对于加密货币行业来说,2017年是不平凡的一年,因为其估值的快速上涨推动它们成为主流媒体。毫不奇怪,这引起了广大公众和网络犯罪分子的极大兴趣。加密货币提供的相对匿名性使它们成为犯罪分子的最爱,这些犯罪分子经常使用它们绕过传统的银行系统并避免受到监管机构的金融监管。鉴于人们在智能手机上花费的时间比在台式机上花费的时间更多,因此网络犯罪分子也将注意力转移到了智能手机上也就不足为奇了。以下讨论重点介绍了骗子如何通过其移动设备锁定加密货币用户,以及用户可以采取的一些保护自己的步骤。
假加密货币应用
假加密货币交换应用程序
假的加密货币交换应用程序最著名的示例可能是Poloniex之一。在2018年7月推出其官方移动交易应用程序之前,Google Play已经列出了几款假冒的Poloniex交换应用程序,这些应用程序被设计为可以正常运行。许多下载了这些欺诈性应用程序的用户的Poloniex登录凭据已受到攻击,其加密货币被盗。某些应用程序甚至进一步要求用户Gmail帐户的登录凭据。重要的是要强调,只有没有两因素身份验证(2FA)的帐户才会受到威胁。以下步骤可以帮助您防止此类欺诈。- 检查交易所的官方网站,以验证他们是否确实提供了移动交易应用程序。如果是这样,请使用其网站上提供的链接。
- 阅读评论和评分。欺诈性应用程序通常会有很多不好的评论,有人抱怨被骗,因此请确保在下载前检查它们。但是,您也应该对呈现完美评分和评论的应用程序保持怀疑。任何合法的应用程序都有其应有的负面评价。
- 查看应用开发者信息。查找是否提供了合法的公司,电子邮件地址和网站。您还应该对提供的信息进行在线搜索,以查看它们是否确实与官方交易所有关。
- 检查下载次数。还应考虑下载次数。高度流行的加密货币交易所不太可能会有少量下载。
- 在您的帐户上激活2FA。尽管不是100%安全,但2FA很难绕过,即使您的登录凭据被盗,也可以在保护资金方面产生巨大的变化。
假加密货币钱包应用
假冒应用程序有很多不同的类型。一种变体试图从用户获得个人信息,例如他们的钱包密码和私钥。在某些情况下,伪造的应用程序会向用户提供以前生成的公共地址。因此,他们假定资金将被存入这些地址。但是,他们无法访问私钥,因此无法访问发送给他们的任何资金。这种假钱包是为以太坊和Neo等流行的加密货币创建的,不幸的是,许多用户损失了资金。以下是一些预防措施,可以避免成为受害者:- 以上交流应用程序部分中突出显示的注意事项同样适用。但是,在处理钱包应用程序时,您还可以采取其他预防措施,以确保首次打开应用程序时生成新的地址,并且您拥有私钥(或助记符)。合法的钱包应用程序允许您导出私钥,但是确保新密钥对的生成不受到损害也很重要。因此,您应该使用信誉良好的软件(最好是开源的)。
- 即使该应用为您提供了私钥(或种子),您也应验证是否可以从公用地址派生和访问公用地址。例如,某些比特币钱包允许用户导入其私钥或种子以可视化地址并访问资金。为了最大程度地降低密钥和种子被盗用的风险,您可以在装有气隙的计算机(与Internet断开连接)上执行此操作。
加密劫持应用
由于进入门槛低且所需的管理费用少,加密劫持已成为网络犯罪分子的最爱。此外,它为他们提供了长期经常性收入的潜力。尽管与PC相比,它们的处理能力较低,但移动设备正日益成为加密劫持的目标。除了网络浏览器密码劫持外,网络犯罪分子还开发了看起来像合法游戏,实用程序或教育应用程序的程序。但是,许多此类应用程序旨在在后台秘密运行加密挖矿脚本。也有一些广告宣传为合法的第三方矿工的加密劫持应用程序,但奖励将传递给应用程序开发人员而不是用户。更糟的是,网络犯罪分子变得越来越复杂,他们部署了轻量级的挖掘算法来避免被发现。加密劫持对您的移动设备造成极大的危害,因为它们会降低性能并加速磨损。更糟糕的是,它们可能充当更邪恶的恶意软件的特洛伊木马。可以采取以下步骤来防止它们。- 仅从官方商店下载应用程序,例如Google Play。盗版应用未经过预扫描,并且更有可能包含加密劫持脚本。
- 监控手机,以防电池电量过度消耗或过热。一旦检测到,请终止引起此问题的应用程序。
- 保持设备和应用程序更新,以便修补安全漏洞。
- 使用可防止加密劫持的网络浏览器或安装信誉良好的浏览器插件,例如MinerBlock,NoCoin和Adblock。
- 如果可能,请安装移动防病毒软件并保持更新。
免费赠品和伪造的加密矿工应用程序
这些应用程序假装为其用户挖掘加密货币,但除了展示广告外实际上没有做任何其他事情。他们通过反映用户奖励随着时间的增加而激励用户保持应用程序打开。某些应用甚至会激励用户留下5星评级以获得奖励。当然,这些应用程序实际上都没有在挖掘,他们的用户也从未获得过任何奖励。为了防止这种骗局,请理解,对于大多数加密货币而言,挖掘需要高度专业化的硬件(ASIC),这意味着在移动设备上进行挖掘是不可行的。无论您开采多少,充其量都是微不足道的。远离任何此类应用程序。快船应用
此类应用会更改您复制的加密货币地址,并将其替换为攻击者的地址。因此,虽然受害者可以复制正确的收件人地址,但他们粘贴以处理交易的收件人地址却被攻击者的地址替换。为避免成为此类应用程序的受害者,在处理交易时,您可以采取一些预防措施。- 始终仔细检查您要粘贴到“收件人”字段中的地址。区块链交易是不可逆的,因此您应始终小心。
- 最好验证整个地址,而不是仅验证部分地址。有些应用程序足够智能,可以粘贴看起来与您的预期地址相似的地址。
SIM卡交换
在SIM交换骗局中,网络犯罪分子可以访问用户的电话号码。他们通过采用社会工程学技术诱使移动电话运营商向他们发行新的SIM卡来实现这一目标。最著名的SIM交换骗局涉及加密货币企业家Michael Terpin。他声称,ATT在处理他的手机凭证方面疏忽大意,导致他丢失了价值超过2000万美元的代币。一旦网络罪犯获得了您的电话号码,他们就可以使用它绕过任何依赖该号码的2FA。从那里,他们可以进入您的加密货币钱包和交易所。网络罪犯可以采用的另一种方法是监视您的SMS通信。通信网络中的缺陷可能使犯罪分子截获您的消息,其中可能包括发给您的第二因素PIN码。使该攻击特别引起关注的是,不需要用户采取任何措施,例如下载假冒软件或单击恶意链接。为了防止成为此类骗局的牺牲品,请考虑以下步骤。- 不要将您的手机号码用于SMS 2FA。相反,请使用Google Authenticator或Authy之类的应用来保护您的帐户。网络罪犯即使拥有您的电话号码,也无法访问这些应用程序。或者,您可以使用硬件2FA,例如YubiKey或Googles Titan安全密钥。
- 不要在社交媒体上泄露个人识别信息,例如您的手机号码。网络罪犯可以获取此类信息,并利用它们在其他地方冒充您。
- 您永远不要在社交媒体上宣布您拥有加密货币,因为这会使您成为目标。或者,如果您处在每个人都已经知道您拥有他们的位置,那么请避免泄露个人信息,包括您使用的交易所或钱包。
- 与您的手机提供商进行安排,以保护您的帐户。这可能意味着在您的帐户上附加了大头针或密码,并指出只有知道该大头针的用户才能对帐户进行更改。或者,您可以要求亲自进行此类更改,并禁止通过电话进行更改。
无线上网
网络犯罪分子一直在寻找进入移动设备的切入点,尤其是那些加密货币用户。这样的入口点之一就是WiFi接入。公共WiFi不安全,用户在连接前应采取预防措施。如果没有,他们将冒着网络犯罪分子获取访问其移动设备上数据的风险。这些预防措施已在公共WiFi上的文章中进行了介绍。总结思想
手机已经成为我们生活中必不可少的一部分。实际上,它们与您的数字身份紧密相连,以至于可以成为您的最大漏洞。网络罪犯已经意识到这一点,并将继续寻找利用这一点的方法。保护移动设备不再是可选的。这已经成为一种必要。注意安全。推荐阅读: