Como os ICOs podem proteger os compradores de ataques de phishing

As ofertas iniciais de moedas (ICOs) têm sido uma bênção tanto para os criminosos quanto para os investidores.

Como um relógio, depois que um ICO de alto perfil é anunciado, os criminosos cibernéticos criam um esquema para enganar investidores de varejo animados para enviar seu ether ou Bitcoin para um endereço falso. A indústria reage amplamente a ataques de phishing recorrendo às mídias sociais para expressar sua frustração sobre o quanto de uma Criptomoeda específica eles perderam.

E como o setor é tão novo e obscuro, e as ilusões de esperteza dos indivíduos tornam as pessoas coletivamente crédulas, é improvável que os casos de golpes bem-sucedidos diminuam.

Além disso, como cada vez mais as vendas de tokens limitam o número de pessoas que podem investir nas vendas públicas, os apoiadores estão ansiosos para encontrar brechas nos ICOs, o que pode colocá-los em risco de não pensar bem em uma oferta.

"Se você espera ter uma campanha de alto perfil, deve esperar ser um alvo", disse Paul Walsh, CEO da Metacert, que oferece uma extensão gratuita do Chrome que os investidores de ICO podem usar para se proteger.

Na verdade, o NuCypher, um projeto de recriptografia de proxy que recentemente lançou um ICO também, o que despertou o interesse de muitos investidores, lidou com repetidas tentativas de phishing. E cada vez que a empresa detecta uma campanha de phishing, ela avisa sua comunidade sobre o que procurar por meio de sua lista de e-mail.

O ataque mais recente ocorreu no Slack, em mensagens entregues via slackbots, indicando um endereço Ethereum para enviar fundos ether, (supostamente) em troca de tokens NuCypher . Em sua resposta, a NuCypher lembrou aos investidores que nunca usaria o Slack para Request investimentos.

No entanto, algumas pessoas se machucaram e, com isso, a comunidade Cripto sofre toda vez que um golpe de phishing tem sucesso.

Walsh disse ao CoinDesk:

"Uma vez que [os investidores] se queimem, eles são mais propensos a dizer às pessoas: T façam isso. Então, menos pessoas vão investir em Criptomoeda."

Em um esforço para eliminar esse problema, a NuCypher adotou uma abordagem focada na comunicação e na educação, com as quais muitos outros emissores de ICOs e investidores interessados ​​nessas rodadas poderiam Aprenda .

Mas essa T é a única maneira de se manter seguro em um mercado tão selvagem. Há muita coisa que os investidores podem fazer para se proteger, mas, na verdade, ONE pode fazer tanto quanto a equipe que comanda o ICO.

Conversa franca

Talvez a estratégia mais importante para os emissores seja enfatizar apenas um canal de comunicação onde as notícias de vendas ocorrerão.

Quando o provedor de aplicativos de mensagens Kik lançou o Kin, por exemplo, a empresadeixou claroque todas as informações sobre a compra de seus tokens estariam, e somente, em seu site de venda de tokens. Mesmo que Kik enviasse uma atualização em um e-mail ou por meio de um canal social, a atualização sempre direcionava os leitores de volta ao site para saber como agir.

Essa é uma abordagem particularmente benéfica, pois se informações críticas, como endereços de carteira, forem divulgadas pelo site, será muito mais difícil para um fraudador alterar o site do que enviar um e-mail convincente.

Além disso, empreendedores e empresas que planejam, ou que supostamente estão realizando, vendas de tokens devem declarar publicamente suas intenções o mais rápido possível.

Os problemas de não estar aberto são exibidos com oTelegrama ICO. Como a empresa de mensagens móveis mal se comunicou com o público sobre o ICO, os golpistas podem tirar vantagem dessa lacuna de conhecimento e criar sites falsos fingindo oferecer os tokens.

Um exemplo disso é que os investidores recorreram ao Twitter para reclamar sobre terem sido enganados por sites falsos de tokens do Telegram; um indivíduo descontente tweetouque ele havia colocado quatro ether em um site na esperança de comprar tokens do Telegram.

O CEO do Telegram respondeu a algumas perguntas sobre URLs específicos e a empresa criou um canal no Telegram paradenunciar sites fraudulentos, mas seria muito melhor ser direto sobre o que está acontecendo.

Outra área em que os emissores podem diminuir as chances de fraude é em seu marketing, diminuindo a urgência dos apelos para comprar tokens, embora isso possa parecer contraintuitivo para muitos.

Quando uma equipe de marketing anuncia que haverá breves períodos de descontos especiais, isso coloca um grupo de potenciais investidores em um gatilho. Eles sabem que essas coisas esgotam rapidamente, então precisam agir rápido se quiserem entrar. Dessa forma, os investidores podem ser enganados a seguir links falsos, pois agem antes de pensar nas coisas.

Sobre o assunto, Walsh disse:

"É bom ter entusiasmo em relação a qualquer coisa que você vá lançar, mas essas equipes precisam ser mais conscientes."

Acima de tudo, porém, as empresas que administram ICOs precisam ser claras sobre como irão se comunicar, para que os seguidores saibam que qualquer coisa que T Siga esse formato é falsa.

Equipe de endurecimento

Hoje em dia, grande parte da atividade de hacking é realizada por meio de engenharia social, não de codificação secreta.

Enganar funcionários para que revelem informações críticas ou descobrir como imitar a equipe real são duas maneiras pelas quais os invasores obtiveram sucesso com seus golpes.

Dessa forma, os emissores precisam KEEP em mente que proteger a equipe interna contra phishing é de extrema importância, especialmente no que se refere aos canais de mídia social, onde os fraudadores podem tuitar links maliciosos que, com acesso a contas autênticas, parecerão reais para os investidores.

O cofundador do PhishMe, Aaron Higbee, disse ao CoinDesk que as empresas devem "observar quem dentro da organização pode tuitar dessas contas" ou postar dessas contas, e garantir que estejam treinados para detectar possíveis tentativas de phishing.

O PhishMe fornece treinamento automatizado e contínuo para empresas que as ajudam a aumentar a conscientização sobre técnicas que os invasores usam para enganar a equipe da empresa. O treinamento, que é oferecido gratuitamente para pequenas e médias empresas, na verdade funciona dentro das caixas de entrada da equipe, enviando-lhes e-mails que devem levantar bandeiras vermelhas.

E a Metacert oferece um produto que monitora os canais internos de uma equipe continuamente e exclui mensagens maliciosas antes que alguém tenha a chance de vê-las.

Além disso, Walsh argumenta que executivos e outros indivíduos importantes de uma empresa não devem ter acesso root a nenhum dado ou sistema, já que a maioria dos invasores não só consegue encontrar informações sobre essa pessoa para fazer engenharia social nela, mas também esses executivos são vistos como de alto valor para um invasor.

A equipe de gerenciamento da comunidade também deve ser treinada sobre como identificar tentativas de phishing e que tipo de perguntas indicam que os apoiadores podem estar sendo vítimas de phishing em outro canal. Por exemplo, a Kik descobriu que os invasoresrepresentam-se como moderadoresem canais do Slack. Como tal, os moderadores genuínos devem ficar atentos a esse e outros comportamentos suspeitos.

E, por último, mas não menos importante, um emissor de ICO precisa garantir que seu host da web mantenha a segurança em mente. Isso ocorre principalmente porque os emissores de ICO escolhem seu host da web antes que o site de venda entre no ar, dando aos invasores a mesma quantidade de tempo para tentar se infiltrar no sistema para colocar uma página inicial falsa com seu próprio endereço de carteira no site quando ele entrar no ar.

Mesmo que esse grafite digital permaneça no ar por apenas 20 minutos, muito dinheiro pode ser perdido com a pressa de compra que muitos ICOs inspiram.

Destaque de segurança

Com tudo isso, os emissores de ICOs precisam começar a pensar na segurança interna desde o ONE dia, porque enquanto os fundadores dos projetos estão focados no produto, os golpistas sabem que milhões de dólares acabarão FLOW para esse produto e agirão cedo e esperarão pela chance de atacar.

Com isso em mente, os documentos devem ser destruídos para que os golpistas T possam usá-los para fazer seus ataques parecerem mais autênticos.

Além disso, todos os funcionários devem usar autenticação de dois fatores (2FA) em todos os lugares e tentar muito não usar 2FA baseado em SMS, pois é menos seguro do que usar aplicativos como Authy, 1Password ou Google Authenticator. Além disso, com qualquer dispositivo móvel usado para 2FA, precauções extras devem ser colocadas em prática para que quaisquer alterações estejam sujeitas a verificações de segurança mais altas.

Por exemplo, Walsh disse que conhece alguns projetos que KEEP um telefone descartável trancado em uma gaveta e usado apenas para 2FA.

Não apenas dispositivos móveis, mas também listas de e-mail devem ser protegidas corretamente.

Se um invasor conseguir obter a lista de pessoas que demonstraram interesse em uma ICO, o golpe terá 90% de chance de dar certo, pois esse grupo tem mais probabilidade de cair em uma tentativa de phishing, pois já está interessado e a fonte parece genuína.

Se uma empresa estiver usando um terceiro de e-mail ou boletim informativo, como MailChimp ou ConstantContact, para manter essas listas, ela deve optar pelo mais alto nível de segurança para acessar essas contas.

Walsh até acrescentou que as empresas mais atenciosas podem ir um passo além e evitar e-mails em HTML por e-mails de texto puro. Embora e-mails de texto possam perder alguma proeza de marketing, eles são mais seguros para os destinatários, pois os destinatários podem realmente ver o LINK que o e-mail pede para clicarem, enquanto os formatos HTML podem esconder links maliciosos.

Outra opção para projetos de ICO é contratar hackers "white hat" para tentar burlar os sistemas de segurança implementados pelos emissores de tokens, para que vulnerabilidades possam ser encontradas e corrigidas antes que um invasor real ataque.

Além disso, os emissores poderiam ser mais abertos com o público e potenciais investidores sobre os procedimentos de segurança que estão usando, para que os investidores possam fazer julgamentos informados sobre quais projetos desejam apoiar.

A esse respeito, MacLane Wilkinson da NuCypher disse ao CoinDesk:

"No final das contas, não há como prevenir ataques de phishing, então a coisa mais importante que você pode fazer é educar. Você precisa começar cedo explicando à sua comunidade o que são ataques de phishing e prepará-los com antecedência."

Caixa de pesca com iscasimagem via Shutterstock