10 روش هکرها برای سرقت ارز دیجیتال

در: 31 می 2018در: امنیت ارزهای دیجیتال

موضوع امنیت برای کاربران ارزهای دیجیتال و علاقه‌مندان این حوزه، بسیار مهم است زیرا با توجه به ویژگی‌های ارزهای دیجیتال، احتمال هک و دزدی بسیار بالاست.

اگر در یکی از سرویس‌های مرتبط با ارزهای دیجیتال مانند کیف پول‌ها کار کرده باشید، می‌دانید که اغلب اوقات نیاز است فرایند خسته‌کننده و گاهی اوقات پیچیده حفظ کردن عبارات بازیابی و کدها را طی کنید یا اینکه کد یا اطلاعاتی را برای دسترسی بعدی در جایی ذخیره نمایید. درست است که برخی کیف پول‌ها با در اختیار قراردادن کلید خصوصی به کاربران، کنترل کامل دارایی‌شان را به آنها واگذار می‌کنند ولی بهای داشتن کنترل این است که باید مسئول حفظ امنیت ارز دیجیتال‌تان باشید.

مطلب مرتبط: کلید خصوصی ارز دیجیتال چیست؟

برای دریافت بهترین محتوای مرتبط با ارزهای دیجیتال در کانال تلگرام ارز 101 عضو شوید:

عضویت در کانال ارز 101

و از آنجایی که بیشتر مردم در حوزه امنیت متخصص نیستند، بدون اینکه بدانند در معرض خطر قرار دارند و حتی بسیاری از مواقع، کارکشته‌های تکنولوژی، ابتدایی‌ترین نکات امنیتی را رعایت نمی‌کنند و این باعث تعجب است.

در دنیای ارزهای دیجیتال، حتی با داشتن یک کیف پول سخت‌افزاری معتبر که امروزه به عنوان یک استاندارد بالا شناخته می‌شود، شما همیشه در معرض ریسک هستید. زیرا بسیاری از اوقات، مشکلات در زمانی که شما قصد اتصال برقرار کردن با کیف پول‌تان را دارید به وجود می‌آیند. بنابراین چیزی که ما را در معرض ریسک قرار می‌دهد، الزاما ضعف تجهیزات یا سرویس‌هایی که با آنها سروکار دارید نیست، بلکه این نبود توجه و دقت است.

در ادامه این مطلب از بورسینس 10 حقه و روش که هکرها برای دزدیدن کلید خصوصی و موجودی ارز دیجیتال شما به کار می‌برند را بخوانید.

1 – کپی / پیست

شما وارد کیف پول‌تان می‌شوید و قصد دارید مقداری بیت‌کوین یا آلتکوین به آدرس دیگری ارسال کنید. بنابراین آدرس گیرنده را کپی کرده و در والت به عنوان گیرنده قرار می‌دهید. اما خبر ندارید که یک نرم‌افزار ساده و کوچک (مثل CryptoShuffler)، آدرس گیرنده را با آدرسی که هکر به آن داده عوض کرده است.

به عبارتی دیگر، وقتی شما آدرس گیرنده را کپی می‌کنید، نرم‌افزاری مخرب، آدرس دلخواه هکر را در حافظه موقت دستگاه شما وارد می‌کند و شما نیز بی‌خبر از این موضوع، آن آدرس را به عنوان گیرنده ارز در والت خودتان پیست می‌کنید.

واضح است که با ارسال بیت‌کوین یا هر ارز دیگری به آدرس اشتباه، دیگر امکان بازگشت آن وجود نخواهد داشت.

راهکار 1 : گرچه سخت است ولی آدرس را بعد از اینکه در محل گیرنده وارد کردید، مجددا کاراکتر به کاراکتر بررسی کنید. یا اینکه از یک اسکنر QR code برای اسکن کردن آدرس‌ها بهره بگیرید.

راهکار 2 : هیچ نرم‌افزار مشکوک، اپلیکیشن یا برنامه‌ای که به آن اطمینان ندارید را روی سیستم نصب نکنید. بطور مرتب سیستم‌تان را از طریق آنتی‌ویروس‌های آپدیت شده، اسکن نمایید.

