Безпека у Web3 – Фейкові застосунки

Криптошахраї постійно вдосконалюють свою тактику. Сьогодні ми поговоримо про одну з загроз, що має високий ризик: підробка застосунку Bitget. Ці шахрайські застосунки зроблені настільки майстерно, що виглядають як офіційний застосунок Bitget — від логотипа до опису — тому їх практично неможливо розрізнити. Кіберзлочинці вдаються до різноманітних хитрощів, щоб користувачі завантажували ці фейкові застосунки. З їх допомогою вони викрадають персональні дані та цифрові активи.

Що таке фейкові застосунки?

Фейкові застосунки, які ще називають фішинговими або шкідливими застосунками-копіями — це підроблені шахраями застосунки, які точно імітують застосунки популярних платформ. Це можуть бути криптобіржі, гаманці або соціальні мережі. Вони відтворюють назви, логотипи, інтерфейси та навіть функціонал, щоб жертви не могли розпізнати підробку. Метою створення таких застосунків є злам конфіденційності, викрадення персональних даних і активів.

Основні особливості

● Схожі візуальні елементи: назви, логотипи та дизайни фейкових застосунків дуже схожі на офіційну версію, вони мають лише незначні відмінності (наприклад, кольорові схеми логотипів або деталі шрифтів).

● Клоновані функції: фейкові застосунки можуть копіювати основні функції справжнього або просто перенаправляти користувачів на підроблені сторінки.

● Зловмисні дозволи: в цих застосунках часто запитують дозвіл на отримання доступу до додаткових функцій, як-от контакти, SMS, камера або мікрофон. Це більше, ніж зазвичай, просять офіційні застосунки. Це вони роблять для контролю поведінки користувачів або крадіжки даних.

● Поширення в неофіційних каналах: зазвичай шахраї розміщують їх у сторонніх магазинах застосунків, на фішингових вебсайтах, через посилання в SMS або електронних листах або онлайн-спільноти.

● Відсутність офіційних даних: шахраї не надають інформацію про розробника, а також часто відсутні контактні дані чи політика конфіденційності, хоча підробляти все це вони також можуть.

● Орфографічні, граматичні помилки або неточності в описі: фішингові застосунки часто містять елементарні помилки, оскільки офіційні розробники зазвичай ретельно перевіряють текст перед публікацією.

● Підозрілі відгуки: низька кількість завантажень, однакові оцінки (усі 5 зірок або всі 1 зірка) та невідповідність між датою випуску та кількістю відгуків.

Типові сценарії атак

1. Заміна адреси гаманця

● Користувачі намагаються здійснити депозит або зняти кошти через фальшивий застосунок біржі.

● Застосунок таємно замінює адресу одержувача на адресу, контрольовану зловмисником.

● Кошти несвідомо надсилаються на гаманець шахрая та не підлягають поверненню.

2. Крадіжка облікових даних

● Користувачі вводять свої облікові дані для входу та коди 2FA у підроблений застосунок.

● Шахраї використовують ці дані для входу в акаунт на офіційній платформі.

● Активи швидко переказуються або знімаються.

3. SMS-фішинг

● Жертви отримують SMS-сповіщення, такі як «термінове попередження безпеки» або «незвичайні дії на акаунті» з посиланнями для завантаження фейкового застосунку.

● Відчуваючи тиск, користувачі встановлюють застосунок і надають дозволи.

● Потім шахраї викрадають через застосунок конфіденційну інформацію, зокрема seed-фрази, або перехоплюють SMS-коди підтвердження, завдяки чому можуть отримати доступ до акаунта жертви.

4. Шкідливе програмне забезпечення

● Фейковий застосунок встановлює додаткове шкідливе програмне забезпечення у фоновому режимі.

● Такі програми можуть використовувати клавіатурні програми-шпигуни, що перехоплювати введення даних з інших програм.

● Вони можуть отримати доступ до приватних ключів або seed-фраз і завантажити їх.

5. Постійний моніторинг

● Застосунок працює у фоновому режимі, відстежуючи активність користувачів.

● Він захоплює вміст екрана, особливо під час використання фінансових застосунків.

● Зловмисники вичікують певного часу, щоб перехопити або змінити дані транзакцій.

Як працюють фейкові застосунки?

Фейкові застосунки поєднують технічний обман із соціальною інженерією:

1. Технічний обман

○ Дублювання інтерфейсу та коду:

■ Шахраї буквально клонують інтерфейс, функціонал і навіть вихідний код офіційного застосунку, тому фейкова версія виглядає майже ідентично до офіційної.

