Miten kryptovarkaudet estetään? Asiantuntijat kertovat

Markku Korhonen
| 4 min read

kryptovarkaudet, hakkerit kryptot
Miten kryptovarkaudet estetään, on asia, joka mietityttää varsinkin näinä päivinä, kun bitcoinin kurssi on noussut taas korkealle.

Cryptonewsin kanssa keskustelleet Raz Niv, Web3-tietoturvayhtiö Blockaidin toinen perustaja ja teknologiajohtaja, ja Kate Kurbanova, riskienhallintayritys Apostron toinen perustaja, keskustelivat kryptovarkaiden kehityksestä. Asiantuntijat puhuivat suuresta sopeutumiskyvystä, “nerokkaista” menetelmistä, joita hyökkääjät käyttävät tyhjentääkseen kryptolompakkomme, ja siitä, mitä voimme tehdä suojellaksemme omia rahojamme. Samoin tuli vinkkejä toimista, joihin voimme ryhtyä, jos joudumme varkauden uhriksi.

Kryptovarkaudet ovat jatkuva kissa ja hiiri -leikki


Blockaidin Raz Niv oli sitä mieltä, että hakkerit eivät välttämättä ole aina pari askelta tietoturvaa edellä. Pikemminkin hyökkääjät ovat erittäin sopeutuvaisia.

“Turvatoimien ja kyberuhkien välinen suhde muistuttaa enemmänkin jatkuvaa kissa-hiiri-leikkiä, erityisesti nopeasti kehittyvällä toimialallamme. Hyökkääjillä on kyky tunnistaa nykyisen infrastruktuurin haavoittuvuudet ja hyödyntää niitä omaksi hyödykseen,” Niv sanoi.

Tämä kyky näkyy hänen mukaansa hyökkäysmenetelmien kehityksessä. Se siirtyi suorista Ethereum-siirroista hyväksyntöihin, sitten offline-allekirjoituksiin ja viime aikoina pahantahtoisiin ilmapudotuksiin.

Pahat toimijat tarkkailevat tarkkaan ekosysteemin innovaatioita. Ja he sopeutuvat omaksumalla nämä innovaatiot taitavasti omia etujaan palvelevilla tavoilla.

“Alan dynaaminen luonne tarkoittaa, että teknologian kehittyessä myös turvatoimet kehittyvät uusien uhkien torjumiseksi”, Niv kuitenkin huomautti.

Apostron Kate Kurbanova totesi, että keskivertokryptokäyttäjillä on usein “valitettavaa tietämättömyyttä”. Se “johtaa usein haavoittuvuuksiin, joita huijarit käyttävät mielellään hyväkseen”.

Kurbanovan mukaan käyttäjien talouden turvallisuuden varmistamisen kannalta on tärkeää, että kryptoteollisuus levittää tietoa ja tietoisuutta siitä, miten kryptosovelluksia ladataan ja hallitaan oikein.

LueKronos Research neuvottelee miljoonia varastaneen hakkerin kanssa

OKX mainosbanneri CTA

Suosituimmat hakkeritaktiikat


On neljä “nerokasta” menetelmää, joita hakkerit käyttävät yleisesti kryptolompakoiden tyhjentämiseen, Blockaid havaitsi.

Nämä kryptovarkaudet ovat:

  • Tietokonerikolliset luovat harhaanjohtavia verkkosivustoja ja sovelluksia, jotka jäljittelevät suosittuja lompakoita varastamaan kirjautumistietoja.
  • Haittaohjelmat: hakkerit pääsevät etäkäyttöön käyttäjien omaisuuteen virusten ja troijalaisten avulla.
  • Lompakon tyhjentäjät: Tämä on uudempi uhka; haitalliset selainlaajennukset varjostavat käyttäjän toimintaa ja odottavat tilaisuutta varastaa varoja. Esimerkiksi MetaMask-laajennuksen avulla menetettiin miljoonia euroja. Niv on hiljattain käsitellyt lompakon tyhjentäjien vaaroja yksityiskohtaisemmin.
  • Sosiaalisen tekniikan salapoliisit: hakkerit tarkkailevat sosiaalista mediaa ja etsivät käyttäjiä, jotka jakavat lompakko-osoitteita tai maksutapahtumien tietoja avoimesti, hyödyntäen julkista tietoa.

Myös Kurbanova varoitti väärennetyistä verkkosivustoista. Huijarit keksivät usein alustoja, jotka peilaavat laillisia hajautetun rahoituksen (DeFi) protokollia, jotta pahaa aavistamattomat käyttäjät saisivat paljastettua arkaluonteisia tietoja tai siirrettyä arvokkaita varojaan haitallisiin osoitteisiin.

Siksi verkkosivustojen aitouden tarkistaminen ennen liiketoimiin ryhtymistä on ratkaisevan tärkeää.