2 – اپلیکیشن‌های قلابی

هکرها می‌توانند اپلیکیشن‌هایی را به عنوان اپلیکیشن رسمی یک سرویس مشهور جا بزنند. مخصوصا اپلیکیشن‌هایی مشابه اپلیکیشن‌های صرافی‌های مختلف، می‌تواند توسط هکرها به قصد دزدیدن ارز دیجیتال شما ساخته شود.
وقتی شما این اپلیکیشن قلابی را نصب نموده و ارز دیجیتال‌تان را وارد آن می‌نمایید، در واقع موجودی‌تان را دو دستی تقدیم هکر کرده‌اید.

سیستم عامل اندروید در این زمینه آسیب‌پذیرتر از IOS است و باید در مورد منبع و معتبربودن برنامه‌هایی که نصب می‌کنید کاملا آگاهی یابید.

راهکار 1 : ساده است، هیچ‌گاه موبایل‌تان را بدون قفل اثر انگشت، پین‌کد یا تشخیص چهره باز نگذارید. حتما ورود دو مرحله‌ای را برای اپلیکیشن‌های کیف پول و صرافی‌ها فعال کنید.

راهکار 2 : فقط اپلیکیشن‌هایی که اطمینان دارید اپلیکیشن رسمی و معتبر سرویس مربوطه است را روی موبایل نصب کنید. هر از گاهی، اپلیکیشن‌های قدیمی و فایل‌های زائد را از گوشی‌تان پاک کنید.

3 – اکستنشن‌های مرورگر

برخی از اکستنشن‌ها در مرورگر کروم یا فایرفاکس مدعی هستند که می‌توانند تجربه کاربری بهتری در پلتفرم‌های معاملاتی برای شما فراهم کنند. اما احتمال این وجود دارد که این افزونه‌های مرورگر، همه اطلاعاتی که در آن سایت‌ها ثبت می‌کنید را ذخیره کرده و به آن دسترسی یابند.

راهکار 1 : هیچ افزونه‌ای روی مروگرتان نصب نکنید. برای دسترسی به سایت‌های مهم، مرورگر را در “حالت خصوصی” باز نمایید.
(برای اینکار در مرورگر فایرفاکس در منوی File گزینه New Private Window و در مروگر کروم New Incognito Window را بزنید)

راهکار 2 : از یک مروگر جداگانه برای کارهای حساسی مانند دسترسی به صرافی‌ها و کیف پول استفاده کنید. مرورگر Brave یکی از بهترین گزینه‌ها برای اینکار است.

4 – سایت‌های فیک

شما در نوار آدرس مرورگرتان شروع به تایپ آدرس سایت موردنظر را می‌کنید ولی چون مرورگر یا سیستم شما هک شده، آدرس سایتی مشابه بطور خودکار وارد می‌شود و شما به آن سایت مشابه ولی قلابی هدایت می‌شوید.
سایت قلابی، دقیقا همانند سایت اصلی است با این تفاوت که وقتی اطلاعات را درون آن وارد کردید، این اطلاعات در اختیار هکر قرار گرفته و موجودی حساب شما به سرقت می‌رود.

راهکار: حتما به وجود https سبز رنگ در ابتدای آدرس + معتبر بودن آدرس سایت دقت کنید.

5 – تبلیغات گوگلی قلابی

این نیز یک تکنیک شناخته شده است که هکرها از آن برای دزدیدن اطلاعات افراد استفاده می‌کنند.
شما با سرچ در گوگل به دنبال یک سایت هستید، ولی روی لینکی کلیک می‌کنید که توسط هکرها ایجاد شده و یک تبلیغ گوگلی است و لینک آن طوری ایجاد شده تا بسیار شبیه لینک سایت اصلی باشد.
با این ترفند شما وارد سایتی قلابی با ظاهر کاملا مشابه سایت اصلی می‌شوید و اطلاعات شما به سرقت می‌رود.

راهکار: تنها راهکار، بررسی دقیق لینکی است که در تبلیغات گوگل روی آن کلیک می‌کنید.

6 – حساب‌های قلابی در شبکه‌های اجتماعی

فقط صفحاتی در شبکه‌های اجتماعی را دنبال کنید که در سایت رسمی آن سرویس، اعلام و تایید شده است.

به هیچ منبع دیگری اعتماد نکنید، حتی توصیه‌هایی که توسط الگوریتم خودکار توئیتر یا فیسبوک و اینستاگرام داده می‌شود قابل اعتماد نیست و ممکن است صفحات فیک و قلابی را به شما نمایش دهد.

