Seis ferramentas usadas pelos hackers para roubar a criptomoeda: como proteger as carteiras

No início de julho, foi relatado que a Bleeping Computer detectou atividades suspeitas destinadas a fraudar 2,3 milhões de carteiras de Bitcoin, que eles consideraram estar sob ameaça de serem hackeadas. Os atacantes usaram malware - conhecido como “sequestrador de pranchetas” - que opera na área de transferência e pode substituir o endereço da carteira copiada por um dos invasores.

A ameaça de ataques de hackers desse tipo foi prevista pela Kaspersky Lab em novembro do ano passado, e eles não demoraram a se tornar realidade. Por enquanto, esse é um dos tipos mais comuns de ataques cujo objetivo é roubar informações ou dinheiro dos usuários, com a participação geral estimada de ataques a contas e carteiras individuais em cerca de 20% do número total de ataques de malware. E tem mais Em 12 de julho, a Cointelegraph publicou o relatório da Kaspersky Lab, que afirmava que os criminosos conseguiram roubar mais de US $ 9 milhões na Ethereum (ETH) por meio de esquemas de engenharia social no último ano.

 Carbon Black

Image source: Carbon Black

Resumidamente sobre o problema

O já mencionado portal Bleeping Computer, que trabalha na melhoria da literacia informática, escreve sobre a importância de seguir pelo menos algumas regras básicas para garantir um nível de proteção suficiente:

“A maioria dos problemas de suporte técnico não está no computador, mas no fato de o usuário não conhecer os 'conceitos básicos' subjacentes a todas as questões de computação. Esses conceitos incluem hardware, arquivos e pastas, sistemas operacionais, internet e aplicativos.”

O mesmo ponto de vista é compartilhado por muitos especialistas em criptomoedas. Um deles, Ouriel Ohayon - um investidor e empresário - coloca a ênfase na responsabilidade pessoal dos usuários em um blog dedicado Hackernoon:

"Sim, você está no controle de seus próprios ativos, mas o preço a pagar é que você é responsável pela sua própria segurança. E como a maioria das pessoas não são especialistas em segurança, elas são expostas com muita frequência - sem saber. Eu sempre espantado ao ver a minha volta quantas pessoas, mesmo as mais experientes em tecnologia, não tomam medidas básicas de segurança."

De acordo com Lex Sokolin - diretor de estratégia da fintech da Autonomous Research - todos os anos, milhares de pessoas se tornam vítimas de sites clonados e phishing, enviando voluntariamente US $ 200 milhões em criptomoedas, que nunca são devolvidos.

O que isso poderia nos dizer? Os hackers que estão atacando as carteiras cripto usam a principal vulnerabilidade do sistema - desatenção humana e arrogância. Vamos ver como eles fazem isso e como alguém pode proteger seus fundos.

250 milhões de vítimas em potencial

Um estudo conduzido pela empresa americana Foley & Lardner mostrou que 71% dos grandes traders e investidores de criptomoedas atribuem o roubo da criptomoeda ao maior risco que afeta negativamente o mercado. 31 por cento dos entrevistados classificam a ameaça de atividade de hackers ao setor global de criptomoedas como muito alta.

Foley & Lardner

Image source: Foley & Lardner

Especialistas da Hackernoon analisaram os dados sobre ataques de hackers para 2017, que podem ser condicionalmente divididos em três grandes segmentos:

- Ataques a blockchains, trocas de criptomoedas e ICOs;

- Distribuição de software para mineração oculta;

- Ataques direcionados às carteiras dos usuários.

Surpreendentemente, o artigo "Smart hacking tricks" que foi publicado pela Hackernoon não parece ter grande popularidade e avisos que parecem ser óbvios para um usuário comum de criptomoedas devem ser repetidos repetidas vezes, já que se espera que o número de detentores de criptomoedas chegar a 200 milhões em 2024, de acordo com RT.

De acordo com pesquisa realizada pelo ING Bank NV e Ipsos - que não considerou a Ásia Oriental no estudo - cerca de nove por cento dos europeus e oito por cento dos residentes dos EUA possuem criptomoedas, com 25 por cento da população planejando comprar ativos digitais no futuro próximo . Assim, quase um quarto de bilhão de potenciais vítimas poderá cair em breve no campo da atividade de hackers.

Apps no Google Play e na App Store

Dicas

- Não se deixe levar pela instalação de aplicativos móveis sem muita necessidade;

-Adicione identificação de autorização de dois fatores para todos os aplicativos no smartphone;

- Certifique-se de verificar os links para os aplicativos no site oficial do projeto.

Vítimas de hackers são mais frequentemente proprietários de smartphones com sistema operacional Android, que não usa autenticação de dois fatores (2FA) - isso requer não apenas uma senha e nome de usuário, mas também algo que o usuário tem sobre eles, ou seja, uma informação poderia saber ou ter em mãos imediatamente, como um token físico. A coisa é que o sistema operacional aberto do Google Android o torna mais aberto a vírus e, portanto, menos seguro do que o iPhone, segundo a Forbes. Os hackers adicionam aplicativos em nome de determinados recursos de criptomoeda à Google Play Store. Quando o aplicativo é iniciado, o usuário insere dados confidenciais para acessar suas contas e, assim, dá acesso aos hackers.

