Опасный AirDrop и письма-ловушки
Airdrop и фишинг.
Что такое AirDrop? Это бесплатная раздача токенов, которые начисляют владельцам известных криптовалют.
К примеру, у вас на кошельке MEW хранится 10 ETH, тогда вам пообещают прислать по 100 новых токенов. На этот же кошелек. Просто так.
Объяснение такой щедрости: разработчики нового токена хотят распределить свою криптовалюту среди максимального числа людей, которые уже в теме (завели кошельки, купили эфир).
На этой волне и становится популярной новая схема фишинга (воровства конфиденциальных данных): вам прилетает электронное письмо, в котором есть приглашение участвовать в AirDrop.
Проблема в том, что airdrop – это распространённая (легальная) практика раздачи новых монет. В ней нет ничего опасного, многие криптовалюты (Bitcoin Gold в том числе) именно так и распределялись. Поэтому люди теряют бдительность.
Фишинг в такой ситуации маскируется под airdrop: вы сами выдаёте секретные данные мошенникам (адрес кошелька, пароль к нему, приватные ключи, количество монет на балансе).
Откровенно говоря, уже то, что вы оставляете свой контактный email в связке с публичным адресом кошелька (который любой может проверить через etherscan) – начало угрозы. А ведь именно этого и добиваются организаторы любого Airdrop (теперь вам придётся жить с этим откровением).
Airdrop или обман?
Посмотрим конкретную историю.
Вчера я получил интересное письмо-ловушку. Вот его содержание:
Raiden Network Update: Airdrop.
At Raiden, we believe that tokens are most useful when they are as widely distributed as possible. In the case of scalable token transfers network, a wide distribution is also critically important for the network security.
In RDN’s case, 7% of the total supply was allocated to be distributed by an airdrop.
That is, every address on the Ethereum blockchain can receive a share of this 7% that is proportionate to their share of ETH or RDN.
For every 1 ETH on your wallet balance, you can receive proportionate 31 RDN.
For every 1 RDN on your wallet balance, you can receive 0.3 RDN.
Check your RDN airdrop allocation and claim your RDN: https://raiden-network.com/airdrop/
Read our full statement to learn more about the airdrop:https://raiden-network.com/blog/airdrop/
Пришло с email вида [email protected]. Я действительно участвовал в покупке токенов Raiden, у меня на кошельке есть RDN и ETH. Поэтому первый слой защиты скам преодолевает легко.
Если бы я не работал с Raiden, то спокойно удалил бы нахальное письмо. Но я в теме, слежу за токеном и держу его в портфеле. Мне сложно игнорировать такой подарок…
Проверяем Airdrop на развод.
Как проявить бдительность и разглядеть вовремя подставу?
1. Проверьте ссылку из письма (якобы ведущую на официальный сайт Raiden Network) в браузере Chrome, где заранее установлены плагины MetaMask и EAL.
Разумеется, они тут же выдадут, что сайт из письма – типичный фишинг, который хочет украсть ваши данные.
Внимание: сам факт, что плагины не заметили фишинга, не гарантирует безопасность! Вы могли столкнуться с новым сайтом, которого пока ещё нет в базе Chrome EAL и MetaMask. Поэтому не расслабляемся и продолжаем проверку.
Или, предположим, у вас нет под рукой браузера Chrome с плагинами. Компьютер не ваш, вы просматриваете почту на смартфоне и действуют другие обстоятельства, которые оставляют вас беззащитным против подобных ловушек.
Тогда переходим ко второму шагу проверки Airdrop.
2. Нужно выяснить, какой настоящий адрес разработчика криптовалюты.
Можно через Google, либо через другой авторитетный сайт.
Бывает, что из-за спама и рекламы, в Google на первых строчках посторонние сайты или блоги, которые не проясняют ситуацию. Тогда я иду на Coinmarketcap – выбираю профиль криптовалюты Raiden и вижу ссылку на официальный сайт – https://raiden.network/
Сравним-ка с тем, куда ведёт ссылка из подозрительного, но такого вкусного письма?
За время работы с криптовалютами я заметил, что это обычная практика: мошенники регистрируют очень похожие адреса. Если у оригинала адрес вида token.network, то сайт-ловушка будет расположен по адресу вида token-network.io (а домен .com – вообще даёт супер-кредит доверия).
Случайный посетитель, пришедший по ссылке из письма с предложением халявы, вряд ли будет настолько внимателен. Да и кто помнит наизусть официальный адрес?
На что надеется такой халявщик?
Что узнает сайт-подделку. Но по факту, это очень сложный этап.
Ведь скопировать официальный сайт 1-в-1 проще всего.
Невооружённым взглядом разницу заметить практически невозможно.
Как защититься от фишинга?
Использовать плагины и ручную проверку адреса.
Помните: раздача токенов всегда санкционирована на официальном сайте. Разработчики хотят получить максимальный выхлоп с такой акции, поэтому они приложат максимум усилий (задействуют сайт, корпоративные блоги, официальные аккаунты в социальных сетях).
