Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 17. februar 2022 | Emne: Sikkerhed
Microsoft har advaret om nye trusler, der påvirker blockchain-teknologier og web3, herunder “ice phishing”-kampagner.
Blockchain, decentraliserede teknologier, DeFi, smarte kontrakter, udforskning af begrebet 'metaverse' og web3 – det decentraliserede fundament bygget oven på kryptografiske systemer, der ligger til grund for blockchain-projekter – forfølges alt sammen i, hvad der kunne være radikale ændringer i, hvordan vi forstår og oplever forbindelse i dag.
Læs videre: Hvad er web3? Alt, hvad du behøver at vide om internettets decentraliserede fremtid
Men enhver teknologisk innovation kan der også være nye veje skabt for cyberangribere, og web3 er ingen undtagelse.
Dagens mest almindelige trusler omfatter massespam og phishing udført via e-mail og sociale medieplatforme, social engineering og sårbarhedsudnyttelse.
Den 16. februar sagde Microsoft 365 Defender Research Team, at især phishing har fundet vej over til blockchain, depotpunge og smarte kontrakter – “bekræfter holdbarheden af disse trusler såvel som behovet for grundlæggende sikkerhedsgrundlag. indbygget i relaterede fremtidige systemer og rammer.”
Microsofts cybersikkerhedsforskere siger, at phishing-angreb fokuseret på web3 og blockchain kan antage forskellige former.
En af truslerne, man skal holde øje med, er en angriber, der forsøger at få fat i de private, kryptografiske nøgler for at få adgang til en pung, der indeholder digitale aktiver.
Mens e-mailede phishingforsøg forekommer, er svindel på sociale medier udbredt. For eksempel kan fupkunstnere sende direkte beskeder til brugere, der offentligt beder om hjælp fra en kryptovalutatjeneste – og mens de foregiver at være fra et supportteam, beder de om nøglen.
En anden taktik er ved at lancere falske airdrops for gratis tokens på sociale mediesider, og når brugere forsøger at få adgang til deres nye aktiver, bliver de omdirigeret til ondsindede domæner, der enten forsøger at stjæle legitimationsoplysninger eller udfører cryptojacking malware-nyttelast på et offers maskine.
Derudover er cyberkriminelle kendt for at udføre typo-squatting for at efterligne legitime blockchain- og cryptocurrency-tjenester. De registrerer webstedsdomæner, der indeholder små fejl eller ændringer – såsom cryptocurency.com i stedet for cryptocurrency.com – og opretter phishing-websteder til at stjæle nøgler direkte.
Is-phishing er anderledes og ignorerer private nøgler fuldstændigt. Denne angrebsmetode forsøger at narre et offer til at underskrive en transaktion, der overdrager godkendelsen af en brugers tokens til en kriminel.
Sådanne transaktioner kan bruges i DeFi-miljøer og smarte kontrakter for at tillade, at en token-swap finder sted, for eksempel.
Microsoft
“Når godkendelsestransaktionen er blevet underskrevet, indsendt og udvundet, kan brugeren få adgang til midlerne,” bemærkede Microsoft. “I tilfælde af et 'ice phishing'-angreb kan angriberen akkumulere godkendelser over en periode og derefter dræne alle ofrets punge hurtigt.”
Det mest højprofilerede eksempel på ice phishing er sidste års BadgerDAO kompromis. Angribere var i stand til at kompromittere front-end af BadgerDAO for at få adgang til en Cloudflare API-nøgle, og ondsindede scripts blev derefter injiceret – og fjernet – fra Badger smart-kontrakten.
Kunder med høje saldi blev udvalgt, og de blev bedt om at underskrive svigagtige transaktionsgodkendelser. BadgerDAO sagde i en obduktion af phishing-angrebet, at “scriptet opsnappede web3-transaktioner og fik brugerne til at tillade en udenlandsk adressegodkendelse til at operere på ERC-20-tokens i deres tegnebog.”
“Efter at have phishet en række godkendelser, sendte en finansieringskonto 8 ETH til udnytterens konto for at sætte gang i en række transferFrom-opkald på brugernes godkendte tokens,” sagde BadgerDAO. “Dette gjorde det muligt for angriberen at flytte midler på vegne af brugerne til andre konti, som derefter likviderede midlerne og forlod via Badger Bridge til BTC.”
Omkring 121 millioner dollars blev stjålet. En revisions- og genopretningsplan er i gang.
“Badger DAO-angrebet fremhæver behovet for at indbygge sikkerhed i web3, mens det er i de tidlige stadier af udvikling og adoption,” siger Microsoft. “På et højt niveau anbefaler vi, at softwareudviklere øger sikkerhedsanvendeligheden af web3. I mellemtiden skal slutbrugere eksplicit verificere information gennem yderligere ressourcer, såsom gennemgang af projektets dokumentation og eksterne omdømme/informationswebsteder.”
Tidligere og relateret dækning
Hvad er phishing? Alt hvad du behøver at vide for at beskytte dig selv mod svindel-e-mails og mere
Microsoft advarer om dette phishing-angreb, der ønsker at læse dine e-mails
Dette phishing-angreb bruger et usædvanligt trick til at sprede sig videre
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre