Share this article

Paano Mapoprotektahan ng mga ICO ang Mga Mamimili mula sa Mga Pag-atake sa Phishing

Ang pananabik na nakapalibot sa mga ICO ay nag-iwan sa mga mamumuhunan na mahina sa mga pag-atake ng phishing, na nagpapahina sa reputasyon ng bagong mekanismo ng pamumuhunan.

Na-update Set 13, 2021, 7:36 a.m. Published Peb 25, 2018, 10:30 a.m. Isinalin ng AI

Ang mga inisyal na coin offering (ICOs) ay naging malaking pagpapala para sa mga manloloko gaya ng mga namumuhunan.

Tulad ng clockwork, pagkatapos ipahayag ang isang high-profile na ICO, ang mga cyber-criminal ay gumagawa ng isang pamamaraan upang linlangin ang mga nasasabik na retail investor na ipadala ang kanilang eter o Bitcoin sa isang phoney address. Ang industriya ay higit na tumutugon sa mga pag-atake ng phishing sa pamamagitan ng pagdadala sa social media upang ipahayag ang kanilang pagkadismaya sa kung gaano kalaki ng isang partikular Cryptocurrency ang nawala sa kanila.

STORY CONTINUES BELOW

Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. Tingnan ang Lahat ng mga Newsletter

Sa pamamagitan ng pag-sign up, makakatanggap ka ng mga email tungkol sa mga produkto ng CoinDesk at sumasang-ayon ka sa aming terms of use at patakaran sa privacy.

At dahil ang industriya ay napakabago at malabo, at ang mga maling akala ng mga indibidwal ay ginagawang sama-samang paniwalaan ang mga tao, ang mga pagkakataon ng matagumpay na mga scam ay malamang na hindi bababa.

Bilang karagdagan, habang dumarami ang mga benta ng token na nililimitahan ang bilang ng mga tao na maaaring mamuhunan sa mga pampublikong benta, ang mga tagasuporta ay sabik na makahanap ng mga backdoor sa mga ICO, na maaaring maglagay sa kanila sa panganib na hindi makapag-isip ng isang alok.

"Kung inaasahan mong magkaroon ng isang high-profile na kampanya, dapat mong asahan na maging isang target," sabi ni Paul Walsh, CEO ng Metacert, na nag-aalok ng libreng extension ng Chrome na magagamit ng mga namumuhunan sa ICO upang protektahan ang kanilang sarili.

Sa katunayan, ang NuCypher, isang proyektong muling pag-encrypt ng proxy na kamakailan ay naglunsad din ng isang ICO, na pumukaw sa interes ng maraming mamumuhunan, ay humarap sa mga paulit-ulit na pagtatangka sa phishing. At sa tuwing may nakitang phishing campaign ang kumpanya, binabalaan nito ang komunidad nito kung ano ang hahanapin sa pamamagitan ng listahan ng email nito.

Ang pinakahuling pag-atake ay dumating sa Slack, sa mga mensaheng inihatid sa pamamagitan ng slackbots, na nagpapahiwatig ng isang Ethereum address upang magpadala ng mga pondo ng ether, (parang) bilang kapalit ng mga token ng NuCypher . Sa tugon nito, pinaalalahanan ng NuCypher ang mga namumuhunan na hindi nito gagamitin ang Slack upang Request ng pamumuhunan.

Gayunpaman, ang ilang mga tao ay nasunog, at kasama nito, ang mas malaking komunidad ng Crypto ay nagdurusa sa tuwing nagtatagumpay ang isang phishing scam.

Sinabi ni Walsh sa CoinDesk:

"Kapag nasunog na ang mga daliri ng [mga mamumuhunan], mas malamang na sabihin nila sa mga tao: T gawin ito. Pagkatapos ay mas kaunting mga tao ang mamumuhunan sa Cryptocurrency."

Sa pagsisikap na alisin ang isyung iyon, gumawa ang NuCypher ng diskarte na nakatuon sa komunikasyon at edukasyon na maaaring Learn ng maraming iba pang issuer ng ICO at ng mga mamumuhunan na interesado sa mga round na ito.

