Dalam dunia mata wang kripto yang pantas dan sentiasa berkembang, di mana aset digital ditukar, dan kekayaan boleh dibuat, bahaya yang mengintai mengancam keselamatan pelabur berpengalaman dan pendatang baru: penipuan pancingan kripto.
Skim ini direka bentuk untuk mengeksploitasi kepercayaan dan kelemahan individu, bertujuan untuk menipu mereka supaya mendedahkan maklumat sensitif mereka atau malah berpisah dengan pegangan kripto hasil titik peluh mereka.
Memandangkan populariti mata wang kripto terus meningkat, begitu juga dengan kecanggihan teknik pancingan data yang digunakan oleh penjenayah siber. Daripada menyamar sebagai pertukaran dan dompet yang sah kepada mencipta taktik kejuruteraan sosial yang menarik, penipu ini tidak berhenti untuk mendapatkan akses tanpa kebenaran kepada aset digital anda.
Pelakon berniat jahat menggunakan kaedah kejuruteraan sosial yang berbeza untuk menyasarkan mangsa mereka. Dengan taktik kejuruteraan sosial, penipu memanipulasi emosi pengguna dan mewujudkan rasa amanah dan mendesak.
Eric Parker, Ketua Pegawai Eksekutif dan pengasas bersama Giddy — dompet pintar dompet bukan jagaan — memberitahu Cointelegraph, “Adakah seseorang menghubungi anda tanpa anda bertanya? Itulah salah satu peraturan utama yang boleh anda gunakan. Perkhidmatan pelanggan jarang, jika pernah, secara proaktif menghubungi anda, jadi anda harus sentiasa curiga dengan mesej yang mengatakan anda perlu mengambil tindakan ke atas akaun anda.”
“Idea yang sama dengan wang percuma: Jika seseorang menghantar mesej kepada anda kerana mereka ingin memberi anda wang percuma, kemungkinan besar ia tidak benar. Berhati-hati dengan sebarang mesej yang terasa terlalu baik untuk menjadi kenyataan atau memberi anda rasa segera atau ketakutan untuk membuat anda bertindak dengan cepat.”
Penipuan e-mel dan pemesejan
Satu teknik biasa yang digunakan dalam penipuan pancingan wang kripto ialah menyamar sebagai entiti yang dipercayai, seperti pertukaran mata wang kripto atau penyedia dompet. Penipu menghantar e-mel atau mesej yang kelihatan seperti daripada organisasi yang sah ini, menggunakan penjenamaan, logo dan alamat e-mel yang serupa. Mereka bertujuan untuk memperdaya penerima supaya mempercayai bahawa komunikasi itu adalah daripada sumber yang boleh dipercayai.
Untuk mencapai matlamat ini, penipu boleh menggunakan teknik seperti penipuan e-mel, di mana mereka memalsukan alamat e-mel pengirim untuk menjadikannya kelihatan seolah-olah ia datang dari organisasi yang sah. Mereka juga mungkin menggunakan taktik kejuruteraan sosial untuk memperibadikan mesej dan menjadikannya kelihatan lebih sahih. Dengan menyamar sebagai entiti yang dipercayai, penipu mengeksploitasi kepercayaan dan kredibiliti yang dikaitkan dengan organisasi ini untuk menipu pengguna supaya mengambil tindakan yang menjejaskan keselamatan mereka.
Permintaan sokongan palsu
Penipu pancingan kripto sering menyamar sebagai wakil sokongan pelanggan bagi pertukaran mata wang kripto atau penyedia dompet yang sah. Mereka menghantar e-mel atau mesej kepada pengguna yang tidak mengesyaki, mendakwa masalah dengan akaun mereka atau transaksi belum selesai yang memerlukan perhatian segera.
Penipu menyediakan kaedah hubungan atau pautan ke tapak web sokongan palsu di mana pengguna digesa untuk memasukkan bukti kelayakan log masuk mereka atau maklumat sensitif lain.
Omri Lahav, Ketua Pegawai Eksekutif dan pengasas bersama Blockfence — sambungan penyemak imbas crypto-security — memberitahu Cointelegraph, “Adalah penting untuk diingat bahawa jika seseorang menghantar mesej atau e-mel kepada anda tanpa diminta, mereka berkemungkinan menginginkan sesuatu daripada anda. Pautan dan lampiran ini boleh mengandungi perisian hasad yang direka untuk mencuri kunci anda atau mendapatkan akses kepada sistem anda,” meneruskan:
“Selain itu, mereka boleh mengubah hala anda ke tapak web pancingan data. Sentiasa sahkan identiti pengirim dan kesahihan e-mel untuk memastikan keselamatan. Elakkan daripada mengklik pautan secara terus; salin dan tampal URL ke dalam penyemak imbas anda, semak dengan teliti untuk sebarang percanggahan ejaan dalam nama domain.”
Dengan menyamar sebagai kakitangan sokongan, penipu mengeksploitasi kepercayaan pengguna terhadap saluran sokongan pelanggan yang sah. Di samping itu, mereka memangsa keinginan untuk menyelesaikan isu dengan cepat, menyebabkan pengguna dengan rela hati mendedahkan maklumat peribadi mereka, yang boleh digunakan oleh penipu untuk tujuan jahat kemudian.
Laman web palsu dan platform klon
Pelakon berniat jahat juga boleh membina tapak web dan platform palsu untuk menarik pengguna yang tidak curiga.
Penipuan nama domain ialah teknik di mana penipu mendaftarkan nama domain yang hampir sama dengan nama pertukaran mata wang kripto atau penyedia dompet yang sah. Contohnya, mereka mungkin mendaftarkan domain seperti "exchnage.com" dan bukannya "exchange.com" atau "myethwallet" dan bukannya "myetherwallet." Malangnya, variasi kecil ini boleh diabaikan dengan mudah oleh pengguna yang tidak curiga.
Lahav berkata bahawa pengguna harus "mengesahkan sama ada tapak web yang dipersoalkan adalah bereputasi dan terkenal."
Terkini: Bitcoin sedang bertembung dengan janji 'Net Zero'
“Menyemak ejaan URL yang betul juga penting, kerana pelakon yang berniat jahat sering mencipta URL yang hampir sama dengan laman web yang sah. Pengguna juga harus berhati-hati dengan tapak web yang mereka temui melalui iklan Google, kerana mereka mungkin tidak mempunyai kedudukan tinggi secara organik dalam hasil carian,” katanya.
Penipu menggunakan nama domain palsu ini untuk membuat tapak web yang meniru platform yang sah. Mereka sering menghantar e-mel pancingan data atau mesej yang mengandungi pautan ke tapak web palsu ini, memperdaya pengguna untuk mempercayai mereka mengakses platform yang tulen. Sebaik sahaja pengguna memasukkan bukti kelayakan log masuk mereka atau melakukan transaksi di tapak web ini, penipu menangkap maklumat sensitif dan mengeksploitasinya untuk keuntungan mereka.
Perisian hasad dan apl mudah alih
Penggodam juga boleh menggunakan perisian berniat jahat untuk menyasarkan pengguna. Keylogger dan rampasan papan keratan ialah teknik yang digunakan oleh penipu pancingan kripto untuk mencuri maklumat sensitif daripada peranti pengguna.
Keyloggers ialah program perisian berniat jahat yang merekodkan setiap ketukan kekunci yang dibuat oleh pengguna pada peranti mereka. Apabila pengguna memasukkan bukti kelayakan log masuk atau kunci peribadi mereka, keylogger menangkap maklumat ini dan menghantarnya kembali kepada penipu. Rampasan papan klip melibatkan memintas kandungan yang disalin ke papan keratan peranti.
Urus niaga mata wang kripto selalunya melibatkan menyalin dan menampal alamat dompet atau maklumat sensitif lain. Penipu menggunakan perisian berniat jahat untuk memantau papan keratan dan menggantikan alamat dompet yang sah dengan alamat dompet mereka sendiri. Apabila pengguna menampal maklumat ke dalam medan yang dimaksudkan, mereka secara tidak sedar menghantar dana mereka ke dompet penipu.
Bagaimana pengguna boleh kekal dilindungi daripada penipuan pancingan data crypto
Terdapat langkah yang boleh diambil oleh pengguna untuk melindungi diri mereka semasa menavigasi ruang crypto.
Mendayakan pengesahan dua faktor (2FA) ialah satu alat yang boleh membantu melindungi akaun berkaitan crypto daripada penipuan pancingan data.
2FA menambah lapisan perlindungan tambahan dengan menghendaki pengguna menyediakan bentuk pengesahan kedua, biasanya kod unik yang dijana pada peranti mudah alih mereka, sebagai tambahan kepada kata laluan mereka. Ini memastikan bahawa walaupun penyerang memperoleh bukti kelayakan log masuk pengguna melalui percubaan pancingan data, mereka masih memerlukan faktor kedua (seperti kata laluan satu masa berasaskan masa) untuk mendapatkan akses.
Menggunakan perkakasan atau pengesah berasaskan perisian
Apabila menyediakan 2FA, pengguna harus mempertimbangkan untuk menggunakan pengesah berasaskan perkakasan atau perisian dan bukannya bergantung semata-mata pada pengesahan berasaskan SMS. 2FA berasaskan SMS boleh terdedah kepada serangan pertukaran SIM, di mana penyerang secara curang mengawal nombor telefon pengguna.
Pengesah perkakasan, seperti YubiKey atau kunci keselamatan, ialah peranti fizikal yang menjana kata laluan sekali sahaja dan menyediakan lapisan keselamatan tambahan. Pengesah berasaskan perisian, seperti Google Authenticator atau Authy, menjana kod berasaskan masa pada telefon pintar pengguna. Kaedah ini lebih selamat daripada pengesahan berasaskan SMS kerana ia tidak terdedah kepada serangan pertukaran SIM.
Sahkan ketulenan tapak web
Untuk melindungi daripada penipuan pancingan data, pengguna harus mengelak daripada mengklik pautan yang disediakan dalam e-mel, mesej atau sumber lain yang tidak disahkan. Sebaliknya, mereka harus memasukkan secara manual URL tapak web pertukaran mata wang kripto mereka, dompet atau mana-mana platform lain yang ingin mereka akses.
Dengan memasukkan URL tapak web secara manual, pengguna memastikan mereka mengakses tapak web yang sah secara langsung dan bukannya diubah hala ke tapak web palsu atau diklon dengan mengklik pautan pancingan data.
Berhati-hati dengan pautan dan lampiran
Sebelum mengklik mana-mana pautan, pengguna harus mengarahkan kursor tetikus mereka ke atasnya untuk melihat URL destinasi dalam bar status atau petua alat penyemak imbas. Ini membolehkan pengguna mengesahkan destinasi sebenar pautan dan memastikan ia sepadan dengan tapak web yang dijangkakan.
Penipu pancingan data sering menyamar pautan dengan memaparkan teks URL yang berbeza daripada destinasi. Dengan menuding pada pautan, pengguna boleh mengesan ketidakkonsistenan dan URL yang mencurigakan yang mungkin menunjukkan percubaan pancingan data.
Parker menjelaskan kepada Cointelegraph, “Sangat mudah untuk memalsukan pautan asas dalam e-mel. Seorang penipu boleh menunjukkan kepada anda satu pautan dalam teks e-mel tetapi menjadikan hiperpautan asas sesuatu yang lain.”
“Penipuan kegemaran di kalangan pemancing kripto ialah menyalin UI tapak web yang bereputasi tetapi meletakkan kod hasad mereka untuk log masuk atau bahagian Wallet Connect, yang mengakibatkan kata laluan dicuri, atau lebih teruk lagi, frasa benih dicuri. Jadi, sentiasa semak semula URL tapak web yang anda log masuk atau sambungkan dompet crypto anda.”
Mengimbas lampiran dengan perisian antivirus
Pengguna harus berhati-hati apabila memuat turun dan membuka lampiran, terutamanya daripada sumber yang tidak dipercayai atau mencurigakan. Lampiran boleh mengandungi perisian hasad, termasuk keylogger atau trojan, yang boleh menjejaskan keselamatan peranti pengguna dan akaun mata wang kripto.
Untuk mengurangkan risiko ini, pengguna harus mengimbas semua lampiran dengan perisian antivirus yang bereputasi sebelum membukanya. Ini membantu mengesan dan mengalih keluar sebarang kemungkinan ancaman perisian hasad, mengurangkan kemungkinan menjadi mangsa serangan pancingan data.
Pastikan perisian dan apl dikemas kini
Mengemas kini sistem pengendalian, penyemak imbas web, peranti dan perisian lain adalah penting untuk mengekalkan keselamatan peranti pengguna. Kemas kini boleh termasuk tampung keselamatan yang menangani kelemahan yang diketahui dan melindungi daripada ancaman yang muncul.
Menggunakan perisian keselamatan yang bereputasi
Untuk menambah lapisan perlindungan tambahan terhadap penipuan pancingan data dan perisian hasad, pengguna harus mempertimbangkan untuk memasang perisian keselamatan yang bereputasi pada peranti mereka.
Perisian antivirus, anti-malware dan anti-pancingan data boleh membantu mengesan dan menyekat ancaman berniat jahat, termasuk e-mel pancingan data, tapak web palsu dan fail yang dijangkiti perisian hasad.
Dengan mengemas kini dan menjalankan imbasan keselamatan secara kerap menggunakan perisian yang bereputasi, pengguna boleh meminimumkan risiko menjadi mangsa penipuan pancingan data dan memastikan keselamatan keseluruhan peranti mereka dan aktiviti berkaitan mata wang kripto.
Didik diri anda dan sentiasa bermaklumat
Penipuan pancingan kripto sentiasa berkembang, dan taktik baharu muncul dengan kerap. Pengguna harus mengambil inisiatif untuk mendidik diri mereka sendiri tentang teknik pancingan data dan penipuan terkini yang menyasarkan komuniti mata wang kripto. Selain itu, kekalkan maklumat dengan menyelidik dan membaca tentang insiden pancingan data dan amalan terbaik keselamatan baru-baru ini.
Terkini: Apakah kegunaan adil? Mahkamah Agung AS mempertimbangkan dilema hak cipta AI
Untuk kekal dikemas kini tentang berita berkaitan keselamatan dan menerima amaran tepat pada masanya tentang penipuan pancingan data, pengguna harus mengikuti sumber yang dipercayai dalam komuniti mata wang kripto. Ini boleh termasuk pengumuman rasmi dan akaun media sosial pertukaran mata wang kripto, penyedia dompet dan organisasi keselamatan siber yang bereputasi.
Dengan mengikuti sumber yang boleh dipercayai, pengguna boleh menerima maklumat dan makluman yang tepat mengenai penipuan pancingan data yang muncul, kelemahan keselamatan dan amalan terbaik untuk melindungi aset kripto mereka.
Sumber: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected