Новые методы скама
Что будет, если вам сказать, что рекламные ссылки в поисковой выдаче (например гугл), которые идут первыми, могут оставить вас без ваших драгоценных jpeg?
Наверно вы посмеетесь, а зря. Недавно выяснилось, что используя эксплойт с рекламой Google, мошенники могут заставить реальный и мошеннический URL выглядеть одинаково в поисковой выдаче.
Таким образом уже украдено больше 100 ETH
После перехода по одной из таких ссылок вы будете перенаправлены на один из фишинговых сайтов. На этих сайтах происходит один из двух способов скама.
Один попытается получить вашу сид-фразу, а другой вызовет отмену операции в Metamask и попытается слить баланс вашего кошелька.
Как предотвратить это?
- ВСЕГДА убеждайтесь, что вы находитесь на нужном вам сайте
Вписывайте сайты вручную, а не их ищите через поиск;
- Никогда не подтверждайте случайные транзакции. Всегда будьте осторожны.
- Храните все самое ценное на холодном кошельке или резервном кошельке, который нигде и никогда не использовался (например для минтов, рафлов).
МОШЕННИЧЕСТВО С РАСШИРЕНИЕМ ФАЙЛА
Если вас не напугал первый способ обмана - держите второй.
Мошенники подделывают расширения файлов, чтобы замаскировать вредоносные скрипты и рассылают их художникам с предложениями работы, инфлюенсерам и проектам с предложениями коллабораций.
Художник RabbitinM первым получил сообщение с подобным разводом в предложении на создание артов. Ему был отправлен zip-файл, содержащий ТЗ (техническое задание) от заказчика, с примерами и эскизами.
То, что казалось нормальным предложением, оказалось вредоносным, после того как художник потерял все и внимательно проверил содержимое архива.
После открытия zip-файла мы можем увидеть PDF-файл, содержащий эскизы заказчика, однако это не обычный PDF-файл. На самом деле это файл заставки рабочего стола для Windows с расширением .scr (я всегда говорил-берите Mac), который представляет собой вредоносный скрипт, замаскированный под PDF.
После того, как художник открыл файл PDF для просмотра содержимого, все его NFT, находящиеся на его кошельке были перечислены на чужой адрес и проданы, весь его баланс ETH был также переведен на кошелек мошенника.
Мы можем наглядно посмотреть куда ушли NFT и ETH художника.
Но, как мошенник это сделал? - Простая подмена расширения файла.
Он изменил имя файла и добавил в конце .pdf, а затем изменил значок файла на значок PDF.
Он также заполнил файл ненужным кодом, чтобы превысить максимальный размер файла в 650 МБ, для того, что бы VirusTotal (им пользовался художник) не обратил внимания на этот файл. Все слишком просто.
Художники - не единственные, на кого нацелена эта афера. В последнее время влиятельные лица в мире NFT и крипты, инфлюенсеры и крупные проекты стали мишенью, и многие люди потеряли свои сбережения, а после этого все их данные с компьютеров были удалены.
Это старая мошенническая тактика web2, и она возможна с любыми типами файлов. Называется эта тактика до боли знакомо - фишинг.
Как этого избежать?
- Не загружайте и не открывайте файлы, которые вам прислали неизвестные вам люди/ресурсы на которые вы не подписывались;
- Всегда проверяйте тип файла
Если вам нужно открыть какие-либо файлы, поместите их на Google Диск и посмотрите их там или используйте виртуальную машину.
Давайте еще немного углубимся в этот пример.
Файлы заставки рабочего стола (.scr) являются исполняемыми файлами и могут запускать любой код или файл, в основном файлы .exe. Но как они могут скомпрометировать ваш кошелек?
Все ваши файлы cookie, пароли, данные расширений, все, что угодно, удаляется с вашего компьютера и копируется злоумышленником на свой. Например, он может подменить ваше расширение MetaMask на модифицированную и вредоносную версию, или, что еще проще, он может просто подождать, пока вы войдете в свой кошелек и получит доступ к нему отследив данные ввода с клавиатуры.
Открывая такой архив, можно предположить, что ваш компьютер скомпрометирован. То есть, если вы вдруг открыли подозрительный архив или файл, и это вызвало у вас подозрения, рекомендуется сбросить настройки вашего компьютера до заводских, создать новый кошелек и изменить все ваши пароли на всем, куда вы заходили через свой компьютер.
БОНУС! Взлом Discord с помощью QR кодов
Как и в предыдущих примерах, вам скорее всего напишут под предлогом сотрудничества или вступления в новый проект, а затем вас просят подтвердить свою личность через бота для верификации. Имейте в виду, что это может выглядеть как проверенный бот, например - Wick. Но это не так.
Всегда проверяйте подлинное имя аккаунта в Discord, а не имя на сервере.
Он попросит вас отсканировать QR-код, чтобы подтвердить свою личность
Когда вы заходите на страницу входа в Discord, у вас есть опция «Войти с помощью QR-кода». Мошенники открывают страницу входа, и получают изображение QR-кода, а затем отправить его боту Discord, а бот просит вас подтвердить личность отсканировав код.
Как только, кто-либо, сканирует QR-код, он регистрирует мошенника и мгновенно передает свой аккаунт Discord мошеннику, который получает доступ к учетной записи в обход 2FA.
Если, все таки, ваш аккаунт Discord скомпрометирован, все, что вам нужно сделать - это максимально быстро сбросить пароль.
Все это выглядит очень очевидно и даже смешно - ведь это настолько банально. Но именно такими способами ,нацеленными на невнимательность, взламываются и крупные серверы и крупные игроки этого рынка.
Чуть подробнее можно ознакомится в нашей статье (часть 1, часть 2).
Выводов не будет, потому что их можно заменить этой цитатой:
"Единственный способ завладеть чужими активами и получить доступ к криптокошельку - воспользоваться беспечностью и неопытностью его владельца"