Ngunit T ito ang tanging paraan upang manatiling ligtas sa gayong ligaw na merkado. Maraming maaaring gawin ng mga mamumuhunan upang protektahan ang kanilang sarili, ngunit sa totoo lang, ONE makakagawa ng kasing dami ng pangkat na nagpapatakbo ng ICO.

Straight talk

Marahil ang pinakamahalagang diskarte para sa mga issuer ay nagbibigay-diin lamang sa ONE channel ng komunikasyon kung saan magaganap ang balita sa pagbebenta.

Noong inilunsad ng provider ng pagmemensahe ng app na si Kik ang Kin, halimbawa, ang kumpanya ginawa itong malinaw na ang lahat ng impormasyon tungkol sa pagbili ng mga token nito ay nasa, at tanging sa, site ng pagbebenta ng token nito. Kahit na nagpadala si Kik ng update sa isang email o sa pamamagitan ng isang social channel, palaging idinidirekta ng update ang mga mambabasa pabalik sa site para sa kung paano kumilos.

Ito ay isang partikular na kapaki-pakinabang na diskarte dahil kung ang kritikal na impormasyon tulad ng mga address ng wallet ay nai-broadcast sa pamamagitan ng website, mas mahirap para sa isang manloloko na baguhin ang website kaysa sa magpadala ng isang nakakumbinsi na email.

Hindi lamang iyon, ngunit ang mga negosyante at kumpanya na nagpaplano, o napapabalitang tatakbo, ang mga benta ng token ay dapat sabihin sa publiko ang kanilang mga intensyon sa lalong madaling panahon.

Ang mga problema sa hindi pagiging bukas ay ipinapakita kasama ang Telegram ICO. Dahil ang kumpanya ng mobile messaging ay halos hindi nakipag-ugnayan sa publiko tungkol sa ICO, maaaring samantalahin ng mga scammer ang agwat ng kaalaman na iyon at mag-set up ng mga pekeng site na nagpapanggap na nag-aalok ng mga token.

Sa kaso, ang mga mamumuhunan ay dinala sa Twitter upang magreklamo tungkol sa pagiging swindled ng mga pekeng Telegram token site; ONE hindi nasisiyahang indibidwal nagtweet na naglagay siya ng apat na ether sa isang site na umaasang bumili ng mga token ng Telegram.

Tumugon ang CEO ng Telegram sa ilang mga katanungan tungkol sa mga partikular na URL at ang kumpanya ay gumawa ng Telegram channel para sa pag-uulat ng mga site ng scam, ngunit mas mainam na maging upfront tungkol sa kung ano ang nangyayari.

Ang isa pang lugar kung saan mababawasan ng mga issuer ang mga pagkakataon ng panloloko ay sa kanilang marketing, sa pamamagitan ng pagpapababa sa pangangailangan ng madaliang pag-uusap para bumili ng mga token, bagama't maaaring mukhang kontra-intuitive ito sa marami.

Kapag inanunsyo ng isang marketing team na magkakaroon ng maikling panahon ng mga espesyal na diskwento, inilalagay nito ang isang pangkat ng mga potensyal na mamumuhunan sa isang hair trigger. Alam nilang mabilis mabenta ang mga bagay na ito, kaya kailangan nilang kumilos nang mabilis kung gusto nilang makapasok. Sa ganitong paraan, maaaring malinlang ang mga mamumuhunan sa pagsunod sa mga mapanlinlang na link, habang kumikilos sila bago pag-isipan ang mga bagay-bagay.

Sa paksa, sinabi ni Walsh:

"Magandang magkaroon ng sigasig sa anumang ilulunsad mo, ngunit ang mga koponan na ito ay kailangang maging mas maalalahanin."

Gayunpaman, higit sa lahat, ang mga kumpanyang nagpapatakbo ng mga ICO ay kailangang maging malinaw sa kung paano sila makikipag-usap, kaya malalaman ng mga tagasunod ang anumang bagay na T Social Media sa format na iyon ay huwad.