بهترین راهکار این است که فقط با کلیک روی لینک شبکه‌های اجتماعی که در سایت سرویس مربوطه معرفی شده، صفحات آنها را در شبکه‌های اجتماعی بیابید.

7 – ورود دو مرحله‌ای با موبایل

این یک مشکل بسیار شناخته‌شده است. برخی از سرویس‌ها از شما می‌خواهد شماره موبایل‌تان را برای ارسال کد تایید دومرحله‌ای در اختیارشان بگذارید اما برخی از هکرها با مهارتی که در فریب دادن تیم پشتیبانی اپراتور موبایل دارند، کد تایید را بدست می‌آورند و به حساب شما دسترسی پیدا می‌کنند.

راهکار: حتی‌الامکان از ورود دو مرحله‌ای از طریق موبایل استفاده نکنید و از برنامه‌هایی نظیر اپلیکیشن Google authenticator بهره بگیرید. یا اگر از موبایل برای ورود دو مرحله‌ای استفاده می‌کنید شماره‌ای مخصوص همینکار داشته باشید.

8 – ایمیل‌های فیشینگ

نمونه ایمیل فیشینگ

شما از یک سرویس شناخته شده که در عضو هستید ایمیلی دریافت می‌کنید که از همان طراحی، قالب و متن استفاده می‌کند و از شما خواسته می‌شود روی لینکی کلیک کنید. ولی در واقع این ایمیل یک ایمیل قلابی و ارسال شده توسط یک هکر است که سعی دارد با ترغیب شما برای کلیک روی یک لینک، شما را وارد سایتی قلابی کند یا بدافزاری روی سیستم شما نصب نماید.

راهکار 1: هرگز ایمیل‌هایی که فرستنده آنرا نمی‌شناسید باز نکنید.

راهکار 2: کورکورانه روی هر لینکی کلیک نکنید. اگر شک داشتید که ایمیل از سمت سایت رسمی ارسال شده یا نه، لینک ارسالی را با دقت بررسی نمایید. البته ممکن است هکر برای مخفی کردن لینک، آدرسی طولانی روی آن قرار دهد، در اینجور مواقع می‌توانید از سرویس‌هایی که ریدایرکت لینک را بررسی می‌کنند (مانند این سایت http://www.redirect-checker.org) کمک بگیرید و ببینید لینک به کجا هدایت می‌شود.

9 – هک وای‌فای

شاید خیلی جاها شنیده باشید که پروتکل امنیتی طراحی شده برای بسیاری از روترهای وای‌فای در معرض خطر است. با حمله موسوم به “krack attack” هرکسی می‌تواند داده‌های رد و بدل شده در شبکه وای‌فای که به آن وصل هستید را بدست آورد.

بنابراین وقتی به یک وای‌فای عمومی مثلا در فرودگاه یا کافی‌شاپ نیز متصل می‌شوید، مشکلی مشابه وجود خواهد داشت.

راهکار 1 : اطمینان حاصل کنید روتر شما آسیب‌پذیر نیست، آپدیت‌های آنرا بررسی و نصب کنید و هرگز زمانی که به یک وای‌فای عمومی وصل هستید وارد کیف پول و حساب‌های کاربری‌تان نشوید.

10 – توکن رایگان

به توزیع رایگان توکن یک ارز دیجیتال، ایر دراپ (Airdrop) گفته می‌شود و به دلیل جذابیتی که برای کاربران دارد، هکرها از این حقه برای بدست آوردن اطلاعات اشخاص استفاده می‌کنند.

بنابراین به هر پیغامی که مبتنی بر دریافت توکن رایگان بود توجه نکنید. اگر به دریافت توکن رایگان علاقه‌مندید فقط از طریق منابع معتبر و با احتیاط کامل کار کنید.

اگر شما نیز ترفندهای بیشتری از هکرها می‌شناسید که توجه کردن به آنها می‌تواند مانع از به سرقت رفتن ارز دیجیتال شود در بخش دیدگاه بنویسید.

پی‌نوشت: اگر مایلید درباره سرمایه‌گذاری در ارزهای دیجیتال بیشتر بدانید این راهنما را بخوانید