Як ICO можуть захистити покупців від фішингових атак

Початкові пропозиції монет (ICO) були таким же благом для шахраїв, як і для інвесторів.

Як по маслу, після оголошення гучного ICO кіберзлочинці вигадують схему, щоб обманом змусити схвильованих роздрібних інвесторів надіслати їхні ефіри чи Bitcoin на фальшиву адресу. Індустрія переважно реагує на фішингові атаки, звертаючись до соціальних мереж, щоб висловити своє розчарування через те, скільки певної Криптовалюта вони втратили.

І оскільки галузь є такою новою та непрозорою, а омана окремих людей робить людей колективно довірливими, випадків успішного шахрайства навряд чи поменшає.

Крім того, оскільки все більше і більше продажів токенів обмежують кількість людей, які можуть інвестувати в публічні продажі, прихильники прагнуть знайти бекдори в ICO, що може поставити їх під загрозу не продумати пропозицію.

«Якщо ви розраховуєте на гучну кампанію, ви повинні розраховувати на те, що станете мішенню», — сказав Пол Уолш, генеральний директор компанії Metacert, яка пропонує безкоштовне розширення Chrome, яке інвестори ICO можуть використовувати, щоб захистити себе.

Насправді NuCypher, проект повторного шифрування проксі-серверів, який нещодавно також запустив ICO, що викликало інтерес у багатьох інвесторів, мав справу з неодноразовими спробами фішингу. І щоразу, коли компанія виявляє фішингову кампанію, вона попереджає свою спільноту, на що слід звернути увагу, через свій список розсилки.

Остання атака потрапила на Slack у повідомленнях, доставлених через slackbots, із зазначенням адреси Ethereum , на яку (імовірно) надсилаються кошти Ethereum в обмін на токени NuCypher . У своїй відповіді NuCypher нагадав інвесторам, що ніколи не використовуватиме Slack для Request інвестицій.

Тим не менш, деякі люди обпеклися, і разом з цим більша Крипто страждає щоразу, коли фішинг вдається.

Уолш сказав CoinDesk:

«Як тільки [інвестори] обпалять пальці, вони, швидше за все, скажуть людям: T робіть цього. Тоді менше людей збираються інвестувати в Криптовалюта».

Щоб усунути цю проблему, NuCypher застосував підхід, який зосереджується на комунікації та освіті, на якому могли б Навчання багато інших емітентів ICO та інвестори, зацікавлені в цих раундах.

Але це T єдиний спосіб убезпечитися на такому дикому ринку. Інвестори можуть багато чого зробити, щоб захистити себе, але насправді ONE не може зробити стільки, скільки команда, яка проводить ICO.

Відверта розмова

Мабуть, найважливішою стратегією для емітентів є акцентування лише на ONE каналі комунікації, де відбуватимуться новини про продажі.

Коли постачальник додатків для обміну повідомленнями Kik запустив Kin, наприклад, компанію дав зрозуміти що вся інформація про купівлю його токенів буде на і тільки на його сайті продажу токенів. Навіть якщо Kik надсилав оновлення електронною поштою або через соціальний канал, оновлення завжди повертало читачів на сайт, щоб дізнатися, як вжити заходів.

Це особливо вигідний підхід, оскільки якщо критична інформація, наприклад адреси гаманців, транслюється через веб-сайт, шахраю набагато важче змінити веб-сайт, ніж надіслати переконливий електронний лист.

Мало того, підприємці та компанії, які планують або, за чутками, проводять продажі токенів, повинні якнайшвидше оприлюднити свої наміри.

Проблеми з невідкритістю відображаються разом із ICO Telegram. Оскільки компанія мобільного обміну повідомленнями майже не спілкувалася з громадськістю про ICO, шахраї можуть скористатися цією прогалиною в знаннях і створити підроблені сайти, які вдають, що пропонують токени.

Наприклад, інвестори звернулися до Twitter, щоб поскаржитися на те, що їх обдурили підроблені сайти токенів Telegram; ONE незадоволена особа твітнув що він розмістив чотири ефіри на сайті, сподіваючись купити токени Telegram.

Генеральний директор Telegram відповів на кілька запитань про конкретні URL-адреси, і компанія створила канал Telegram для повідомлення про шахрайські сайти, але було б набагато краще просто розповісти про те, що відбувається.

Ще одна сфера, де емітенти можуть зменшити ймовірність шахрайства, полягає в маркетингу, зменшивши терміновість дзвінків для купівлі токенів, хоча багатьом це може здатися нелогічним.

Коли команда маркетингу оголошує, що будуть короткі періоди спеціальних знижок, це ставить групу потенційних інвесторів у хвилю. Вони знають, що ці речі швидко розкуповуються, тому їм потрібно діяти швидко, якщо вони хочуть увійти. Таким чином, інвесторів можуть обманом змусити перейти за фальшивими посиланнями, оскільки вони діють, перш ніж все обміркувати.

Щодо теми Волш сказав:

«Приємно викликати ентузіазм навколо того, що ви збираєтеся запускати, але ці команди повинні бути більш уважними».

Однак перш за все компанії, які проводять ICO, повинні бути однозначними щодо того, як вони спілкуватимуться, щоб підписники знали, що все, що T Соціальні мережі цьому формату, є фіктивним.

Зміцнити персонал

У наш час багато хакерів здійснюються за допомогою соціальної інженерії, а не кодування за допомогою маски та кинджала.

Обманом змусити співробітників розкрити важливу інформацію або з’ясувати, як імітувати справжніх співробітників, є двома способами, якими зловмисники досягли успіху у своїх шахрайствах.

Таким чином, емітенти повинні KEEP , що захист внутрішньої команди від фішингу є надзвичайно важливим, особливо якщо це стосується каналів соціальних мереж, де шахраї можуть розміщувати у Twitter шкідливі посилання, які, маючи доступ до справжніх облікових записів, виглядатимуть справжньою справою для інвесторів.

Співзасновник PhishMe Аарон Хігбі сказав CoinDesk , що компаніям слід «дивитися, хто всередині організації може твітнути з цих облікових записів» або іншим чином публікувати з цих облікових записів, і переконатися, що вони навчені виявляти можливі спроби фішингу.

PhishMe забезпечує автоматизоване постійне навчання для компаній, яке допомагає їм підвищити обізнаність про методи, які використовують зловмисники, щоб обдурити персонал компанії. Навчання, яке пропонується безкоштовно для малого та середнього бізнесу, фактично працює в папках вхідних повідомлень співробітників, надсилаючи їм електронні листи, які повинні викликати тривогу.

А Metacert пропонує продукт, який постійно відстежує внутрішні канали команди та видаляє зловмисні повідомлення, перш ніж хтось матиме шанс їх побачити.

Крім того, Уолш стверджує, що керівники та інші високопоставлені особи у фірмі не повинні мати кореневий доступ до будь-яких даних або систем, оскільки більшість зловмисників можуть не тільки знайти інформацію про цю особу для соціальної інженерії, але й ці керівники вважаються дуже цінними для зловмисників.

Керівницький персонал спільноти також має бути навчений тому, як виявляти спроби фішингу та які запитання вказують на те, що прихильники можуть отримувати фішинг на іншому каналі. Наприклад, Кік виявив, що нападники представляють себе модераторами у каналах Slack. Таким чином, справжні модератори повинні стежити за цією та іншою підозрілою поведінкою.

І, останнє, але не менш важливе, емітент ICO повинен переконатися, що їхній веб-хостинг приділяє особливу увагу безпеці. Це в першу чергу тому, що емітенти ICO вибирають свій веб-хост до того, як сайт продажу буде запущено, даючи зловмисникам стільки ж часу, щоб спробувати проникнути в систему, щоб розмістити підроблену першу сторінку з адресою свого гаманця на сайті, коли він запрацює.

Навіть якщо такі цифрові графіті протримаються лише 20 хвилин, можна втратити багато грошей через поспішну купівлю, яку надихають багато ICO.

Прожектор безпеки

З огляду на все це, емітенти ICO повинні почати думати про внутрішню безпеку з ONE дня, тому що, поки засновники проектів зосереджені на продукті, шахраї знають, що мільйони доларів врешті-решт FLOW на цей продукт і перейдуть раніше та чекають свого шансу вразити.

Пам’ятаючи про це, документи слід подрібнювати, щоб шахраї T могли використовувати їх, щоб зробити свої атаки більш достовірними.

Крім того, усі співробітники повинні всюди використовувати двофакторну автентифікацію (2FA) і дуже старатися не використовувати 2FA на основі SMS, оскільки вона менш безпечна, ніж використання таких програм, як Authy, 1Password або Google Authenticator. Крім того, з будь-яким мобільним пристроєм, який використовується для 2FA, слід вжити додаткових заходів безпеки, щоб будь-які зміни підлягали перевірці безпеки.

Наприклад, Уолш сказав, що він знає про деякі проекти, які KEEP телефон-записувач замкненим у ящику та використовують виключно для 2FA.

Не тільки мобільні пристрої, а й списки адрес електронної пошти повинні бути належним чином захищені.

Якщо зловмиснику вдається заволодіти списком людей, які виявили інтерес до ICO, шахрайство становить 90 відсотків шляху до успіху, оскільки ця група найімовірніше попадеться на спробу фішингу, оскільки вона вже зацікавлена, а джерело здається справжнім.

Якщо компанія використовує електронну пошту чи інформаційний бюлетень третьої сторони, як-от MailChimp або ConstantContact, для ведення таких списків, їй слід вибрати найвищий рівень безпеки для доступу до цих облікових записів.

Уолш навіть додав, що найрозважливіші компанії можуть піти далі й уникати електронних листів HTML замість електронних листів із чистим текстом. Хоча текстові електронні листи можуть втратити певну маркетингову майстерність, вони безпечніші для одержувачів, оскільки одержувачі можуть побачити LINK просять натиснути в електронному листі, тоді як формати HTML можуть приховувати шкідливі посилання.

Іншим варіантом для проектів ICO є наймання хакерів із "білими капелюхами", щоб спробувати перемогти емітентів токенів систем безпеки, щоб можна було знайти та усунути вразливості до того, як справжній зловмисник завдасть удару.

Крім того, емітенти могли б бути більш відкритими з громадськістю та потенційними інвесторами щодо процедур безпеки, які вони використовують, щоб інвестори могли робити обґрунтовані судження про те, які проекти вони хочуть підтримати.

З цього приводу Маклейн Вілкінсон з NuCypher сказав CoinDesk:

«Зрештою, немає жодного способу запобігти фішинговим атакам, тому найважливіше, що ви можете зробити, — це навчання. Вам потрібно почати завчасно, пояснивши своїй спільноті, що таке фішингові атаки, і підготувавшись до них заздалегідь».

Ящик для снастей з приманками зображення через Shutterstock