Phishing, öz-velayet kullanıcılarının para kaybetmesinin açık ara en yaygın yoludur. Kırık bir şifre değil, çözülmüş bir özel anahtar da değil — inandırıcı bir mesaj, tıpatıp benzeyen bir web sitesi ya da sıradan görünüp sonunda olmadığı anlaşılan bir işlem. Cüzdanınızın arkasındaki kriptografi sağlamdır ve saldırgan da bunu bilir; bu yüzden onu tamamen atlar ve sistemin kandırılabilecek tek parçasını hedef alır: sizi. Her yıl, milyarlarca dolar kripto ile ilgili dolandırıcılık ve sosyal mühendisliğe gitmektedir ve bunun büyük bölümü teknik bir istismarla değil, bir phishing mesajıyla başlar.
Bu makale, kripto phishing'in gerçekte neyi hedef aldığını, gözlemleyerek tanımayı öğrenebileceğiniz belirli kalıpları ve SSP'nin tasarımının nasıl yardımcı olduğunu — sizi koruyamadığı yerlerde de dürüst olarak — ele almaktadır.
Phishing'in gerçekte hedeflediği şey
Bir öz-velayet kullanıcısına yönelik phishing üç şeyi hedefler: seed cümlenizi, onaylarınızı ya da imzanızı. Seed cümlesini çalmak saldırgana, ondan türetilen her hesabın sonsuza dek sahipliğini verir. Sizi bir token onayı vermeye kandırmak, belirli varlıklarınızı istedikleri zaman boşaltmalarına olanak tanır. Tek bir kötü amaçlı işlemi imzalatmak ise fonların tek bir blokta hareket etmesini sağlar.
Bu üçünün ortak noktası, sizin harekete geçmek zorunda olmanızdır. Saldırgan cüzdanınıza uzanıp hiçbir şey alamaz; yazmak, tıklamak, onaylamak ya da imzalamak için size ihtiyaç duyar. Bu bağımlılık aynı zamanda sizin avantajınızdır — her saldırının, neye benzediğini bilirseniz durdurabildiğiniz bir anı vardır.
Tanıyabileceğiniz kalıplar
Kripto phishing, küçük bir oyun seti tekrar eder. Bunları adlandırmayı öğrendikten sonra, kapılmak çok daha zor hale gelir.
Sahte cüzdan siteleri ve arama reklamı typosquatları
En eski oyun, gerçek bir cüzdan veya borsa sitesinin klonudur; benzer bir alan adından sunulur ve genellikle ücretli reklam olarak arama sonuçlarının başına getirilir. Sayfa piksel mükemmeliyetinde görünür ve yalnızca bir amaçla vardır: seed cümlenizi toplamak ya da bağlanmanızı ve imzalamanızı sağlamak. Arama çubuğuna düşmanmış gibi davranın. Gerçek siteyi bir kez bulun, doğrulayın ve yer imlerinize ekleyin — ardından yalnızca o yer iminden ulaşın. SSP, bir web sitesinde seed cümlenizi asla istemez ve gerçek uzantı, bir arama reklamından değil, resmi tarayıcı mağazasından yüklenir. Yasal bir uzantı cüzdanın nasıl göründüğünden emin değilseniz, tarayıcı uzantısı cüzdanları açıklandı makalesini okuyun.
Seed cümlesi giriş istemleri
Bu, kendi kuralını hak ediyor; çünkü mutlak bir kuraldır: Hiçbir meşru cüzdan sizden seed cümlenizi bir web sitesine, forma, açılır pencereye veya DM'e yazmanızı istemez. "Doğrulamak" için de değil, "senkronize etmek" için de değil, bir şey "talep etmek" için de değil. Seed cümlenizi yalnızca bir yere girersiniz — başlangıç kurulumu veya kurtarma sırasında cüzdan yazılımının içine. SSP, seed cümlenizi yalnızca bu amaçla uzantı veya mobil uygulama içinde alır, asla bir web sayfasında almaz. Başka bir şey isterse, bu tam anlamıyla bir hırsızlık girişimidir. Bunu koruma disiplini için bkz. seed cümlesi en iyi uygulamaları.
Onay phishing'i ve cüzdan boşaltıcıları
Daha yeni ve daha sinsi: kötü amaçlı bir dApp, seed cümlenizi hiç istemez. Sizi normal görünen bir işlemi imzalamaya yönlendirir — ancak eylem, saldırganın sözleşmesine token'larınızı veya NFT'lerinizi taşıma yetkisi veren bir token onayı veya setApprovalForAll'dır. Anahtarlarınızın velayeti sizde kalır; yalnızca varlıklarınız üzerindeki hakkınızı imzaladınız ve bir cüzdan boşaltıcısı bunları daha sonra, bazen haftalarca sonra süpürür. Savunma, onayın ne olduğunu anlamak ve onayları kısa ömürlü tutmaktır. Token onayları — vermeye devam ettiğiniz izinler makalesini okuyun, ardından artık kullanmadıklarınızı iptal edin.
Adres zehirleme
Adres zehirleme, kopyala-yapıştır alışkanlıklarına avlanır. Saldırgan, zaten kullandığınız bir adrese benzer şekilde tasarlanmış bir adresten cüzdanınıza küçük veya sıfır değerli bir transfer gönderir — aynı ilk dört ve son dört karakter. Bu transfer geçmişinizde oturur; böylece geçmiş işlemlerden bir "bilinen" adres kopyaladığınız bir sonraki seferde onların adresini alırsınız ve fonlarınızı doğrudan saldırgana gönderirsiniz. Çözüm mekaniktir: işlem geçmişinden asla adres kopyalamayın ve tam adresi karakter karakter doğrulayın — yalnızca ilk ve son dörde değil. Benzer görünen bir adres her iki ucu da mükemmel biçimde eşleştirebilir ve ortada tamamen farklı olabilir.
DM'lerde kimlik taklidi
Birisi Discord, Telegram veya X'te size ilk olarak mesaj atıp "resmi destek" olduğunu iddia ederse, bu varsayılan olarak bir dolandırıcılıktır. Gerçek destek DM'lerinize girmez ve hiçbir yönetici, moderatör ya da "doğrulama botu" seed cümlenize, özel anahtarınıza ya da cüzdanınızı "doğrulamak" için bağlamanıza ihtiyaç duymaz. Aciliyet, ipucudur — "fonlarınız tehlikede, hemen hareket edin" sizi düşünmekten alıkoymak için vardır. DM'i kapatın ve desteğe yalnızca kendiniz gittiğiniz bir kanal üzerinden ulaşın.
Kötü amaçlı imza istekleri / kör imzalama
En teknik oyun, bir işlem yerine bir mesajı imzalamanızı ister — bir Permit, bir eth_sign yükü ya da okuyamadığınız opak bir veri paketi. Bunlar, bazen gaz ücreti olmadan ve belirgin bir uyarı olmadan zincir dışında token transferlerini veya onayları yetkilendirebilir. Kural: imzalamadan önce ne imzaladığınızı anlayın ve çözemediğiniz herhangi bir isteğe derinden şüpheyle yaklaşın. dApp'lere bağlandığınızda, oturumun ve imzalama isteklerinin nasıl işlediğini bilin — WalletConnect nedir ve SSP ile nasıl çalışır makalesi bu yüzeyi anlatmaktadır.
SSP'nin tasarımı nasıl yardımcı olur — ve nerede olmaz
SSP, 2/2 multisig cüzdanıdır: her işlem, yayınlanmadan önce ikinci bir cihaz olan SSP Key'de ortak imzalanmalıdır. Bu size, tek cihazlı bir cüzdanın sahip olmadığı gerçek bir ikinci inceleme yüzeyi olan ayrı donanımda, isteği bir kez daha gösteren ikinci bir ekran sağlar. Uzantı aynı zamanda bir web sayfasında seed cümlenizi asla istemez; bu, tasarım gereği en yaygın toplama yolunu kapatır.
İşte dürüst kısım: multisig, phishing için bir çözüm değildir. Kötü amaçlı bir işlem önünüzde varsa ve uzantıda onaylıyorsanız ve SSP Key'inizde onaylıyorsanız, cüzdan tam olarak söylediğinizi yapar. İkinci cihaz, sizi tek başına imzalayan tek bir ele geçirilmiş cihaza karşı korur — sizi kötü bir eylemi iki kez onaylamaktan korumaz. Bu nedenle her iki ekranı da okuyun: hedef, miktar veya eylem amaçladığınızla örtüşmüyorsa, SSP Key'inizde reddedin. Phishing savunması nihayetinde yine size aittir. Bu sorumluluğun neden değer taşıdığının özü için bkz. öz-velayetin şimdi neden önemli olduğu.
60 saniyelik phishing öz-denetimi
Herhangi bir şeyi imzalamadan önce şunu çalıştırın:
- URL kontrolü — kendi yer iminiz aracılığıyla mı geldiniz, yoksa birinin size verdiği bir bağlantı ya da reklam aracılığıyla mı? Kendi yer iminiz değilse, durun.
- Seed kontrolü — herhangi bir şey seed cümlenizi istiyor mu? Evet ise, bu her seferinde istisnasız bir dolandırıcılıktır.
- SSP Key'i okuyun — ikinci cihazınızdaki eylem ve miktar, yapmak istediğinizle tam olarak örtüşüyor mu?
- Hedef kontrolü — tam alıcı adresini doğrulayın, yalnızca ilk ve son dört karaktere değil.
- DM kontrolü — bu, istenmedik bir mesaj veya acil bir "hemen hareket et" ile mi başladı? Düşman olarak ele alın.
- Onay hijyeni — artık ihtiyacınız olmayan eski token onaylarını iptal edin; böylece unutulan bir onay daha sonra boşaltılamaz.
Herhangi bir adım başarısız olursa, reddedin ve uzaklaşın. Kaçırılan bir fırsat hiçbir şeye mal olmaz; imzalanmış bir boşaltıcı her şeye mal olabilir.
Devam edin
Phishing, daha geniş bir kişisel güvenlik pratiğinin bir katmanıdır. Kripto kullanıcıları için tarayıcı uzantısı hijyeni ile geri kalanı da sıkılaştırın ve kripto opsec kontrol listeniz ile her şeyi yinelenen bir programa koyun. Daha geniş ekosistemin bu saldırıları nasıl izlediği için APWG Phishing Activity Trends reports ve FBI'ın IC3'ü güvenilir birincil kaynaklardır.