Patigasin ang mga tauhan

Karamihan sa pag-hack sa mga araw na ito ay isinasagawa sa pamamagitan ng social engineering, hindi cloak-and-dagger coding.

Ang panlilinlang sa mga empleyado sa pagsisiwalat ng kritikal na impormasyon, o pag-iisip kung paano gayahin ang aktwal na kawani, ay dalawang paraan kung paano nagtagumpay ang mga umaatake sa kanilang mga scam.

Sa ganitong paraan, kailangang KEEP ng mga issuer na ang pagprotekta sa panloob na team mula sa phishing ay pinakamahalaga – lalo na kung ito ay nauugnay sa mga social media channel, kung saan ang mga manloloko ay maaaring mag-tweet ng mga malisyosong link na, na may access sa mga tunay na account, ang magiging tunay na pakikitungo sa mga namumuhunan.

Sinabi ng co-founder ng PhishMe na si Aaron Higbee sa CoinDesk na dapat "tingnan ng mga kumpanya kung sino sa loob ng organisasyon ang maaaring mag-tweet mula sa mga account na ito," o kung hindi man ay mag-post mula sa mga account na ito, at tiyaking sinanay sila sa pagtukoy ng mga posibleng pagtatangka sa phishing.

Nagbibigay ang PhishMe ng awtomatiko at patuloy na pagsasanay para sa mga kumpanyang tumutulong sa kanila na pataasin ang kaalaman sa mga diskarteng ginagamit ng mga umaatake para linlangin ang mga tauhan ng kumpanya. Ang pagsasanay, na inaalok nang libre sa maliliit at katamtamang laki ng mga negosyo, ay talagang gumagana sa loob ng mga inbox ng kawani, sa pamamagitan ng pagpapadala sa kanila ng mga email na dapat magtaas ng mga pulang bandila.

At nag-aalok ang Metacert ng produkto na patuloy na sinusubaybayan ang mga internal na channel ng team at nagde-delete ng mga nakakahamak na mensahe bago magkaroon ng pagkakataon ang sinuman na makita ang mga ito.

Higit pa riyan, iginiit ni Walsh na ang mga executive at iba pang high-profile na indibidwal sa isang kumpanya ay hindi dapat magkaroon ng root access sa anumang data o system dahil karamihan sa mga attacker ay hindi lamang makakahanap ng impormasyon sa taong iyon upang sila ay inhinyero ng social, ngunit pati na rin ang mga executive na ito ay nakikita bilang napakataas na halaga sa isang umaatake.

Dapat ding sanayin ang mga tauhan ng pamamahala ng komunidad kung paano makita ang mga pagtatangka sa phishing at kung anong uri ng mga tanong ang nagpapahiwatig na ang mga tagasuporta ay maaaring na-phish sa ibang channel. Halimbawa, nalaman ni Kik na gagawin ng mga umaatake kumakatawan sa kanilang sarili bilang mga moderator sa mga channel ng Slack. Dahil dito, dapat bantayan ito ng mga tunay na moderator at iba pang kahina-hinalang pag-uugali.

At, panghuli ngunit hindi bababa sa, kailangang tiyakin ng isang tagabigay ng ICO na ang kanilang web host ay pinapanatili ang seguridad sa isip. Pangunahin iyon dahil pinipili ng mga issuer ng ICO ang kanilang web host bago mag-live ang site ng pagbebenta, na nagbibigay sa mga attacker ng parehong tagal ng oras upang subukan at makalusot sa system upang maglagay ng pekeng front page na may sarili nilang wallet address sa site kapag naging live ito.

Kahit na ang naturang digital graffiti ay mananatili lamang sa loob ng 20 minuto, maraming pera ang maaaring mawala sa pagmamadali sa pagbili na binibigyang inspirasyon ng maraming ICO.

Spotlight ng seguridad

Sa lahat ng ito, kailangang simulan ng mga issuer ng ICO ang pag-iisip tungkol sa panloob na seguridad mula sa ONE araw , dahil habang ang mga tagapagtatag ng mga proyekto ay nakatuon sa produkto, alam ng mga scammer na milyon-milyong dolyar ang FLOW sa produktong iyon sa kalaunan at lilipat nang maaga at maghihintay sa kanilang pagkakataong mag-strike.

Sa pag-iisip na ito, dapat na gutay-gutay ang mga dokumento upang T magamit ng mga scammer ang mga iyon upang gawing mas tunay ang kanilang mga pag-atake.

Dagdag pa, ang lahat ng empleyado ay dapat gumamit ng two-factor authentication (2FA) sa lahat ng dako at subukang huwag gumamit ng SMS-based na 2FA, dahil hindi ito ligtas kaysa sa paggamit ng mga app tulad ng Authy, 1Password o Google Authenticator. Higit pa rito, sa anumang mobile device na ginagamit para sa 2FA, dapat maglagay ng mga karagdagang pag-iingat upang ang anumang mga pagbabago ay napapailalim sa mas mataas na mga pagsusuri sa seguridad.

Halimbawa, sinabi ni Walsh na alam niya ang ilang proyekto na KEEP sa isang burner na telepono na naka-lock sa isang drawer at ginagamit lamang para sa 2FA.

Hindi lamang mga mobile device, kundi pati na rin ang mga listahan ng email ay dapat na protektahan nang tama.

Kung nakuha ng isang umaatake ang listahan ng mga taong nagpahayag ng interes sa isang ICO, ang scam ay 90 porsiyento ng paraan upang magtagumpay dahil ang grupong iyon ang pinakamalamang na mahulog sa isang pagtatangka sa phishing dahil interesado na ito at mukhang totoo ang pinagmulan.

Kung ang isang kumpanya ay gumagamit ng isang email o newsletter na third party, tulad ng MailChimp o ConstantContact, upang mapanatili ang mga naturang listahan, dapat itong mag-opt in sa pinakamataas na antas ng seguridad para sa pag-access sa mga account na iyon.

Idinagdag pa ni Walsh na ang pinaka-maalalahanin ng mga kumpanya ay maaaring pumunta sa isang hakbang pa at iwasan ang mga HTML na email para sa mga purong text na email. Bagama't maaaring mawalan ng ilang kahusayan sa marketing ang mga text email, mas secure ang mga ito para sa mga tatanggap dahil makikita talaga ng mga tatanggap ang LINK na hinihiling sa kanila ng email na i-click, samantalang ang mga format ng HTML ay maaaring magtago ng mga nakakahamak na link.

Ang isa pang opsyon para sa mga proyekto ng ICO ay ang pag-hire ng mga "white hat" na mga hacker upang subukan at talunin ang mga sistema ng seguridad na mga tagapagbigay ng token na inilagay, upang ang mga kahinaan ay mahahanap at maayos bago ang isang tunay na umaatake ay umatake.

Higit pa rito, ang mga issuer ay maaaring maging mas bukas sa publiko at mga potensyal na mamumuhunan tungkol sa mga pamamaraang pangseguridad na kanilang ginagamit upang ang mga mamumuhunan ay makapagdesisyon tungkol sa kung aling mga proyekto ang gusto nilang suportahan.

Kaugnay nito, sinabi ni MacLane Wilkinson ng NuCypher sa CoinDesk:

"Sa huli, walang paraan upang maiwasan ang mga pag-atake ng phishing, kaya ang pinakamahalagang bagay na magagawa mo ay ang edukasyon. Kailangan mong magsimula nang maaga sa pamamagitan ng pagpapaliwanag sa iyong komunidad kung ano ang mga pag-atake ng phishing at paghahanda ng mga ito nang maaga."

Tacklebox na may mga pang-akit larawan sa pamamagitan ng Shutterstock

Security Scams Phishing investments ICOs initial coin offerings Features

Brady Dale

Brady Dale holds small positions in BTC, WBTC, POOL and ETH.