicieli krypto aktywów offline (w przeciwieństwie do gorących portfeli działających online). Są mniej narażone na cyberzagrożenia, jako że nie łączą się z siecią. Oczywiście nie są stuprocentowo odporne na hakowanie – ich posiadacze także muszą przestrzegać zasad bezpieczeństwa.
Jeśli sam od czasu do czasu dokonujesz transakcji krypto, zastanów się, czy Twoje środki na pewno są dobrze chronione. Większość kryptowalut z definicji gwarantuje bezpieczeństwo na poziomie przelewania funduszy, ale to, co dzieje przed i po transferze, leży po Twojej stronie. Jeśli obawiasz się wycieku czy kradzieży kapitału, polecamy rozwiązania szyfrujące dane, takie jak VPN oraz dodatkowe środki bezpieczeństwa: weryfikację dwuetapową, silne hasła czy przechowywanie funduszy w kilku portfelach. Serwisów VPN na rynku jest wiele i warto przetestować VPN z darmowym okresem próbnym przed wykupieniem abonamentu. Wróćmy jednak do problemu oszustw.
Co to jest i jak działa cryware?
Cryware to wdzięczny i stosunkowo nowy oraz dość potoczny termin oznaczający złośliwe oprogramowanie stworzone w konkretnym celu, którym jest kradzież kryptowalut. Najczęściej chodzi tu o oprogramowanie wykradające dane tak zwanych gorących portfeli, czyli kryptoportfeli online podłączonych do sieci.
Oprogramowanie cryware rozprzestrzenia się tak samo, jak inne rodzaje malware i wirusów:
• poprzez zainfekowane pliki torrent,
• poprzez maile phishingowe,
• poprzez fałszywe witryny internetowe,
• poprzez oszustwa w social mediach,
• i tak dalej.
Przykłady ataków na posiadaczy kryptowalut
Oprogramowanie kradnące kryptowaluty wcale nie musi być niesamowicie zaawansowane, żeby działać. Jak wspomnieliśmy, transakcje krypto z reguły są bezpieczne – gwarantuje to działanie blockchaina, który zapewnia, że przelewu krypto nie da się cofnąć, zmodyfikować czy w żaden sposób sfałszować. Ale co, jeśli zagrożenie wystąpi na poziomie zlecania transferu?
Wystarczy wpisać niewłaściwy adres portfela, by przelać środki nie tam, gdzie miały trafić. Właśnie z tej zasady korzystają odkryte w 2022 roku MortalKombat i Laplas Clipper. Te złośliwe programy nie ingerują bezpośrednio w kryptoportfele, a zamiast tego zajmują się schowkiem komputera. Po prostu podmieniają skopiowany adres na inny – należący do hakerów.
Ofiara oprogramowania próbująca skopiować i wkleić adres odbiorcy przelewu, nieświadomie wkleja podmieniony adres portfela, wysyłając w ten sposób środki przestępcom. A ponieważ adresy portfeli krypto są bardzo długie – trudno zauważyć gołym okiem, że coś jest nie tak. Zresztą co złego może się stać podczas zwykłego kopiowania i wklejania ciągu znaków, prawda?
Oprogramowanie podmieniające dane w schowku może mieć postać wirusa komputerowego albo programu działającego w tle, ale równie dobrze może… udawać wtyczkę do przeglądarki. Tak właśnie funkcjonuje jeden z rodzajów cryptostealera ViperSoftX, ukrywający się jako rozszerzenie Google Sheets 2.1 do Chrome, również wykryty w 2022 roku.
Wtyczka ta działa na podobnej zasadzie, co poprzednio opisane programy, tyle że infekuje przeglądarkę. Jeśli ofiara skopiuje adres portfela krypto – zostanie on podmieniony na inny. Mało tego, wtyczka potrafi modyfikować kod HTML w taki sposób, by ofiara nie zauważyła, że wkleiła niewłaściwy adres – zobaczy bowiem ten „prawidłowy”, ale będzie to tylko fasada.
Problem z cryptostealerami jest taki, że można je „nabyć”, nawet będąc dość ostrożnym. Oszuści wykorzystują wszelkie możliwe środki, by rozprzestrzeniać swoje złośliwe programy – w tym płatne reklamy Google Ads. Sponsorowane reklamy nie muszą być bowiem bezpieczne – hakerzy celowo tworzą fałszywe strony phishingowe rozprzestrzeniające malware, którym następnie wykupują kampanie reklamowe w Google, licząc na to, że ofiary korzystające z wyszukiwarki po prostu klikną pierwszy link od góry.