Um dos alvos mais famosos de ataques desse tipo foram os comerciantes da bolsa americana de criptomoedas Poloniex, que baixou aplicativos móveis postados por hackers no Google Play, fingindo ser um gateway móvel para a popular bolsa de criptos. A equipe do Poloniex não desenvolveu aplicativos para o Android e seu site não possui links para nenhum aplicativo para dispositivos móveis. De acordo com Lukas Stefanko, analista de malware da ESET, 5.500 comerciantes foram afetados pelo malware antes de o software ser removido do Google Play.

Os usuários de dispositivos iOS, por sua vez, costumam baixar aplicativos da App Store com mineradores ocultos. A Apple foi forçada a apertar as regras para admissão de aplicativos em sua loja, a fim de suspender de alguma forma a distribuição de tal software. Mas esta é uma história completamente diferente, cujo dano é incomparável com a invasão de carteiras, já que o minerador só atrasa a operação do computador.

Bots in Slack

Dicas:

-Reporte Slack-bots para bloqueá-los;

-Ignore a atividade dos bots;

-Proteja o Slack-channel, por exemplo, com os bots de segurança Metacert ou Webroot, o software antivírus Avira ou até mesmo o Google Safe Browsing integrado.

Desde meados de 2017, os bots do Slack, cujo objetivo é roubar as criptomoedas, tornaram-se o flagelo do mensageiro corporativo de mais rápido crescimento. Mais frequentemente, os hackers criam um bot que notifica os usuários sobre problemas com seus criptos. O objetivo é forçar uma pessoa a clicar no link e inserir uma chave privada. Com a mesma velocidade com que esses bots aparecem, eles são bloqueados pelos usuários. Mesmo que a comunidade geralmente reaja rapidamente e o hacker tenha que se aposentar, o último consegue ganhar algum dinheiro.

Steemit @sassal

Image source: Steemit @sassal

O maior ataque bem sucedido por hackers através do Slack é considerado o hack do grupo Enigma. Os atacantes usaram o nome Enigma - que estava hospedando sua rodada pré-venda - para lançar um bot Slack, e acabaram defraudando um total de US $ 500.000 em Ethereum de usuários crédulos.

Complementos para negociação de criptos

Dicas

-Use um navegador separado para operações com criptomoedas;

-Selecione um modo de navegação anônima;

- Não baixe nenhum add-on de criptos;

-Get um PC ou smartphone separado apenas para criptomoedas de negociação;

-Faça o download de um antivírus e instale a proteção de rede.

Os navegadores da Internet oferecem extensões para personalizar a interface do usuário para um trabalho mais confortável com trocas e carteiras. E o problema nem é que os complementos leiam tudo o que você está digitando enquanto usa a Internet, mas essas extensões são desenvolvidas em JavaScript, o que as torna extremamente vulneráveis ​​a ataques de hackers. A razão é que, nos últimos tempos - com a popularidade da Web 2.0, Ajax e aplicações ricas da internet - o JavaScript e suas vulnerabilidades se tornaram altamente prevalentes nas organizações, especialmente as indianas. Além disso, muitas extensões podem ser usadas para mineração oculta, devido aos recursos de computação do usuário.

Autenticação por SMS

Dicas:

-Desativar o encaminhamento de chamadas para impossibilitar o acesso de um invasor a seus dados;

-Desenvie 2FA via SMS quando a senha é enviada no texto, e use uma solução de software de identificação de dois fatores.

Muitos usuários optam por usar a autenticação móvel porque estão acostumados a fazer isso, e o smartphone está sempre à mão. A Positive Technologies, uma empresa especializada em segurança cibernética, demonstrou como é fácil interceptar um SMS com uma confirmação de senha, transmitida praticamente em todo o mundo pelo protocolo Signaling System 7 (SS7). Os especialistas foram capazes de sequestrar as mensagens de texto usando sua própria ferramenta de pesquisa, que explora os pontos fracos da rede celular para interceptar mensagens de texto em trânsito. Uma demonstração foi realizada usando o exemplo das contas da Coinbase, o que chocou os usuários da troca. De relance, isso parece uma vulnerabilidade da Coinbase, mas a verdadeira fraqueza está no próprio sistema celular, afirmou a Positive Technologies. Isso provou que qualquer sistema pode ser acessado diretamente via SMS, mesmo se o 2FA for usado.

Wi-Fi público

Dicas:

-Nunca execute transações criptografadas através de Wi-Fi público, mesmo se você estiver usando uma VPN;

- Atualize regularmente o firmware do seu próprio roteador, pois os fabricantes de hardware estão constantemente lançando atualizações destinadas a proteger contra a substituição de chaves.

