۳ استراتژی ساده که به شما کمک می‌کند قربانی هکرها نشوید

در سال‌های گذشته هک‌های زیادی در بازار کریپتو ایجاد شده که بخش قابل‌توجهی از آن‌ها توسط یک گروه هکری به اسم لازاروس (Lazarus) انجام شده است. همان طور که پیش از این گزارش دادیم، یکی از جدیدترین هک‌های این گروه هک صرافی کوینکس بود که ارزش دارایی‌های سرقت شده از آن به بیش از ۷۰ میلیون دلار می‌رسد.

به نقل از کوین‌ تلگراف، کاربران بازار کریپتو اغلب با هک‌های آنلاین زیادی مواجه می‌شوند. همان طور که پیش‌ از این گزارش دادیم، حتی مارک کوبان (Mark Cuban)، میلیاردر مشهور آمریکایی نیز اخیرا به خاطر هک کیف پولش حدود ۱ میلیون دلار را از دست داد.

به همین خاطر در این مطلب تصمیم گرفته‌ایم به سه استراتژی مهم اشاره کنیم که امنیت وجوه سرمایه‌گذاران را افزایش می‌دهد. با این حال، قبل از بررسی این سه استراتژی ابتدا باید نوع تهدیدهایی را بررسی کنیم که امروزه گسترش یافته‌اند.

FBI مدارک روشنی در مورد گروه لازاروس دارد

گروه لازاروس یک گروه هکری تحت حمایت دولت کره شمالی است که به خاطر حملات پیچیده و فعالیت‌های مجرمانه سایبری خود مشهور شده است. برای مثال، این گروه باج‌افزاری به اسم واناکرای (WannaCry) را در سال ۲۰۱۷ راه‌اندازی کرد که خدمات حیاتی و بسیار مهمی را برای بسیاری از سازمان‌ها ارائه می‌کرد. این باج‌افزار رایانه‌‌های سازمان‌هایی مثل ادارات دولتی و موسسات مراقبت‌های بهداشتی را آلوده و رمزگذاری می‌کرد و سپس از آن‌ها با بیت کوین باج‌خواهی می‌کرد.

یکی از اولین هک‌های گروه لازاروس در بازار کریپتو هک صرافی یاپیزون (Yapizon) کره جنوبی بود. لازاروس این هک را در آوریل ۲۰۱۷ (فروردین ۱۳۹۶) انجام داد و ۳,۸۳۱ بیت کوین (به ارزش بیشتر از ۴.۵ میلیون دلار در آن زمان) را به سرقت برد. گفتنی است صرافی یاپیزون بعدا اسم خود را به یوبیت (Youbit) تغییر داد.

فعالیت‌های گروه لازاروس در بازار کریپتو نگرانی‌های زیادی را در مورد توانایی آن در جذب سرمایه برای کره شمالی و دور زدن تحریم‌های بین‌المللی ایجاد کرده است. به‌عنوان مثال در سال ۲۰۲۲ این گروه هک‌های زیاد و بزرگی را انجام داد که از بین آن‌ها می‌توان به هک ۶۲۵ میلیون دلاری بریج رونین (Ronin) اشاره کرد.

علاوه بر این، دفتر تحقیقات فدرال (FBI)، گروه لازاروس را مسئول هک‌های آلفاپو (Alphapo)، کوینزپید (CoinsPaid) و اتمیک ولت (Atomic Wallet) می‌داند و اعلام کرده زیان کل این هک‌ها به بیش از ۲۰۰ میلیون دلار می‌رسد. گفتنی است این مقدار زیان فقط مربوط به سال ۲۰۲۳ است.

FBI علاوه بر این اعلام کرده گروه لازاروس مسئول هک ۴۱ میلیون دلاری سایت استیک (Stake) نیز بوده است. این هک از طریق یک کمپین فیشینگ هدفمند انجام شد و بعضی از کارمندان وب سایت مذکور را هدف قرار داد.

نمونه‌هایی از روش‌ها و تکنیک‌های جدید هکرها

معمولا در فیلم‌ها نشان می‌دهند که هکرها به دستگاه‌های قربانیان دسترسی پیدا کرده و بالاجبار رمزهای عبورشان را از آن‌ها می‌گیرند. با این حال، در واقعیت اکثر هک‌ها از طریق فیشینگ و مهندسی اجتماعی رخ می‌دهند و مهاجمان برای جذب قربانیان خود از حس کنجکاوی یا طمع آن‌ها سو استفاده می‌کنند.

این هکرها معمولا به عنوان نمایندگان پشتیبانی مشتری یا افراد معتمد قربانیان ظاهر می‌شوند تا بتوانند آن‌ها را فریب دهاده و اطلاعات شخصیشان را بگیرند.

به عنوان مثال، یک هکر ممکن است در قالب کارمند بخش پشتیبانی IT یک شرکت ظاهر شود و با یکی از کارمند آن تماس گرفته و ادعا کند برای به‌روزرسانی سیستم باید اطلاعات لاگین را داشته باشد. این هکر در راستای جلب اعتماد ممکن است یک سری اطلاعات کلی درباره شرکت و حتی اطلاعاتی درباره خود قربانی هم به او بدهد.

در حمله‌های فیشینگ یک ایمیل یا پیام‌ فریبنده به قربانیان فرستاده می‌شود تا آن‌ها به انجام یک سری اقدامات مخرب ترغیب شوند. مهاجم ممکن است هویت یک سازمان معتبر مثل بانک را جعل کرده و با ارسال یک ایمیل به کاربران آن از آن‌ها بخواهد که روی یک لینک کلیک و حسابشان را تأیید کنند. این لینک آن‌ها را در نهایت به یک وب‌ سایت تقلبی هدایت کرده و اطلاعات ورودشان را سرقت می‌کند.

در جدیدترین شکل کلاهبرداری‌ها، هکرها در حملات طعمه‌‌ای (Baiting Attacks) فرصت‌های فریبنده‌ای مثل نرم‌افزارهای رایگان یا حتی فرصت‌های شغلی خوب را به قربانیان ارائه می‌کنند. برای مثال، هکرها ممکن است به عنوان یک کارفرما ظاهر شده و یک آگهی شغلی با شرایط بسیار عالی را در یک وب سایت کاریابی معتبر ایجاد کنند. برای ایجاد اعتماد بیشتر، آن‌ها حتی ممکن است با قربانی خود به صورت ویدیویی مصاحبه کنند. سپس، هکرها یک فایل به ظاهر بی‌ضرر (مثل یک فایل PDF یا Word) را برای قربانیشان می‌فرستند که حاوی بدافزار است.

فعالان بازار کریپتو چطور می‌توانند از سرقت دارایی‌های خود جلوگیری کنند؟

خوشبختانه، علی‌رغم پیچیدگی و توانایی‌های هکرها سه استراتژی ساده وجود دارد که به شما کمک می‌کنند امنیت سرمایه‌های خود را افزایش دهید. این سه استراتژی عبارت‌اند از:

• از کیف پول‌های سخت‌افزاری برای ذخیره بلندمدت دارایی‌های دیجیتالی خود استفاده کنید. کیف پول‌های سخت‌افزاری مستقیما به اینترنت وصل نمی‌شوند و در برابر تهدیدهای آنلاینی مثل حملات فیشینگ یا بدافزارها امنیت زیادی دارند. این کیف پول‌ها کلیدهای خصوصی شما را به صورت آفلاین نگه داشته و از هکرهای احتمالی دور می‌کنند تا بهتر بتوانید از داریی‌هایتان محافظت کنید.

• احراز هویت دو مرحله‌ای یا 2FA را برای همه حساب‌ها و کیف پول‌های خود فعال کنید. این استراتژی امنیت آن‌ها را افزایش می‌دهد و از شما می‌خواهد که کد یک بار مصرف ایجادشده توسط برنامه‌هایی مثل «Google Authenticator» یا «Authy» را ارائه کنید. در نتیجه، حتی اگر یک هکر رمز عبور شما را بدزدد، نمی‌تواند به حساب‌های شما دسترسی داشته باشد.
• هنگام کلیک کردن روی لینک موجود در ایمیل‌ها و شبکه‌های اجتماعی مختلف محتاط باشید. هکرها اغلب از طرح‌ها یا هدیه‌های فریبنده برای جذب قربانیانشان استفاده می‌کنند. هنگام آزمایش اپلیکیشن‌های غیرمتمرکز جدید هم از حساب‌ها یا کیف پول‌های موقت یا ترجیحا خالی و بدون دارایی استفاده کنید تا خطر از دست دادن وجوهتان را کاهش دهید.

در پایان، توصیه می‌کنیم در اتصال کیف پول‌های آنلاین (گرم) به وب سایت‌های مختلف به شدت احتیاط کنید. اجازه دسترسی و اتصال کیف پول به هر وب سایتی می‌تواند با از دست رفتن کل دارایی کیف پول شما همزمان شود. از این رو، جهت اتصال کیف پول به وب سایت‌های ناشناس از جمله برای شرکت در ایردراپ‌ها سعی کنید از یک کیف پول خالی یا با دارایی بسیار کم استفاده کنید.