Stało się tak między innymi w 2023 roku, kiedy to hakerzy podrobili stronę OBS (oprogramowania do przechwytywania i streamowania wideo) i wykupili dla niej kampanię Google Ads. Strona służyła do rozprzestrzeniania oprogramowania wykradającego aktywa krypto.
Jak nie zostać ofiarą kradzieży krypto?
• Przechowuj aktywa w wielu portfelach. W prawdziwym życiu zaleca się, by nie trzymać wszystkich kosztowności w jednym miejscu. Nie inaczej jest z kryptowalutami. Kradzież środków z jednego portfela będzie mniej bolesna, jeśli nie będą to wszystkie aktywa, które posiadasz.
• Uważaj na podejrzane maile i wiadomości prywatne. Może się zdarzyć, że dostaniesz wiadomość o potrzebie zresetowania hasła do swojego portfela kryptowalutowego albo platforma poinformuje Cię o jakiejś nietypowej aktywności. Uważaj na tego typu wiadomości i dokładnie sprawdzaj, dokąd chcą Cię przekierować. Mogą być formą phishingu, czyli podszywania się pod zaufaną witrynę w celu wyłudzenia poufnych danych.
• Sprawdzaj adres odbiorcy transferu po dwa razy. Oprogramowanie podmieniające adresy portfeli w schowku bywa trudne do wykrycia, ale jeśli zachowasz czujność, być może unikniesz nieprzyjemności. Sprawdzaj dokładnie, gdzie wysyłasz środki i czy adres, który wkleiłeś w pasku odbiorcy przelewu, jest tym samym, który skopiowałeś.
• Włącz uwierzytelnianie wieloetapowe. Jeśli włączysz weryfikację dwu- lub wieloetapową, będziesz musiał dodatkowo potwierdzić swoją tożsamość (np. jednorazowym kodem SMS) przed zalogowaniem. To skuteczne zabezpieczenie wszystkich kont (nie tylko portfeli!) przed kradzieżą danych logowania.
• Korzystaj z tak zwanych zimnych portfeli. Zimne portfele przechowują prywatne klucze właścicieli krypto aktywów offline (w przeciwieństwie do gorących portfeli działających online). Są mniej narażone na cyberzagrożenia, jako że nie łączą się z siecią. Oczywiście nie są stuprocentowo odporne na hakowanie – ich posiadacze także muszą przestrzegać zasad bezpieczeństwa.
Źródło: Poradnik inwestora
Publikuj:
Banki - Najnowsze wiadomości i komentarze
Nest Bank wprowadził przelewy na telefon BLIK
2023-08-21 Informacje prasoweOd teraz klienci Nest Banku mogą skorzystać z przelewów na telefon BLIK. To praktyczne rozwiązanie, które pozwala na błyskawiczne przelanie gotówki – a wystarczy do tego jedynie numer telefonu odbiorcy. Nest Bank rozszerza swoją współpracę z Polskim Standardem Płatności o kolejną usługę. BLIK to obecnie najpopularniejsza metoda płatności bezgotówkowych, z której aktywnie korzysta ponad 14 mln osób. W ramach systemu możliwe jest realizowanie płatności online i offline, wypłata i wpłata pieniędzy, a także przelewy na telefon - rozliczane w sposób natychmiastowy w systemie Express Elixir.
Czy student może dostać kredyt i na jakich warunkach?
2023-06-05 Poradnik kredytobiorcyBycie studentem wiąże się ze sporymi wydatkami, które nie zawsze da się pokryć ze zgromadzonych środków. Dlatego wiele osób posiłkuje się wsparciem finansowym udzielanym przez banki. Sprawdź, czy i na jakich zasadach dostępny jest kredyt studencki.
Przed nami trzeci kwartał bez podwyżek stóp procentowych
2023-06-05 Analizy HRE InvestmentsNa czerwcowym posiedzeniu Rada Polityki Pieniężnej (RPP) najpewniej utrzyma stopy procentowe na niezmienionym poziomie. Trochę zamieszania wprowadziły tu testy realizowane przez pracowników banku centralnego, którzy opublikowali już w piątek (2 czerwca) komunikat sugerujący cięcie stóp. Rynek spodziewa się jednak, że na takie ruchy będziemy musieli poczekać do drugiej połowy roku. Pierwsze przymiarki do cięć zacząć się mogą po wakacjach – o ile inflacja dalej będzie wyraźnie hamowała.