■ Вони змінюють офіційні APK-файли шляхом впровадження шкідливого коду або заміни адрес переказів для створення змінених версій.

○ Зловживання дозволами:

■ Вони надсилають запит на отримання доступу, наприклад, до SMS, контактів, відстеження місцезнаходження, щоб викрасти дані або керувати пристроєм дистанційно.

○ Перехоплення та шифрування звʼязку:

■ Перехоплення API використовується для перехоплення та зміни даних звʼязку між застосунком і його сервером.

■ Вони передають конфіденційну інформацію, таку як адреси транзакцій або паролі, через зашифровані канали.

○ Унеможливлення виявлення:

■ Шахраї заплутують код: вони змінюють його так, щоб його неможливо було прочитати або він був складним для аналізу. Так вони унеможливлюють автоматичне виявлення підробки.

■ Затримка активації: шкідливий код спрацьовує лише після встановлення або за певних умов.

■ Динамічне завантаження: шкідливий код завантажується після встановлення, одразу в застосунку його немає.

■ Поетапні запити на дозволи: запит на дозволи на доступ до конфіденційної інформації запитуються поступово, що знижує пильність користувачів.

2. Соціальна інженерія

○ Зловживання довірою:

■ Імітуючи перевірені платформи (наприклад, Bitget), фішингові застосунки отримують довіру користувачів і змушують їх забути про захисні заходи.

○ Створення ефекту терміновості:

■ Вони використовують тактику залякування (наприклад, надсилають повідомлення «Ваш акаунт під загрозою» або «Виявлено втрату активів») через SMS або push-сповіщення, щоб знизити пильність користувачів і змусити їх діяти швидко та необдумано.

○ Візуальна омана:

■ Використовувати нездатність користувачів помічати незначні візуальні розбіжності, використовуючи схожі візуальні елементи для обману.

■ Шахраї підвищують рівень довіри завдяки підробленим відгукам і кількістю завантажень.

○ Поширення на цільову авдиторію:

■ Шахраї орієнтуються на певні групи, зокрема спільноти криптоінвесторів, щоб підвищити рівень успішності атак.

○ Частий ребрендинг:

■ Вони постійно змінюють назви, значки та описи застосунків, щоб їх не викрили та їх намір продовжував реалізовуватися.

Як розпізнати фейковий застосунок

Звертайте увагу на такі червоні прапорці:

● Незвичайний значок: незначні, але помітні відмінності порівняно зі значком офіційного застосунку.

● Надмірна кількість запитів на дозволи: після встановлення ви отримуєте запит на дозвіл, який не здається необхідним.

● Підозрілі відгуки: або надмірно позитивні, або переважно негативні.

● Граматичні та орфографічні помилки: очевидні помилки в назві або описі застосунку.

● Незвичайний обсяг завантажень: справжня версія застосунку Bitget матиме велику кількість завантажень.

● Підозріла інформація про розробника: відсутні або вигадані дані про компанію.

● Сумнівні терміни запуску: будьте обережні із застосунками, які були запущені нещодавно, але при цьому мають велику кількість відгуків.

● Ненадійні джерела: посилання на застосунки, що поширюються через соціальні мережі, SMS або електронну пошту, а не через офіційні канали.

Захист безпеки Bitget

Bitget робить усе можливе, щоб ви були на крок попереду та мали всю інформацію про те, що відбувається на вашому акаунті.

Сповіщення електронною поштою

Якщо ви прив’язали свою електронну пошту, ви отримуватимете електронного листа щоразу, коли входитимете з нового пристрою. Ці електронні листи містять ваш антифішинговий код, код підтвердження, місце, з якого було здійснено вхід, IP-адресу та дані про пристрій. Витратьте хвилину й перевірте, чи відповідає вказана в листі інформація дійсності.

Якщо у ваш акаунт було здійснено вхід з іншого місця, ви отримаєте електронний лист із повідомленням про вхід. Обовʼязково перевірте, чи це були ви.

Під час зняття ви отримаєте електронний лист із кодом підтвердження та повною інформацією про транзакцію. Завжди перевіряйте, чи відповідають дані сумі, яку вводили ви.

Період тимчасового блокування (1 година або 24 години)

Щоб запобігти імпульсивним діям, спричиненим шахрайством, Bitget запровадила період тимчасового блокування. Це запобіжний захід, який спрацьовує, коли системи виявляє потенційні ризики для акаунта (наприклад, незвичне місце входу, підозрілі транзакції або підозра на шахрайство).

Період тимчасового блокування: залежно від рівня ризику (1 година або 24 години).

● 1-годинний період: при нижчому рівні ризику (наприклад, віддалений вхід) завдяки цьому блокуванню можна затримати зняття, щоб користувач встиг перевірити, що відбувається на акаунті.

● 24-годинний період: при вищому рівні ризику (наприклад, зміна методів верифікації чи підозра на фішинг) закривається доступ до зняття, завдяки чому користувач матиме час, щоб перевірити дії на акаунті й захистити себе за потреби.

Офіційні канали верифікації

Якщо ви не впевнені щодо особи відправника, ви завжди можете перевірити її через офіційний канал верифікації Bitget.

Найкращі методи захисту акаунта

Кілька методів 2FA

Двофакторна аутентифікація (2FA) — це надважливий рівень захисту, в якому потрібно підтвердити особу двома різними способами. Це може бути комбінація адреси електронної пошти, паролів, SMS, Google Authenticator, ключів безпеки чи інших методів підтвердження. При використанні кількох варіантів 2FA значно підвищується рівень безпеки та надійність вашого акаунта.

Встановити антифішинговий код

Антифішинговий код — це функція безпеки, яку надає Bitget, щоб допомогти користувачам ідентифікувати фішингові вебсайти. Після ввімкнення в усіх офіційних листах та SMS від Bitget (за винятком кодів для підтвердження через SMS) буде міститися цей унікальний антифішинговий код. Фішингові електронні листи та SMS не матимуть антифішингового коду, тому користувач зможе легко визначити, що лист або повідомлення надійшли не з офіційних каналів Bitget.

Щоб встановити код, перейдіть у свій Профіль > Безпека > Антифішинговий код і дотримуйтесь інструкцій на екрані.

Щоб дізнатися більше про антифішинговий код, перейдіть за цим посиланням.

Підтвердження адреси для зняття

Під час зняття через вебсайт Bitget є ризик перехоплення трафіку, коли шахраї змінюють вашу адресу зняття. Щоб запобігти цьому, Bitget пропонує використовувати перехресну верифікацію між пристроями. Щоб підтвердити адресу зняття, перед опрацюванням запиту вам потрібно буде відсканувати QR-код за допомогою мобільного застосунку Bitget.

Дотримуйтесь правил захисту акаунта

Встановіть антивірусне програмне забезпечення Завантажуйте застосунки та програмне забезпечення виключно з перевірених джерел і ніколи не переходьте за посиланнями, отриманими в SMS. Щоб ще більше підвищити безпеку свого акаунта, якщо у вас є така можливість, використовуйте окремий пристрій для всіх операцій, де потрібно вводити конфіденційні дані. Ніколи не кладіть всі яйця в один кошик. Не використовуйте один телефон для електронної пошти, SIM-картки та Google Authenticator. Якщо ви загубите чи втратите доступ до пристрою, на якому зберігатимете все одразу, ви можете втратити все. Розподіл ризиків може значно зменшити потенційні збитки.

Висновок: безпека починається з обізнаності — і вона починається з вас

Технології можуть надавати скільки завгодно рішень для кібербезпеки, але якщо ви не будете обізнаними й втратите пильність, вони не допоможуть. Шахраї заробляють на обмані та терміновості, але коли ви поінформовані, ви можете виявити пастку та одразу зреагувати. Bitget надає багаторівневу систему безпеки для захисту користувачів, але найпотужнішим запобіжником є ​​ваше власне розуміння ризиків. Кожна нова інформація, яку ви дізнаєтеся про можливі шахрайства, — це ще один щит, що захищає ваші активи.

Знання — це сила. Дія — це захист. Bitget продовжуватиме оновлювати інформацію для боротьби з шахрайством та попередження користувачів про ризики. Щоразу, коли ви перевіряєте дані або зважуєте свої дії, ви зачиняєте двері для шахраїв. Давайте працювати разом над захистом світу цифрових активів.

Докладніше: Найкращі заходи безпеки від Bitget

Повʼязані статті:

Безпека у Web3 – SMS-спуфінг

Сповіщення безпеки Web3 – Payzero

Безпека у Web3 – токени високого ризику

Безпека у Web3 – фейкові застосунки

Безпека у Web3 – зловмисні схвалення