Разумеется, вы услышите про Airdrop и из других источников, telegram-каналов и чатов. Не волнуйтесь, значимые события от серьёзных криптовалют не пропустите (если вы подписаны на 5-7 хороших источников).
А вот бежать впереди паровоза, спешить быстрее всех записаться на Airdrop (и потому не искать внешних подтверждений) – всегда чревато ошибками и рисками. Именно на такую спешку и жадность рассчитывают мошенники от фишинга.
Чем опасен фишинг на Airdrop?
Давайте посмотрим на форму, через которую можно записаться на бесплатную раздачу токенов (именно она была на поддельном сайте).
Это самый распространённый вариант. Что в ней опасного?
У вас просто попросили публичный адрес Ethereum кошелька (например, MyEtherWallet) – ничего криминального, в airdrop без него никак.
Затем спрашивают, сколько криптовалюты на этом кошельке. Логично: им же нужно посчитать, какое количество бесплатных монет засылать такому счастливчику, как вы.
Ну и баланс кошелька в Raiden токенах. Справедливый вопрос – они продвигают свои токены, имеют право знать, сколько их у вас (и нужно ли вас поощрять новой порцией халявы).
Всё понятно и честно. В чем подвох? Где утечка?
А её здесь нет. Но только пока.
Стоит вам заполнить безобидную форму, нажать Continue (чтобы просто посчитать, сколько токенов вам пришлют) – и вы увидите продолжение:
Теперь нас просят (прямым текстом, я ору!): введите приватный ключ от своего кошелька и подпишите транзакцию!
О большем мечтать нельзя. Это же финиш. Они, конечно, предупреждают, мол, ключи будут в безопасности, они их не будут хранить, а сайт защищен сертификатом SSL.
У сайта-подделки airdrop действительно есть такой сертификат:
И это только усиливает опасность ловушки (наивных людей полно, а самоуверенных незнаек – ещё больше).
Хорошие мошенники всегда учитывают детали. Они прекрасно знают, что вы будете проверять их сайт. Они подготовились:
У поддельного сайта есть SSL сертификат (кто-то здесь успокоится).
У них похожий адрес на официальную страницу (многие здесь почувствуют облегчение).
У сайта дизайн один-в-один, как у оригинала (большинство людей – доверчивые визуалы).
В форме не просят пароль от кошелька (а мы думали, что это – цель хакеров, выдыхаем).
Нас даже не просят переводить деньги для оплаты заявки на Airdrop (вот это да!).
Как вы понимаете, 99% простаков уже загрузили свои приватные ключи и радостно ждут бесплатные монеты после Airdrop.
От нас ведь всего лишь попросили подписать пустую транзакцию, чтобы подтвердить, что указанный в форме кошелек – наш. Ни пароль, ни деньги, просто приватный ключ.
Но приватный ключ – это и есть ваши деньги в мире криптовалют.
Пароль – пустышка, а private key – это все, что у вас есть.
Мошеннику не нужно входить в ваш кошелек MyEtherWallet.
Ему не нужно его ломать, подбирать пароли.
Он просто добавит ваши криптовалюты в любой другой кошелек, если у него есть ваш приватный ключ. Вот и вся схема.
А потом вы услышите, что у владельцев такого-то кошелька были украдены миллионы ETH и других токенов. И кошельки вроде надёжные, и люди были ответственные, были в курсе, что такое фишинг. Но вот жадность и любопытство сгубили кота.
Не загружайте свои приватные ключи никуда. Храните их бережно, вне компьютера. Не справитесь и паника съедает вас? Купите Ledgen Nano S.
Кстати, это пример очень грубого, поверхностного фишинга (сегодня он работает слишком хорошо, поэтому хакерам не нужно извращаться). Но вы можете столкнуться и с другими, более тонкими разводками.
Airdrop – это всего лишь предлог. Красивый, изящный, соблазнительный.
Как могут похитить ваши криптовалюты?
Я опишу самые распространённые случаи.
Первый уровень – самый массовый, расчёт на глупость аудитории. В лоб просят загрузить приватные ключи от кошелька.
Бесплатная раздача монет (airdrop, дополнительная эмиссия, компенсации, бонусы).
Получение новых криптовалют после хардфорка (установите новый крутой кошелек).
Досрочное участие в ICO с большой скидкой (только сегодня и только через это приложение).
В ход идут любые легенды, хоть как-то мотивирующие вас загрузить private key (конечно, чтобы подтвердить вашу личность или то, что у вас действительно есть деньги в кошельке).
Подробный пример вы увидели выше. Топорная работа.
Второй уровень – под любым предлогом загрузить на ваш компьютер зловред.
Зловред – это программа, которая скрытно будет собирать информацию про ваши кошельки.
Это может быть отслеживание и сбор паролей, которые вы вводите.
Просмотр сайтов, которые вы посещаете.
Анализ ваших закладок и паролей к ним.
Поиск файлов от криптовалютных кошельков (где вы храните свои кошельки?).
Все это незаметно собирается, анализируется, а результаты отправляются злоумышленнику. Дальше зловред отправит себя вашим знакомым из адресной книги и пойдёт гулять по флешкам.
Опасные программы для удалённого управления вашим компьютером.
Хакерские скрипты, которые налету подменяют адреса кошельков (вы копируете кошелек биржи для ввода средств, а в буфере обмена он заменяется на адрес кошелька мошенников).
Популярные блокировщики с шифрованием, которые затем вымогают выкуп в биткоинах.
И про скрытые майнеры, которые пожирают ресурсы вашего компьютера, а прибыль снимает хакер.
Помните, что нельзя скачивать и устанавливать ПО, про которое вы ничего не знаете, с подозрительных сайтов, взломанное или с закрытых форумов. Вы хитрее хакера, который дарит вам антивирус, за который не нужно платить?
Как такие вредные программы могут к вам попасть?
Схем масса, вот самая типичная: вы заполнили форму на Airdrop или участие в ICO. На ваш email прислали некие документы (Word, PDF, презентацию). Да, опытные пользователи теперь не запускают exe файлы, но что если зловред упакован в обычную презентацию Microsoft Office? Как быть с этими лазейками в голове?
Всегда задавайте себе вопрос: вы просили прислать вам это? Почему вы доверяете этому отправителю?
Разумеется, лучшая защита от подобных атак: держать всю важную информацию и данные кошельков на отдельной виртуальной машине (или наоборот – работать в Интернет с виртуальной машины с Linux).
Крайне советую работать с аппаратными кошельками (но и их использовать разумно!).
А для авантюр заведите себе отдельные криптовалютные кошельки MyEtherWallet, Metamask, Jaxx и Exodus, адрес которых можно светить в airdrop и ICO. Как только получили токены, сразу вывели на скрытое хранение.
Это был уровень, когда компьютеры массово заражают опасным ПО (через фишинг) и похищают данные кошельков. Но дыру открывают сами пользователи.
Здесь главный инструмент хакера – социальная инженерия.
Принцип такой: вы заполнили форму, у вас попросили только email и сумму на кошельке. Все данные обработают, выберут самых жирных котов, и попробуют их раскрутить.
Как? К каждому будет свой подход:
Кого-то разведут на участие в инвестициях (покупка фермы для майнинга), участие в хайпе.
За кем-то проследят более плотно и выведут на шантаж (поддельные сайты знакомств, интриги, компромат сексуального характера).
Кого-то обчистят в прямом эфире (для воровства приватных ключей можно использовать программы для демонстрации удалённого рабочего стола – Timeviewer или Skype).
К кому-то придётся подослать бандитов.
Вариантов очень много, и все они крайне опасны для жертвы атаки.
Как защититься? Самый главный барьер – никто не должен знать, сколько у вас денег. Зачем вы сами светите свои кошельки? Хвалитесь в Интернете и знакомым? Зачем заполняете формы на левых сайтах и сомнительных Airdrop?
Вы – главный антивирус. Только от ваших действий зависит, попадёте вы на радары к мошенникам, и какие именно инструменты пойдут вход, чтобы забрать ваши монеты.
Не ведите себя беспечно и самоуверенно.
Какие выводы сделать?
Продумайте систему защиты для вашего портфеля:
1. Заведите несколько разных кошельков, среди них обязательно должны быть аппаратные.
2. Разделяйте рабочие кошельки (депозиты на биржу), рискованные (для быстрого участия в ICO) и основные (где храним серьёзную часть портфеля, не лазим туда часто, никаких мелких транзакций, нигде не афишируем).
3. Держите рот на замке: поборите своё тщеславие и не хвалитесь успехами в криптовалютах.
4. Постоянно изучайте вопросы безопасности (всё ли вы знаете про защиту кошельков; ищите вопросы, которые поставили бы вас в тупик – задавайте их службе поддержки кошелька или другим компетентным людям).
5. Работайте в Интернете с защищённого компьютера (Linux Mint). И не храните на нём же кошельки, пароли и другие важные файлы.
6. Не участвуйте в сомнительных предложениях. Ищите подтверждения Airdrop на авторитетных сайтах, не будьте в первых рядах подопытных мышей.
Вот прошёл форк, появилась новая монета Bitcoin Gold, которую начисляют бесплатно всем владельцам битокина.
Не нужно бежать и первым устанавливать недавно выпущенный кошелек, чтобы поскорее получить новую криптовлаюту.
Пусть мышами побудут другие. Ждите.
Если есть баги и дыры для хакеров, пусть они сработают – и выйдут заплатки. Не нужно подставлять свой портфель из-за быстро наживы. Терпите.
Эти советы позволят вам продержаться с опасном мире, где все охотятся за вашими деньгами (знаете вы об этом или нет).