Антифишинг в Web3. Дополнение к бесплатному курсу безопасности от Menaskop

Итак, возможно, вы уже посмотрели два первых видео курса, а, если нет, то вот они: первое и второе.

Сегодня же я бы хотел сделать ряд важных дополнений к ним.

Почему фишинг?

Казалось бы, зачем столь простой атаке уделять столько места и внимания, если о ней рассказано много, в том числе - автором?

Но давайте обратимся к одному из последних исследований на сей счёт: “По словам аналитиков компании Scam Sniffer, 2024 год стал тревожным для криптосообщества. Общие потери от фишинговых атак на цифровые кошельки достигли $494 млн, что на 67% больше, чем в прошлом году. Атаки затронули 332 тыс. различных адресов, а их масштаб и эффективность действий злоумышленников продолжают расти”.

Как видите, жертв не стало меньше, а ущерб не сократился, а вырос.

Хорошо, не будет надеяться на одно исследование и возьмём другое: “на 2024 год злоумышленники похитили более $1 млрд в результате 296 фишинговых атак. Об этом говорится в ежегодном отчете CertiK”:

И, наконец, вот данные третьего исследования: “Аналитики кибербеза Slow Mist представили «рейтинг причин потери криптоактивов» как розничными, так и институциональными инвесторами:

1. Утечка закрытых ключей (32%).
2. Фишинг с подписанием транзакции — 18%.
3. Скачивание фейковых кошельков и приложений для торговли (16%).
4. Подмена адресов и фишинг троянами (13%).
5. Атаки профессиональных хакерских групп (6%).
6. Фишинг в мессенджерах, в том числе поддельные чат-приложения (8%). Атаки на торговые платформы (4%).
7. Ошибки при переводах, Понци, лазейки в смарт-контрактах и ​​т.д. (3%)”.

Получается, что 18%+13%+4%= 35% - это явный фишинг, а ещё он же вшит и в другие векторы атак.

Поэтому у меня сомнений нет, что об этом говорить можно и нужно. Постоянно.

Что именно подделывают фишеры?

Почти всё, а точнее - всё, но с разной степенью детализации:

1. Email-письма;
2. Ссылки разного формата, в том числе - сокращённые;
3. Сайты: как лендинги простые, так и сложные даппсы;
4. Прочее.

Далее - ряд примеров. Пример №01:

Здесь видна подделка письма, которая эмитирует (якобы) клейм (якобы) дропа Galxe. Но бывают случаи посложнее:

Здесь сложность в том, что письмо в спам не попадает и отправляется сервисом рассылки, но видно, что:

1. Кнопка Claim ведёт на сайт со сложным URL (а это уже признак фишинга), а сам сайт по WHOIS бьётся как новый;
2. Картинки в рассылке не включены, а значит - ранее общения с ним не было;
3. Адрес рассылки и сайта не совпадают (такое случается, но вкупе с другими факторами свидетельствует о негативной практике).

Поэтому обязательно кастомизируйте свой email, как рассказано в этом видео.

Подменить также могут ENS: вместо 0x23802e21c6cd72c091792bfb9f7afc2265cc68d6 - вы получите 0x23802e21c6cd72c091792bfb9f7afc2265cc68d6.eth. Но возможна и подмена: ников - особенно в новых сетях или после истечения срока регистрации в старых, разного рода публичных аккаунтов компаний, твитеров и чего угодно ещё, где одна сторона - публикует некий контент (текст, видео, etc.), а другая его потребляет. Потребление вообще чревато…

А вот пример из поиска:

И пример сайта:

И ещё один, который вылез буквально после статьи:

Поэтому фишинг многогранен и тем - особенно опасен.

Что делать для защиты?

Во-первых, использовать три простых принципа:

1. Кастомизация;
2. Минимализм;
3. Системность.

Кастомизация означает, что всё, что можно сделать уникальным: будь то фон на почте или название вашего кошелька - должно быть уникальным. Минимализм говорит о том, что не нужно подключать миллион подписок и работать (бездумно) с тысячами сайтов: везде должен быть порядок. Системность - это про то, чтобы начинать в одно и то же время и заканчивать, не делать чего-то впопыхах и использовать унифицированные приёмы защиты, не ленясь.

Отсюда - важность WHOIS проверок и трафика: фишинговые сайты/рассылке/etc. живут не долго и поэтому всегда пахнут новизной: странно делать даже airdrop в первый день жизни проекта? Или во второй… Странно, поэтому сайты без трафика и с недавней регистрацией - чаще всего фишинговые.

Но подменить могут много всего, поэтому не стоит думать, что вы раз и навсегда зашьёте некие действия в шаблон и будете счастливы: нет, эволюционировать приходится с рынком.

Дополнение. Практические советы

Итак:

1. Используйте Similarweb & WHOIS для идентификации сайтов;
2. Не забывайте проверять ссылки через: virustotal.com/gui/home/url
3. Изучайте новости о проекте прежде, чем использовать его функционал
4. Не стесняйтесь читать xakep, habr, rekt.news, etc.
5. Кастомизируйте всё, что можете: почты, мессенджеры, аккаунты, кошельки, etc.
6. Сделайте график работы: например, с 09:00 до 21:00 в будние дни
7. Имейте публичный email, кошелёк, ник в мессенджере и т.д. и приватные

И подписывайтесь на https://t.me/web3news -

До!