Jak wybrać konto bankowe dla firmy? Poradnik dla przedsiębiorców
2023-03-31 Poradnik MyBank.plWybór odpowiedniego konta bankowego dla firmy może przynieść wiele korzyści, takich jak niższe opłaty, wygodne usługi bankowe czy lepszy dostęp do finansowania. W dzisiejszych czasach banki oferują szeroki wachlarz produktów i usług dedykowanych dla przedsiębiorstw. Ten artykuł pomoże Ci dokonać świadomego wyboru, przedstawiając najważniejsze kryteria, na które warto zwrócić uwagę podczas poszukiwania konta firmowego.
Jak oszczędzać pieniądze? - Praktyczne porady i strategie
2023-03-30 Poradnik MyBank.plOszczędzanie pieniędzy może wydawać się trudne, zwłaszcza w dzisiejszym świecie pełnym pokus i wydatków. Jednakże, zastosowanie kilku prostych strategii może pomóc Ci zbudować solidne oszczędności. W tym artykule znajdziesz praktyczne porady, które pomogą Ci zaoszczędzić pieniądze i zwiększyć swoje finansowe bezpieczeństwo.
Popyt na kredyty mieszkaniowe wyraźnie w górę
2023-03-06 Analizy HRE InvestmentsJuż o 80% wzrósł popyt na kredyty mieszkaniowe w porównaniu do dołka z sierpnia 2022 roku – sugerują szacunki HRE Investments oparte o dane BIK. Jest to zasługa spadającego oprocentowania, nowych zaleceń wydanych przez KNF oraz zbliżających się programów rządowych. Luty przyniósł zaskakująco dobre dane na temat popytu na kredyty mieszkaniowe. W porównaniu ze styczniem liczba złożonych wniosków kredytowych wzrosła o ponad 43%.
Jak dobrze wybrać kredyt mieszkaniowy?
2023-03-02 Poradnik kredytobiorcyWybór odpowiedniego kredytu mieszkaniowego to ważna decyzja, której nie należy podejmować pochopnie. Może to mieć duży wpływ na twoją przyszłość finansową, dlatego ważne jest, aby zrozumieć wszystkie czynniki związane z wyborem pożyczki hipotecznej.
Oprocentowanie spadnie, jeśli RPP utrzyma kurs
2023-01-03 Analizy HRE INvestmentsJeśli w styczniu Rada Polityki Pieniężnej utrzyma stopy procentowe na niezmienionym poziomie, to coraz więcej kredytobiorców zobaczy obniżkę rat. Ruch będzie najpewniej niewielki, ale za to w bardzo oczekiwanym kierunku. Jeszcze w październiku czy listopadzie gracze rynkowi spodziewali się, że stopy procentowe w Polsce będą dalej rosły.
Konsolidacja kredytów – czy się opłaca?
2022-12-21 Poradnik kredytobiorcyJak działa konsolidacja kredytów? Spłacasz kilka rat kredytów i pożyczek zaciągniętych w różnych bankach? Zastanawiasz się, jak zredukować comiesięczne obciążenie budżetu, nie narażając się na opóźnienia w spłacie? Jednym z rozwiązań jest kredyt konsolidacyjny, który łączy co najmniej dwa zobowiązania finansowe w jedno. Jak działa konsolidacja kredytów? Sprawdź, czy kredyt konsolidacyjny opłaci się w Twoim przypadku.
Realne straty na lokatach najwyższe od ponad 26 lat
2022-11-03 Analizy HRE INvestmentsPonad 15% - aż tyle realnie stracili posiadacze rocznych lokat, którzy zanieśli swoje oszczędności do banku w październiku 2021 roku. Winna jest oczywiście inflacja, którą GUS wstępnie oszacował na 17,9%. Dla sporej części z nas wzrost cen jest znacznie bardziej dotkliwy. Wyższa inflacja oznacza, że ci z nas, którzy rok temu zanieśli do banku swoje pieniądze na roczną lokatę, realnie stracili ponad 15%.