Blog

Kripto bezbednost – Kako se sačuvati od prevare? (Drugi deo)

24.12.2020. / Autor: Gavrilo Jejina / Kategorija: Bezbednost

U prvom delu ovog bloga smo govorili smo o Ponzijevoj šemi u svetu kriptovaluta, kao i kako je možete prepoznati i uspešno izbeći – možete ga pročitati na ovom linku. U nastavku teksta govorićemo o ostalim popularnim vrstama kripto prevare kao i o načinima da učinite vaše novčanike sigurnijim. 

Kripto giveaway prevara

Za razliku od prethodnog tipa prevare, ova je mnogo jednostavnija i lakša za izvođenje. Dok bi za prethodnu bio potreban tim ljudi, ovu prevaru može izvesti i pojedinac. U pitanju je prevara koja koja Vam “nudi” da svoja sredstva udvostručite ili utrostručite tako što ćete poslati svoje koine na određenu adresu i oni će Vam vratiti više. 

Kao razlog ove neverovatne prilike navodi se da je u pitanju giveaway. Razlozi za giveaway mogu biti razni. U najnovijoj verziji ove prevare navodi se da je razlog giveaway-a, odnosno poklanjanja koina, to što ta osoba želi da pomogne svojim pratiocima zbog globalne pandemije Covid-19. 

Sve ovo je uglavnom objavljeno sa lažnog profila neke poznate ličnosti, kripto projekta ili milijardera kako bi prevara bila uverljivija.

Dešavalo se da hakeri uspeju da pristupe pravim profilima poznatih ličnosti i da sa njih plasiraju ovu vrstu prevare. Tako smo dobili da giveaway kripto prevaru reklamira Džo Bajden, novoizabrani predsednik SAD-a.

Twit Džoa Bajdena

Twit Džoa Bajdena izvor: huffingtonpost

Pored Džoa tu su i još neke poznate ličnosti poput CEO-a Tesle Ilona Maska, repera Kanje Vesta i Kim Kardašian.

Ovaj vid prevare je veoma rasprostranjen zbog lakoće njenog nastanka, a činjenica da i dalje postoje je dokaz da su i više nego uspešne. Potrebno je samo da prevarant napravi lažni profil poznate osobe i da počne da objavljuje prevaru.

Vitalik Buterin, osnivač Ethereum-a, druge najveće kriptovalute na svetu, morao je zbog kreiranja lažnih profila sa njegovim likom da promeni svoj zvanični profil na Twiter-u u “Vitalik Non-giver of Ether”.

Twitter profil Vitalika Buterina

Twitter profil Vitalika Buterina izvor: Bankless Times

Ovu vrstu prevare možete naći najviše upravo na Twitter-u, ali je krenula da se pojavljuje i na Youtube-u u vidu live prenosa intervjua sa nekom poznatom ličnošću.

Neki od ovih prenosa koriste Youtube-ov sistem za reklamiranje, tako da je moguće da vidite neki od njih kao reklamu pre početka videa koji želite da gledate.

 

Binance BTC live Youtube giveaway

Binance BTC live Youtube giveaway izvor: youtube

Phishing prevare

Cilj svake phishing prevare je da od Vas izvuče osetljive informacije. Ove informacije su najčešće lozinke, privatni ključevi, PIN-ovi, seed words i sve ostale informacije bitne za Vaše prijavljivanje na neki servis poput elektronskog bankarstva, web wallet-a ili berze. 

Ovaj vid može biti prost, ali i veoma sofisticiran u zavisnosti veštine prevaranta. Postoji nekoliko načina na koji bi prevarant mogao da proba da dođe do Vaših bitnih informacija.

Imitiranje sajtova

U slučaju kriptovaluta, imitiraju se sajtovi popularnih menjačnica i web novčanika. Koriste slične web adrese kao originalni sajt i u svakom pogledu izgledaju kao identična kopija pravog sajta.

Dovoljan je trenutak nepažnje da unesete svoje logininformacije na lažni sajt servisa koji redovno koristite, zato uvek proverite address bar vašeg pregledača pre nego što unesete šifru svog naloga. Prevaranti se trude da adrese lažnih sajtova budu što sličnije originalnim. Najčešće se javljaju sajtovi sa promenjenom top-level domenom odnosno ekstenzijom. Umesto .com na kraju sajta možete videti .io, .net .xyz i mnoge druge ekstenzije.  Takođe možete videti dodato još jedno www nakon već jednog ispisanog www.

 

Lažni sajt Exodus softverskog novčanika - prevare

Lažni sajt Exodus softverskog novčanika izvor: Google

Ukoliko su svi domeni već zauzeti prevaranti će suptilno promeniti naziv sajta u nadi da Vi to nećete primetiti. 

 

Lažni sajtovi blokčejn web novčanika prevare

Lažni sajtovi blokčejn web novčanika izvor: BleepingComputer

Linkovi ka ovim sajtovima do Vas mogu stići na različite načine. Jedna od varijanti je da Vam na email adresu stigne obaveštenje da nešto podesite na Vašem nalogu sa linkom ka zlonamernom sajtu. Mejl takođe mora biti lažan i biće sličan kao zvanični mejl kompanije. Zato je bitno da uporedite email adresu sa koje Vam je stigao mejl sa mejlom kompanije na zvaničnom sajtu koji možete ručno ukucati u address bar.

Moguće je da vidite lažni sajt kao prvi ponuđeni kada uradite Googlepretragu za nekim servisom. To je zato što Googlekoristi prvih nekoliko mesta kao prostor za reklamiranje i svako ko želi može da postavi željeni sajt ukoliko plati dovoljno. Ovo koriste prevaranti kako bi postavili svoj lažni sajt ispred pravog. Ovakve rezultate možete identifikovati po tome što malim slovima stoji napisano “ad” naglašavajući da se radi o reklami.

Dobra praksa je da čak iako vam kao reklama izađe pravi sajt, uvek kliknite na onaj koji nije reklamiran. Time smanjujete rizik da slučajno uđete na lažni sajt u nekom trenutku. 

Još jedan dobar način da proverite da li je sajt pravi je da ga proverite uz pomoć servisa koji se zove Wayback Machine. Na ovom servisu možete videti sve prethodne verzije nekog sajta. U slučaju da postoji samo jedna verzija sajta koja je skoro nastala to može biti znak da se radi o lažnom sajtu ili nekoj vrsti prevare. Sa druge strane, dobar je znak ukoliko možete videti da neki servis funkcioniše duži niz godina.

 

ECD.rs verzije zabeležene na WaybackMachine

ECD.rs verzije zabeležene na WaybackMachine-u

Takođe, možete koristiti URLVoid kako bi videli da li sajt u sebi sadrži neki zlonamerni softver i da li je na nekoj crnoj listi. 

URLVoid izveštaj za ECD.rs

URLVoid izveštaj za ECD.rs izvor: URLVoid

URLVoid blacklist izveštaj za ECD.rs

URLVoid blacklist izveštaj za ECD.rs izvor: URLVoid

 

Wallet phishing prevare

U slučaju softverskih novčanika postoje aplikacije koje liče na Vaš wallet, ali u stvari samo prosleđuju Vaš privatni ključ ili seed wordsdirektno hakerima. Ove maliciozne aplikacije možete naći na svim varijacijama zvaničnih sajtova nekog wallet-a. Lažni sajtovi su potpune kopije originalnih, sadrže čak i lažne komentare i ocene.

Kao i lažne loginstranice, i ovi sajtovi često koriste Googlereklame kako bi se pojavili kao prvi rezultat Vaše pretrage. Kada skidate softverski wallet, proverite da li adresa sajta sadrži sumnjive karaktere i da li je lepo napisana. Takođe, ažuriranja Vašeg novčanika preuzimajte isključivo kroz novčanik ili sa zvaničnog sajta vašeg novčanika.

Lični pristup

Neki prevaranti će probati razne načine da stupe u kontakt sa Vama. Od mejla, preko Twitter-a, Facebook-a, Instagram-a, Telegram-a i WhatsApp-a i Youtube komentara. Ukoliko na svom profilu na društvenim mrežama imate postavljeno bilo šta vezano za kriptovalute, postoji šansa da su Vas već kontaktirali takozvanifund manager-i sa ponudom za neki vid saradnje. Ovi profili šalju ponude za zaradu, a sve što je potrebno da uradite jeste da sa njima podelite vaše loginpodatke, seed words i privatni ključ. Čim to uradite Vaša sredstva će nestati, a profil će Vas blokirati. 

Nemojte ulaziti u prepisku sa njima. Čim vidite o čemu se radi profil prijavite i blokirajte. Bitno je da profil prijavite kako bi društvena mreža što pre reagovala i uklonila profil. 

ICO prevare

Ukoliko ste bili uključeni u kripto 2017. sigurno ste primetili veliki brojICO projekata. Veliki broj tih projekata je bio prevara, a projekti bi nestajali čim bi se skupila određena suma novca. Priroda kriptovaluta čini da je povratak sredstava gotovo nemoguć, a pronalaženje krivca još teže. Neke od ICO prevara su uspele da ukradu više od nekoliko miliona dolara.

U zadnjih nekoliko meseci imali smo pojavu nove varijacije ove prevare. U pitanju su bili DeFi projekti koji su obećavali ogromne i neodržive kamate. Kada bi se prikupilo dovoljno sredstava za pametni ugovor sredstva bi nestala zajedno sa celim projektom. 

Najbolji način da izbegnete investiranje u loš projekat je da ga što bolje istražite. Proverite da li je javno objavljen tim koji stoji iza projekta. Pogledajte da li postoje profili sa istim imenima na LinkedIn-u i ostalim biznis platformama. Istražite da li je isti tim imao već neki projekat i šta se dešava sa tim projektom sada. 

Nemojte verovati reklamama na internetu

Svako može zakupiti reklamni prostor na internetu. Sajtovi koji nude reklamni prostor se trude da filtriraju sadržaj koji se prikazuje na njihovim stranicama, ali dolazi do propusta. To što je neki projekat uspeo da se reklamira na nekom poznatom kripto portalu, ne znači da se ne radi o potencijalnoj prevari. Sajt koji nudi reklamiranje ovakvim projektima nije odgovoran za njihove postupke. Zato svaku reklamu uzimajte sa rezervom. Bitconnect se u jednom trenutku reklamirao  na Coindesk-u i na još puno kripto portala ovog tipa.

Reklama za Bitconnect na Coindeks

Reklama za Bitconnect na Coindeks-u izvor: Twitter

Jedna od opcija je da jednostavno instalirate adblocker na svom pretraživaču ukoliko ga već nemate. Na ovaj način ćete se rešiti problema reklamiranja potencijalnih prevara, a ujedno ćete izbeći i reklamiranje lažnih phishingsajtova prilikom pretraga.

Još par saveta

Koristite 2FA (dvofaktorska autentikacija) na svim nalozima i na svim servisima koji to podržavaju. Ovo je bitna stvar jer Vas dodatno štiti u slučaju da Vaša šifra za neki servis postane kompromitovana. 

Izbegavajte SMS autentikaciju, ukoliko je moguće, zbog mogućnosti SIMswapnapada. Ovim napadom hakeri mogu dobiti pristup vašem broju telefona kao i dolazećim porukama koje se koriste za prijavljivanje na neki servis.

Od aplikacija za 2FA popularne su Google Authenticator i Authy. Ukoliko iz nekog razloga želite  da koristite neku drugu 2FA aplikaciju postarajte se da je bezbedna tako što ćete proveriti ocene i komentare na Play prodavnici ili AppStore-u. 

2FA znači da ćete imati još jedan korak prilikom prijave na Vaše omiljene servise, to poneki put ume da iritira, ali ukoliko brinete o bezbednosti Vaših naloga 2FA je potpuno neophodan. 

Ukoliko ste saznali nešto novo i korisno, podelite to sa ostalima kako bismo proširili svest o raznim vrstama prevara. Znanje je naše najbolje oružije u borbi protiv prevaranata. 

 

Autor: Gavrilo Jejina, ECD

Comment section

0 comments

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *