۳ استراتژی ساده که به شما کمک میکند قربانی هکرها نشوید

در سالهای گذشته هکهای زیادی در بازار کریپتو ایجاد شده که بخش قابلتوجهی از آنها توسط یک گروه هکری به اسم لازاروس (Lazarus) انجام شده است. همان طور که پیش از این گزارش دادیم، یکی از جدیدترین هکهای این گروه هک صرافی کوینکس بود که ارزش داراییهای سرقت شده از آن به بیش از ۷۰ میلیون دلار میرسد.
به نقل از کوین تلگراف، کاربران بازار کریپتو اغلب با هکهای آنلاین زیادی مواجه میشوند. همان طور که پیش از این گزارش دادیم، حتی مارک کوبان (Mark Cuban)، میلیاردر مشهور آمریکایی نیز اخیرا به خاطر هک کیف پولش حدود ۱ میلیون دلار را از دست داد.
به همین خاطر در این مطلب تصمیم گرفتهایم به سه استراتژی مهم اشاره کنیم که امنیت وجوه سرمایهگذاران را افزایش میدهد. با این حال، قبل از بررسی این سه استراتژی ابتدا باید نوع تهدیدهایی را بررسی کنیم که امروزه گسترش یافتهاند.
FBI مدارک روشنی در مورد گروه لازاروس دارد
گروه لازاروس یک گروه هکری تحت حمایت دولت کره شمالی است که به خاطر حملات پیچیده و فعالیتهای مجرمانه سایبری خود مشهور شده است. برای مثال، این گروه باجافزاری به اسم واناکرای (WannaCry) را در سال ۲۰۱۷ راهاندازی کرد که خدمات حیاتی و بسیار مهمی را برای بسیاری از سازمانها ارائه میکرد. این باجافزار رایانههای سازمانهایی مثل ادارات دولتی و موسسات مراقبتهای بهداشتی را آلوده و رمزگذاری میکرد و سپس از آنها با بیت کوین باجخواهی میکرد.
یکی از اولین هکهای گروه لازاروس در بازار کریپتو هک صرافی یاپیزون (Yapizon) کره جنوبی بود. لازاروس این هک را در آوریل ۲۰۱۷ (فروردین ۱۳۹۶) انجام داد و ۳,۸۳۱ بیت کوین (به ارزش بیشتر از ۴.۵ میلیون دلار در آن زمان) را به سرقت برد. گفتنی است صرافی یاپیزون بعدا اسم خود را به یوبیت (Youbit) تغییر داد.
فعالیتهای گروه لازاروس در بازار کریپتو نگرانیهای زیادی را در مورد توانایی آن در جذب سرمایه برای کره شمالی و دور زدن تحریمهای بینالمللی ایجاد کرده است. بهعنوان مثال در سال ۲۰۲۲ این گروه هکهای زیاد و بزرگی را انجام داد که از بین آنها میتوان به هک ۶۲۵ میلیون دلاری بریج رونین (Ronin) اشاره کرد.
علاوه بر این، دفتر تحقیقات فدرال (FBI)، گروه لازاروس را مسئول هکهای آلفاپو (Alphapo)، کوینزپید (CoinsPaid) و اتمیک ولت (Atomic Wallet) میداند و اعلام کرده زیان کل این هکها به بیش از ۲۰۰ میلیون دلار میرسد. گفتنی است این مقدار زیان فقط مربوط به سال ۲۰۲۳ است.
FBI علاوه بر این اعلام کرده گروه لازاروس مسئول هک ۴۱ میلیون دلاری سایت استیک (Stake) نیز بوده است. این هک از طریق یک کمپین فیشینگ هدفمند انجام شد و بعضی از کارمندان وب سایت مذکور را هدف قرار داد.
نمونههایی از روشها و تکنیکهای جدید هکرها
معمولا در فیلمها نشان میدهند که هکرها به دستگاههای قربانیان دسترسی پیدا کرده و بالاجبار رمزهای عبورشان را از آنها میگیرند. با این حال، در واقعیت اکثر هکها از طریق فیشینگ و مهندسی اجتماعی رخ میدهند و مهاجمان برای جذب قربانیان خود از حس کنجکاوی یا طمع آنها سو استفاده میکنند.
این هکرها معمولا به عنوان نمایندگان پشتیبانی مشتری یا افراد معتمد قربانیان ظاهر میشوند تا بتوانند آنها را فریب دهاده و اطلاعات شخصیشان را بگیرند.
به عنوان مثال، یک هکر ممکن است در قالب کارمند بخش پشتیبانی IT یک شرکت ظاهر شود و با یکی از کارمند آن تماس گرفته و ادعا کند برای بهروزرسانی سیستم باید اطلاعات لاگین را داشته باشد. این هکر در راستای جلب اعتماد ممکن است یک سری اطلاعات کلی درباره شرکت و حتی اطلاعاتی درباره خود قربانی هم به او بدهد.
در حملههای فیشینگ یک ایمیل یا پیام فریبنده به قربانیان فرستاده میشود تا آنها به انجام یک سری اقدامات مخرب ترغیب شوند. مهاجم ممکن است هویت یک سازمان معتبر مثل بانک را جعل کرده و با ارسال یک ایمیل به کاربران آن از آنها بخواهد که روی یک لینک کلیک و حسابشان را تأیید کنند. این لینک آنها را در نهایت به یک وب سایت تقلبی هدایت کرده و اطلاعات ورودشان را سرقت میکند.
در جدیدترین شکل کلاهبرداریها، هکرها در حملات طعمهای (Baiting Attacks) فرصتهای فریبندهای مثل نرمافزارهای رایگان یا حتی فرصتهای شغلی خوب را به قربانیان ارائه میکنند. برای مثال، هکرها ممکن است به عنوان یک کارفرما ظاهر شده و یک آگهی شغلی با شرایط بسیار عالی را در یک وب سایت کاریابی معتبر ایجاد کنند. برای ایجاد اعتماد بیشتر، آنها حتی ممکن است با قربانی خود به صورت ویدیویی مصاحبه کنند. سپس، هکرها یک فایل به ظاهر بیضرر (مثل یک فایل PDF یا Word) را برای قربانیشان میفرستند که حاوی بدافزار است.
فعالان بازار کریپتو چطور میتوانند از سرقت داراییهای خود جلوگیری کنند؟
خوشبختانه، علیرغم پیچیدگی و تواناییهای هکرها سه استراتژی ساده وجود دارد که به شما کمک میکنند امنیت سرمایههای خود را افزایش دهید. این سه استراتژی عبارتاند از:
- از کیف پولهای سختافزاری برای ذخیره بلندمدت داراییهای دیجیتالی خود استفاده کنید. کیف پولهای سختافزاری مستقیما به اینترنت وصل نمیشوند و در برابر تهدیدهای آنلاینی مثل حملات فیشینگ یا بدافزارها امنیت زیادی دارند. این کیف پولها کلیدهای خصوصی شما را به صورت آفلاین نگه داشته و از هکرهای احتمالی دور میکنند تا بهتر بتوانید از دارییهایتان محافظت کنید.
- احراز هویت دو مرحلهای یا 2FA را برای همه حسابها و کیف پولهای خود فعال کنید. این استراتژی امنیت آنها را افزایش میدهد و از شما میخواهد که کد یک بار مصرف ایجادشده توسط برنامههایی مثل «Google Authenticator» یا «Authy» را ارائه کنید. در نتیجه، حتی اگر یک هکر رمز عبور شما را بدزدد، نمیتواند به حسابهای شما دسترسی داشته باشد.
- هنگام کلیک کردن روی لینک موجود در ایمیلها و شبکههای اجتماعی مختلف محتاط باشید. هکرها اغلب از طرحها یا هدیههای فریبنده برای جذب قربانیانشان استفاده میکنند. هنگام آزمایش اپلیکیشنهای غیرمتمرکز جدید هم از حسابها یا کیف پولهای موقت یا ترجیحا خالی و بدون دارایی استفاده کنید تا خطر از دست دادن وجوهتان را کاهش دهید.
در پایان، توصیه میکنیم در اتصال کیف پولهای آنلاین (گرم) به وب سایتهای مختلف به شدت احتیاط کنید. اجازه دسترسی و اتصال کیف پول به هر وب سایتی میتواند با از دست رفتن کل دارایی کیف پول شما همزمان شود. از این رو، جهت اتصال کیف پول به وب سایتهای ناشناس از جمله برای شرکت در ایردراپها سعی کنید از یک کیف پول خالی یا با دارایی بسیار کم استفاده کنید.