Az online világban nem újdonság a megtévesztés, de a kriptovaluták és NFT-k körében egyre inkább terjed egy átverés, amelyet sokan csak „játssz velem egyet” típusú csalásként emlegetnek. Az egyik legfrissebb áldozat Princess Hypio, egy ismert NFT-művész, aki egy kifinomult trükknek köszönhetően 170 ezer dollárt veszített.
Elmondása szerint a csaló először Discordon vette fel vele a kapcsolatot, közös ismerősökre hivatkozva, majd rábeszélte, hogy töltsön le egy Steam-játékot és próbálja ki. Amíg ő játszott, a támadó a háttérben átvette a Discord-fiókja irányítását, és kiürítette a digitális pénztárcáit – összesen 170 ezer dollár értékben.
A csapda nem magában a játékban rejlett – az önmagában ártalmatlan volt. A valódi veszélyt az a szerver jelentette, amelyen keresztül a játék futott: rosszindulatú szoftvert juttatott a gépre, amely teljes hozzáférést adott a támadónak.
Így működik a csalás
Az átverés lényege, hogy a csaló először beépül egy közösségbe, figyeli a tagok viselkedését, szokásait, majd lassan bizalmat épít. Miután azonosít egy potenciális áldozatot, akinek kriptoeszközei lehetnek, játékmeghívást küld. A letölthető „játék” valójában egy trójai vírust tartalmazó alkalmazás, amely lehetővé teszi a támadónak, hogy hozzáférjen az áldozat gépéhez és pénztárcáihoz.
Nick Percoco, a Kraken kriptotőzsde biztonsági vezetője szerint a módszer különösen veszélyes, mert nem a technológiát támadja, hanem az emberi bizalmat. Ahogy fogalmazott:
„A kriptovilág legnagyobb biztonsági kockázata nem a kód, hanem a bizalom.”
Social engineering és manipuláció
Gabi Urrutia, a Halborn kiberbiztonsági vállalat vezetője szerint bár technikai szempontból a csalás nem számít bonyolultnak, annál hatásosabb, mivel a közösségi bizalomra épít. A támadók beépülnek a közösségbe, elsajátítják a helyi szlenget, barátok barátainak adják ki magukat, majd a megfelelő pillanatban támadnak.
Ez a fajta pszichológiai manipuláció különösen hatékony a Web3 és a gamer közösségekben, ahol az emberi kapcsolatok és a nagy értékű digitális eszközök gyakran kéz a kézben járnak.
Bár az átverés eredetileg a kriptós körökben kezdett terjedni, mára szélesebb körben is megjelent. Februárban egy fórumozó arról számolt be, hogy egy ismerősének hitt személy küldött neki kártékony linket, míg júliusban egy másik áldozat zsarolóvírussal szembesült hasonló módon. Percoco szerint a módszer könnyen alkalmazható más iparágakban is.
„Ha valami túl jónak tűnik, hogy igaz legyen – valószínűleg csalásról van szó. Ne bízz meg elsőre, mindig ellenőrizz.”
– figyelmeztet Percoco.
Mit tehetünk a védelem érdekében?
A szakértők szerint a legfontosabb a tudatosság és a megelőzés:
- Legyünk szkeptikusak – mindig vizsgáljuk meg, ki küldi a linket vagy fájlt.
- Használjunk külön eszközt – ne azon a gépen játsszunk, amelyen a pénztárcáinkat kezeljük.
- Korlátozzuk a jogosultságokat – csak a szükséges engedélyeket adjuk meg.
- Védjük a közösséget – szűrjük az ismeretlen üzeneteket, és figyeljünk az új tagokra.
Urrutia szerint a legnagyobb kihívás nem technológiai, hanem kulturális természetű: meg kell tanulnunk felismerni és kezelni a közösségen belüli manipulációs kísérleteket.
Noha a Discordon terjedő csalások is egyre gyakoribbak, a szakértők szerint még komolyabb veszélyt jelentenek az ál-álláshirdetések. Például Észak-Koreához köthető hackercsoportok kriptós álláskeresőket próbálnak átverni, hogy rosszindulatú programokat telepíthessenek a gépeikre, így ellopva jelszavaikat és hozzáféréseiket.
A végső tanulság
A kripto és Web3 világ hatalmas lehetőségeket rejt, de ezzel együtt sajnos a csalók figyelmét is felkelti. A történet legfőbb tanulsága egyszerű: a legnagyobb biztonsági rés nem a technológiában, hanem az emberekben van. Amíg lesznek, akik ezt kihasználják, addig az egyetlen hatékony védekezés a tudatosság, a bizalmatlan hozzáállás és a folyamatos edukáció.
(Forrás: fintech.hu)
(Borítókép: Depositphotos)
Szólj hozzá