Kryptovarkaudet lähtevät haitallisista tunnuksista


Niv havaitsi myös uuden hyökkäysvektorin: saapuvat haitalliset tunnukset. Nämä ovat “roskapostimaisia”, ei-uskottavia tokeneita (NFT), jotka ilmestyvät käyttäjien lompakoihin, tai satunnaisia roskapostimerkkejä, jotka saattavat näyttää samankaltaisilta kuin laillinen hanke. Nämä yrittävät kuitenkin käynnistää käyttäjien toimia, jotka lopulta saavat heidät allekirjoittamaan haitallisen transaktion.

Käytetyimmät menetelmät, lisäsi Niv, ovat saman hyökkäystyypin pesu-huuhtelu- ja toistaminen esiintymällä eri henkilöinä tai yhteisöinä, jotka toivovat huijaavansa pahaa-aavistamatonta käyttäjää.

Kurbanova varoitti lisäksi suorittamasta transaktioita julkisen Wi-Fi:n kautta tai liittämästä lompakoita julkiseen Wi-Fi-yhteyteen.

“Hakkerit voivat saastuttaa tai jopa kloonata julkisen verkon ja päästä käsiksi tietämättömien käyttäjien henkilökohtaisiin tietoihin. Käytä mobiili-internetiä, jos on aivan pakko, jotta riski minimoituu”, Hän totesi.

Samoin “älä käytä USB-portteja julkisissa tiloissa” on hyvä ohje, sillä voit joutua niin sanotun “mehuhakkeroinnin” uhriksi.

Rikolliset käyttävät vioittuneita portteja ladatakseen haittaohjelmia laitteisiin ja varastamaan henkilökohtaisia tietoja ja salasanoja.

Suojaa kryptovaluuttasi – aloituspaketti


Kryptosijoitusten haltijoina emme voi tyytyä puolittaisiin toimenpiteisiin, vaan meidän on suhtauduttava turvallisuuskäytäntöihin hyvin vakavasti, Kurbanova sanoo. Vaikka se voi tuntua pelottavalta, on olemassa joitakin yksinkertaisia perustoimenpiteitä, jotka jokaisen meistä – niin aloittelijan kuin veteraaninkin – tulisi toteuttaa.

Kurbanova varoittaa varastoimasta varoja kryptosovelluksiin ja sanoo:

“Parempi säilyttää vain sellainen määrä, jonka aiot käyttää välittömästi tai jonka sinulla on varaa menettää.”

Hänen mukaansa ihanteellisinta olisi hankkia kylmä lompakko ja erottaa kryptot useisiin eri lompakoihin, joilla on eri yksityiset avaimet.

Älä myöskään käytä sovellusta mihinkään krypto-operaatioon ennen kuin olet tehnyt perusteellisen tutkimuksen. Tarkista, milloin sovellus on ilmestynyt markkinoille, sen kehityshistoria, tiimi sen takana ja käyttäjäpalaute.

Jos jokin tulee edes lähelle rahojasi, sinun on tunnettava se hyvin.

Älä koskaan käytä samaa salasanaa useampaan – tai vielä pahempaa, kaikkiin – sovelluksiisi. Vaihda myös salasanasi säännöllisesti. “Kerran kuukaudessa pitäisi riittää”, Kurbanova neuvoi.

Käytä kaksitekijätodennusta (2FA) aina kun mahdollista. Kuten sanottu, pysy kaukana julkisista Wi-Fi- ja USB-porteista.

Varmista lopuksi, että kaikki sovelluksesi on päivitetty uusimmilla tietoturvakorjauksilla. Päivitä myös laitteesi käyttöjärjestelmä säännöllisesti.

Mitä tehdä, kun kryptovarkaus on tapahtunut?


Kurbanova varoittaa, ettei ole olemassa täysin idioottivarmoja menetelmiä hyökkäyksiltä suojautumiseen. Hyökkääjät voivat löytää keinon päästä käsiksi varoihisi.

Jos epäilet, että näin on jo tapahtunut, älä ensin hätäänny. Siirrä kaikki jäljellä olevat varat uuteen lompakkoon.

Päivitä/käynnistä sovellus uudelleen ja tarkista päivitykset asetuksista. Vaihda kaikki salasanasi ja vahvista tietoturvaa.

Tarkista lompakon verkkosivusto ja sosiaalinen media hakkerihälytysten ja turvallisuuteen liittyvien tietojen varalta.

Voit myös tarkistaa lompakot Etherscanin kaltaisen token-seurantaohjelman kautta nähdäksesi, ovatko kolikot tilillä. Jos luvattomia tapahtumia on, ilmoita niistä lompakon tarjoajalle.

Jos (joitakin) varoja puuttuu, Kurbanova ehdottaa myös, että etsitään sellaisten kyberturvayritysten palveluja, jotka ovat erikoistuneet epäilyttävien lohkoketjuosoitteiden ja transaktioiden seurantaan. Nämä voivat seurata digitaalisia varoja, hän sanoi ja lisäsi:

“On todennäköistä, että varastettujen varojen jäljet voidaan jäljittää rikollisiin ja heidän lompakkoihinsa.”

Valitettavasti, kuten tiedämme lukuisista varkaustarinoista, varojen takaisin saamisen onnistuminen vaihtelee tapauskohtaisesti – ja sinun pitäisi luultavasti antaa poliisin hoitaa homma.