Em outubro do ano passado, no protocolo Wi-Fi Protected Access (WPA) - que usa roteadores - foi encontrada uma vulnerabilidade irrecuperável. Depois de realizar um ataque elementar do KRACK (um ataque com a reinstalação da chave), o dispositivo do usuário se reconecta à mesma rede Wi-Fi de hackers. Todas as informações baixadas ou enviadas pela rede por um usuário estão disponíveis para atacantes, incluindo as chaves privadas de carteiras criptografadas. Esse problema é especialmente urgente para redes Wi-Fi públicas em estações ferroviárias, aeroportos, hotéis e lugares onde grandes grupos de pessoas visitam.

Clones de sites e phishing

Dicas:

-Nunca interaja com sites relacionados à criptomoeda sem protocolo HTPPS;

- Ao usar o Chrome, personalize a extensão - por exemplo, Cryptonite - que mostra os endereços dos submenus;

- Ao receber mensagens de qualquer recurso relacionado à criptomoeda, copie o link para o campo de endereço do navegador e compare-o com o endereço do site original;

-Se algo parecer suspeito, feche a janela e exclua a carta da sua caixa de entrada.

Esses bons métodos antigos de hacking são conhecidos desde a "revolução das dotcom", mas parece que eles ainda estão funcionando. No primeiro caso, os invasores criam cópias completas dos sites originais em domínios que estão desativados por apenas uma letra. O objetivo de tal truque - incluindo a substituição do endereço no campo de endereço do navegador - é atrair um usuário para o clone do site e forçá-lo a digitar a senha da conta ou uma chave secreta. No segundo caso, eles enviam um email que - por design - copia identicamente as letras do projeto oficial, mas - na verdade - tem o objetivo de forçá-lo a clicar no link e inserir seus dados pessoais. De acordo com o Chainalysis, os golpistas que usam esse método já roubaram 225 milhões de dólares em criptomoedas.

Criptojacking, mineração escondida e senso comum

A boa notícia é que os hackers estão gradualmente perdendo o interesse em ataques brutais às carteiras por causa da crescente oposição dos serviços de criptomoeda e do crescente nível de alfabetização dos próprios usuários. O foco dos hackers está agora na mineração oculta.

De acordo com o McAfee Labs, no primeiro trimestre de 2018, 2,9 milhões de amostras de software de vírus para mineração oculta foram registradas em todo o mundo. Isto é até 625 por cento mais do que no último trimestre de 2017. O método é chamado de "crypjacking" e tem fascinado hackers com a sua simplicidade de tal forma que eles massivamente assumiram a sua implementação, abandonando os programas tradicionais de extorsão.

A má notícia é que a atividade de hacking não diminui nem um pouco. Especialistas da empresa Carbon Black - que trabalha com segurança cibernética - revelaram que, a partir de julho de 2018, existem cerca de 12 mil plataformas de negociação no escuro, vendendo cerca de 34 mil ofertas para hackers. O preço médio do software de ataque malicioso vendido em tal plataforma é de cerca de US $ 224.

Carbon Black

Picture source: Carbon Black

Mas como isso acontece nos nossos computadores? Vamos voltar para as notícias com as quais começamos. Em 27 de junho, os usuários começaram a deixar comentários no fórum Malwarebytes sobre um programa chamado All-Radio 4.27 Portable que estava sendo instalado inadvertidamente em seus dispositivos. A situação foi complicada pela impossibilidade de sua remoção. Embora, em sua forma original, este software pareça ser um visualizador de conteúdo inócuo e popular, sua versão foi modificada por hackers como uma "mala" inteira de surpresas desagradáveis.

É claro que o pacote contém um minerador oculto, mas só atrasa o computador. Quanto ao programa de monitoramento da área de transferência, que substitui os endereços quando o usuário copia e cola a senha, e vem coletando 2.343.286 carteiras de Bitcoin de possíveis vítimas. Esta é a primeira vez que os hackers demonstraram uma enorme base de dados de proprietários de criptomoeda - até agora, esses programas continham um conjunto muito limitado de endereços para substituição.

Depois de substituir os dados, o usuário transfere fundos voluntariamente para o endereço da carteira do invasor. A única maneira de proteger os fundos contra isso é verificando novamente o endereço inserido ao visitar o site, o que não é muito agradável, mas confiável e pode se tornar um hábito útil.

Após o interrogatório das vítimas do All-Radio 4.27 Portable, descobriu-se que o software malicioso entrou em seus computadores como resultado de ações não razoáveis. Como os especialistas da Malwarebytes e da Bleeping Computer descobriram, as pessoas usavam rachaduras de programas e jogos licenciados, bem como ativadores do Windows como o KMSpico, por exemplo. Assim, os hackers escolheram como vítimas aqueles que violaram conscientemente os direitos autorais e as regras de segurança.

Especialista conhecido em malware para Mac Patrick Wardle frequentemente escreve em seu blog que muitos vírus endereçados a usuários comuns são infinitamente estúpidos. É igualmente tolo se tornar uma vítima de tais ataques de hackers. Portanto, em conclusão, gostaríamos de lembrá-lo do conselho de Bryan Wallace, um colaborador da Hackernoon e do Google Small Business Advisor:

“A criptomoeda, o software antivírus e a identificação multifatorial manterão seus ativos seguros até certo ponto; elas são medidas preventivas e senso comum simples ”.