Kraken警告称,犯罪分子正在利用现场加密货币活动发起网络钓鱼活动和冒充诈骗。
到目前为止,加密货币正在成为主流,并随之成为更大的目标,这已经不是什么秘密了。从迪拜的天际线到新加坡的高科技大厅,加密货币会议的规模和范围都呈爆炸式增长。但在面板和投球中,Kraken的首席安全官尼克·佩尔科科警告说,一种令人不安的模式:该空间中的人们可能会在他们应该更加警惕的时刻放松警惕。
佩尔科科在一篇博客文章中写道:“加密货币会议上的个人安全卫生已经退居次席。”他在Kraken的团队一直在悄悄观察--他们所看到的很难忽视。
在最近的活动中,Kraken的工作人员发现无人看管的笔记本电脑在博览会桌子上打开了钱包,手机里嗡嗡作响,而主人则在附近聊天。“如果你使用加密货币,你的数字设备不仅仅是手机或笔记本电脑,”佩尔科科提醒道,并补充说“它是一个金库。”
在crypto.news的一篇评论中,Percoco解释说,网络钓鱼仍然是会议上最流行、最有效的骗局--不是因为它技术复杂,而是因为它很容易融入其中。他说:“这些事件的性质--包括不断的联网、二维码扫描和信息共享--为骗子们以最小的努力融入并发动攻击创造了理想的条件。”
“通过利用常见的会议行为,攻击者可以轻松地在专业跟进的幌子下分发恶意链接或虚假的日程安排邀请。这是一种低摩擦的策略,不需要太多的技术复杂性,但如果成功,可以获得显著的访问和经济回报。”
尼克·佩尔科科
会议现已成为热门目标
加密货币会议一直是社交中心,但现在它们也是无人看守的情报金矿。佩尔科科分享了一个场景:一群参加会议的人在公共人行道上公开讨论高价值的交易--挂绳上清晰地显示着他们的名字和公司。
即使你认为没有人在听,也可能有人在听。公共Wi-Fi或QR码很容易被劫持。帕可可说这不是妄想症-这是模式识别。建议:使用最少资金的一次性钱包,并且永远不要扫描无法验证的二维码。
“不良行为者只需更换一个贴纸,就可以用假二维码替换营销材料上的合法二维码,从而使数十名(甚至数百名)参与者面临风险。”
尼克·佩尔科科
这些威胁不再是理论上的。在法国,一系列针对加密货币专业人士的暴力袭击凸显了在这个领域过于引人注目的真正危险。
今年一月,以安全加密钱包而闻名的Ledger公司的联合创始人大卫·巴兰(David Balland)在家中被持枪绑架。绑架者砍断了他的手指,并将其寄给了他的商业伙伴作为证据,要求支付1000万欧元的加密赎金。他的妻子后来被发现被绑在一辆汽车的后备箱里。两人都活了下来,但这场磨难让社区感到震惊。
袭击者?年轻、有组织、精通技术,据报道熟悉Balland的控股和业务关系。
这并不是一个孤立的案例。法国发生的其他攻击也针对加密货币持有者,有时甚至对他们的家人构成威胁。这些不是网络诈骗。这些都是身体上的、故意的绑架。旧的“不要告诉人们你在加密货币”规则变得更加字面意思。
基本错误,重大后果
佩尔科科最担心的不一定是复杂的黑客攻击。这是基本的情景意识。加密货币爱好者知道如何使用冷藏。但当谈到不要将MacBook Pro解锁放在拥挤的房间里时呢?显然没有那么多。
“在当今高风险的环境中,加密货币自满不仅是个人风险,也是对我们更广泛运动的威胁。”
尼克·佩尔科科
这种情绪呼应了a16 z加密货币几个月甚至几年来一直在告诉其社区的话:在web 3中,边界就是你。数据泄露--甚至是您的电话号码--都可能演变成全面的身份盗窃。
a16 z加密货币安全工程师马特·格里森(Matt Gleason)在一篇博客文章中写道,攻击者收集的每一条信息都“让他们更容易、更有可能获得更多信息”。一旦您的个人数据泄露,这就是一场等待游戏。格里森建议冻结信用局的信用,使用YubiKey等硬件密钥启用多因素身份验证,并锁定Face ID背后的敏感应用程序。移动运营商的SIM卡保护也是必须的。
最重要的是,格里森建议重新考虑密码。使用管理器、创建金库并且不要重复使用密码。并注意是否有危险信号,例如未经请求的电话或意外的登录通知。我们的目标不仅仅是做出反应--而是让自己成为一个更难对付的目标。
可能需要文化转变
回到会议现场,佩尔科科敦促与会者采取更具安全意识的心态。他特别强调了验证身份、避免在公共区域进行敏感讨论、密切关注个人物品以及避开免费充电站的重要性,这些充电站可能会通过一种称为“果汁劫持”的方法安装恶意软件。
佩尔科科表示,攻击者并不是随机行动的。他们经常评估挂带上的名称和公司附属机构等可见细节,以快速识别高价值目标,例如开发人员、ASO贡献者或初创团队。一旦选择目标,他们可能会收到伪装成日历邀请或Zoom电话的网络钓鱼链接,旨在在受害者的设备上建立立足点。正如佩尔科科所说,第一步“可能是破解设备并从那里横向移动所需的全部步骤”。
这与偏执无关。这是为了赶上现实。随着加密货币行业获得合法性,它的敌人也在不断增加--从国家支持的黑客到机会主义犯罪分子。安全文化必须随之发展。
佩尔科科还认为,没有灵丹妙药可以完全消除行业活动中的诈骗者。但他指出,会议已经出于合法的后勤目的收集了大量与会者数据,包括姓名、电子邮件和电话号码。他补充说,在错误的情况下,相同的数据“可能会在正确的情况下被恶意行为者利用”。
A16 z加密货币强调网络安全“不再是可选的”,并补充说它已成为“必需品”。
