Cómo las ICO pueden proteger a los compradores de los ataques de phishing

Las ofertas iniciales de monedas (ICO) han sido una bendición tanto para los delincuentes como para los inversores.

Como un reloj, tras el anuncio de una ICO de alto perfil, los ciberdelincuentes urden un plan para engañar a inversores minoristas entusiasmados para que envíen sus ether o Bitcoin a una dirección falsa. La industria reacciona, en gran medida, a los ataques de phishing recurriendo a las redes sociales para expresar su frustración por la cantidad de una Criptomonedas en particular que han perdido.

Y como la industria es tan nueva y opaca, y los delirios de conocimiento de los individuos hacen que la gente sea colectivamente crédula, es poco probable que disminuyan los casos de estafas exitosas.

Además, como cada vez más ventas de tokens limitan el número de personas que pueden invertir en las ventas públicas, los partidarios están ansiosos por encontrar puertas traseras en las ICO, lo que puede ponerlos en riesgo de no pensar bien una oferta.

"Si esperas tener una campaña de alto perfil, debes esperar ser un objetivo", dijo Paul Walsh, CEO de Metacert, que ofrece una extensión gratuita de Chrome que los inversores de ICO pueden usar para protegerse.

De hecho, NuCypher, un proyecto de reencriptación de proxy que también lanzó recientemente una ICO que despertó el interés de muchos inversores, ha lidiado con repetidos intentos de phishing. Y cada vez que la compañía detecta una campaña de phishing, avisa a su comunidad a través de su lista de correo electrónico sobre qué buscar.

El ataque más reciente se produjo a través de Slack, en mensajes enviados mediante slackbots, que indicaban una dirección de Ethereum a la que enviar fondos de ether (supuestamente) a cambio de tokens de NuCypher . En su respuesta, NuCypher recordó a los inversores que nunca usaría Slack para Request inversiones.

Aun así, algunas personas salieron perjudicadas y, con ello, la comunidad Cripto en general sufre cada vez que una estafa de phishing tiene éxito.

Walsh le dijo a CoinDesk:

"Una vez que los inversores se queman los dedos, es más probable que le digan a la gente: ' No hagan esto'. Entonces, menos gente invertirá en Criptomonedas".

En un esfuerzo por eliminar ese problema, NuCypher ha adoptado un enfoque que se centra en la comunicación y la educación del que muchos otros emisores de ICO y los inversores interesados ​​en estas rondas podrían Aprende .

Pero esta no es la única manera de mantenerse a salvo en un mercado tan volátil. Los inversores pueden hacer mucho para protegerse, pero en realidad, ONE puede hacer tanto como el equipo que gestiona la ICO.

Hablando claro

Quizás la estrategia más importante para los emisores es enfatizar sólo un canal de comunicación donde se darán las noticias de venta.

Cuando el proveedor de aplicaciones de mensajería Kik lanzó Kin, por ejemplo, la empresalo dejó claroQue toda la información sobre la compra de sus tokens se publicaría, y solo en, su sitio web de venta de tokens. Incluso si Kik enviaba una actualización por correo electrónico o a través de una red social, esta siempre redirigía a los lectores al sitio web para que pudieran tomar medidas.

Este es un enfoque particularmente beneficioso ya que si se transmite información crítica, como direcciones de billetera, a través del sitio web, es mucho más difícil para un estafador cambiar el sitio web que enviar un correo electrónico convincente.

No sólo eso, sino que los empresarios y las empresas que planean, o se rumorea que van a realizar, ventas de tokens deberían declarar públicamente sus intenciones lo más pronto posible.

Los problemas de no estar abierto se muestran con elICO de TelegramDado que la empresa de mensajería móvil apenas se ha comunicado con el público sobre la ICO, los estafadores pueden aprovechar esa falta de información y crear sitios web falsos que fingen ofrecer los tokens.

Un ejemplo de ello es que los inversores han recurrido a Twitter para quejarse de haber sido estafados por sitios falsos de tokens de Telegram; un individuo descontento... tuiteóque había puesto cuatro ether en un sitio con la esperanza de comprar tokens de Telegram.

El CEO de Telegram ha respondido algunas preguntas sobre URL específicas y la empresa ha creado un canal de Telegram paradenunciar sitios fraudulentos, pero sería mucho mejor ser sincero sobre lo que está sucediendo.

Otra área en la que los emisores pueden reducir las posibilidades de fraude es en su marketing, al atenuar la urgencia de los llamados a comprar tokens, aunque esto pueda parecer contra-intuitivo para muchos.

Cuando un equipo de marketing anuncia breves periodos de descuentos especiales, pone en alerta a un grupo de posibles inversores. Saben que estas ofertas se agotan rápidamente, así que necesitan actuar con rapidez si quieren entrar. De esta forma, los inversores podrían caer en la trampa de seguir enlaces falsos, ya que actúan sin pensarlo bien.

Sobre el tema, Walsh dijo:

"Es bueno entusiasmarse con cualquier proyecto que se vaya a lanzar, pero estos equipos necesitan ser más conscientes".

Pero por encima de todo, las empresas que realizan ICO deben ser inequívocas sobre cómo se comunicarán, para que los seguidores sepan que cualquier cosa que no Síguenos ese formato es falsa.

Fortalecer al personal

Hoy en día, gran parte de la piratería informática se lleva a cabo mediante ingeniería social, no mediante codificación encubierta.

Engañar a los empleados para que revelen información crítica o descubrir cómo imitar al personal real son dos formas en las que los atacantes han tenido éxito con sus estafas.

De esta manera, los emisores deben KEEP en cuenta que proteger al equipo interno del phishing es de suma importancia, especialmente en lo que respecta a los canales de redes sociales, donde los estafadores pueden tuitear enlaces maliciosos que, con acceso a cuentas auténticas, parecerán genuinos para los inversores.

Aaron Higbee, cofundador de PhishMe, dijo a CoinDesk que las empresas deberían "observar quién dentro de la organización puede tuitear desde estas cuentas" o publicar desde estas cuentas, y asegurarse de que estén capacitadas para detectar posibles intentos de phishing.

PhishMe ofrece capacitación automatizada y continua a empresas para ayudarlas a comprender mejor las técnicas que utilizan los atacantes para engañar a su personal. La capacitación, gratuita para pequeñas y medianas empresas, funciona directamente en las bandejas de entrada de los empleados, enviándoles correos electrónicos que deberían alertar.

Y Metacert ofrece un producto que monitorea los canales internos de un equipo de forma continua y elimina los mensajes maliciosos antes de que alguien tenga la oportunidad de verlos.

Más allá de eso, Walsh sostiene que los ejecutivos y otras personas de alto perfil de una empresa no deberían tener acceso root a ningún dato o sistema ya que la mayoría de los atacantes no sólo pueden encontrar información sobre esa persona para aplicarle ingeniería social, sino que también estos ejecutivos son vistos como de gran valor para un atacante.

El personal de gestión de la comunidad también debe recibir capacitación sobre cómo detectar intentos de phishing y qué tipo de preguntas indican que los seguidores podrían estar siendo víctimas de phishing en otro canal. Por ejemplo, Kik descubrió que los atacantes...se representan a sí mismos como moderadoresEn los canales de Slack. Por lo tanto, los moderadores genuinos deben estar atentos a este y otros comportamientos sospechosos.

Y, por último, pero no menos importante, un emisor de ICO debe asegurarse de que su proveedor de alojamiento web priorice la seguridad. Esto se debe principalmente a que los emisores de ICO eligen su proveedor de alojamiento web antes de que el sitio web de venta esté disponible, lo que da a los atacantes el mismo tiempo para intentar infiltrarse en el sistema y colocar una página principal falsa con la dirección de su propia billetera en el sitio una vez que esté disponible.

Incluso si tales grafitis digitales sólo duran 20 minutos, se podría perder mucho dinero con la prisa por comprar que inspiran muchas ICO.

Foco de seguridad

Con todo esto, los emisores de ICO necesitan comenzar a pensar en la seguridad interna desde el ONE día, porque mientras los fundadores de los proyectos están enfocados en el producto, los estafadores saben que millones de dólares eventualmente FLOW a ese producto y se adelantarán y esperarán su oportunidad para atacar.

Con esto en mente, los documentos deben destruirse para que los estafadores no puedan usarlos para hacer que sus ataques parezcan más auténticos.

Además, todos los empleados deben usar la autenticación de dos factores (2FA) en todas partes y esforzarse por no usar la 2FA basada en SMS, ya que es menos segura que usar aplicaciones como Authy, 1Password o Google Authenticator. Además, con cualquier dispositivo móvil que se use para la 2FA, se deben implementar precauciones adicionales para que cualquier cambio esté sujeto a controles de seguridad más rigurosos.

Por ejemplo, Walsh dijo que conoce algunos proyectos que KEEP un teléfono desechable encerrado en un cajón y utilizado únicamente para 2FA.

No sólo los dispositivos móviles, sino también las listas de correo electrónico deben protegerse correctamente.

Si un atacante logra hacerse con la lista de personas que han expresado interés en una ICO, la estafa tiene un 90 por ciento de posibilidades de tener éxito porque ese grupo es el que tiene más probabilidades de caer en un intento de phishing ya que ya está interesado y la fuente parece genuina.

Si una empresa utiliza un servicio de correo electrónico o boletín informativo de terceros, como MailChimp o ConstantContact, para mantener dichas listas, debe optar por el nivel más alto de seguridad para acceder a esas cuentas.

Walsh incluso añadió que las empresas más reflexivas podrían ir un paso más allá y sustituir los correos electrónicos HTML por correos de texto puro. Si bien los correos de texto pueden perder algo de eficacia publicitaria, son más seguros para los destinatarios, ya que pueden ver el LINK en el que se les pide que hagan clic, mientras que los formatos HTML pueden ocultar enlaces maliciosos.

Otra opción para los proyectos ICO es contratar hackers de "sombrero blanco" para intentar superar los sistemas de seguridad implementados por los emisores de tokens, de modo que se puedan encontrar y reparar las vulnerabilidades antes de que un atacante real ataque.

Además, los emisores podrían ser más abiertos con el público y los inversores potenciales acerca de los procedimientos de seguridad que utilizan, para que los inversores puedan tomar decisiones informadas sobre qué proyectos quieren apoyar.

Al respecto, MacLane Wilkinson de NuCypher le dijo a CoinDesk:

En definitiva, no hay forma de prevenir los ataques de phishing, así que lo más importante es educar. Es necesario empezar pronto explicando a la comunidad qué son los ataques de phishing y preparándola con antelación.

Caja de aparejos con señuelosimagen vía Shutterstock