جعل اطلاعات پرداخت (Spoofing) و فیشینگ (phishing)

 جهت مشاهده خرید با تخفیف کلیک کنید

جعل اطلاعات پرداخت (Spoofing) و فیشینگ (phishing)

ما بحث را با مشکلات رایجی نظیر روش قدیمی سرقت آغاز می کنیم.

بگذارید این مثال را بزنم که شما می خواهید به یک دوست، پول انتقال دهید. آدرس کیف پول او را به دقت کپی می کنید اما بدافزار یک آدرس دیگری را در کلیپ برد(clipboard) جایگزین می کند. کاربر هم متوجه نمی شود و هم این که پس از کپی، به خصوص اگر آدرس شامل کاراکترهای نامفهوم و درهم بسیاری باشد، آن را مجدد چک نمی کند.
یا به عنوان مثالی دیگر در این زمینه، فیشینگ را در نظر بگیرید. همانند پول های الکترونیکی مرسوم و متداول، کاربران ممکن است برای ورود به یک وب سایت فیشینگ، فریب بخورند و در آن سایت، کیف پول ارزِ رمزگذاری شده خود(crypto wallets) را آپلود نموده و رمز عبور را وارد کنند.
البته، کاربران سنتی بانک یا یک سیستم پرداخت نیز ممکن است با مشکل سرقت های سایبری مواجه شوند. با این حال، در یک سیستم پرداخت سنتی، همیشه امکان نسبتاً خوبِ لغو کردن انتقال وجود دارد. در مورد ارزهای رمزنگاری شده، شما می توانید از سرقت های سایبری به سازمان ملل شکایت کنید زیرا هر اتفاقی که در بلاکچین می افتد، درون آن ثبت شده و باقی می ماند.

هک کردن یک درگاه (gateway) پرداخت

حتی استفاده از یک دروازه ی پرداخت واقعی با آدرسی درست می تواند منجر به از دست دادن پول شود. در ژوئن 2017(خرداد 1396)، ناگهان سرقت از محبوب ترین کیف پول تحت وب برای اتریوم کلاسیک، با آدرس اصلی classicetherwallet.com، آغاز شد.
معلوم شد که هکرها از روش های مهندسی اجتماعی(social-engineering) استفاده کرده اند تا ارائه دهنده ی خدمات هاستینگ(میزبانی وب) را متقاعد کنند که آن ها صاحبان واقعی دامنه هستند. پس از به دست آوردن دسترسی، شروع به مسدود کردن وجوه در گردش کردند

خوشبختانه، استراتژی که هکرها به کار گرفتند بهترین روش نبود- آن ها بلافاصله دریافت کننده ی وجه را تعویض کردند، بنابراین سریعاً هویت دروغینشان افشا شد و فقط توانستند 300.000 دلار در طول چندین ساعت به سرقت برند. اگر آن ها وجوه کیف پول ها را جمع می کردند و مدتی کوتاه منتظر می ماندند، برای مدتی بسیار بیشتر ناشناس می ماندند و احتمالاً خسارت سنگین تری وارد می کردند.
اگر منصفانه به این موضوع بنگریم، سرویس های مالی کلاسیک نیز ممکن است در دام چنین حمله ای بیفتند. برای مثال، امسال در برزیل، هکرها کل موجودی یک بانک را به سرقت بردند.

خطای وارد کردن آدرس توسط کاربر

موارد پیشین، مشکلات عادی کیف پول های الکترونیکی بودند؛ اما همانطور که پیشتر گفتیم، ارزهای رمزنگاری شده علاوه بر این ها مشکلات خودشان را نیز دارند. برای مثال، یکی از ریسک هایی که مخصوص ارزهای رمزنگاری شده است، از دست دادن پول به دلیل بروز خطا در آدرسی که برای انتقال پول ساخته شده است.
در مورد اتریوم، اگر آخرین رقم آدرس کپی نشود، پول ناپدید می شود! یا به جایی می رود که برای آن تعیین شده، اما مبلغ پولی که شما برای انتقال در نظر گرفته بودید، در 256 ضرب خواهد شد.
این خطا به بیت کوین مربوط نمی شود؛ سیستم بیت کوین برپایه ی اعتبارسنجی آدرس بنا شده است. اما با این حال در بیت کوین، ممکن است شما پول را به یک گیرنده ی مشکوک ارسال کنید.
از دست دادن 800 بیت کوین چقدر اعصابتان را خورد می کند؟ (که 800 بیت کوین حدود 6 میلیون دلار(24 میلیارد تومان) است).

یا ممکن است سهواً مبلغ 80 بیت کوین برای فیِ تراکنش بپردازید! (حدود600 هزار دلار (2میلیارد و 400 میلیون تومان)). منصفانه باید گفت که سر زدن این نوع خطا از یک استفاده کننده قدیمیِ بیت کوین بعید است، این موارد، بیشتر شبیه به این هستند که مردم از ابزارهای دست ساز(بدون کیفیت و تست نشده) استفاده کرده باشند.

از دست دادن فایل کیف پول(wallet file) (فایلی که حساب ساخته شده در آن واقع شده است)

مشکل دیگری که در ارزهای رمزنگاری شده مرسوم است، از دست دادن یا به سرقت رفتن کیف پول است. اکثر کاربران، فایل کیف پولشان را در کامپیوترشان ذخیره می کنند. به همین دلیل این فایل ها ممکن است توسط یک بدافزار به سرقت روند یا اگر هارد کامپیوتر خراب شود از دست بروند.
به همین دلیل کاربران حرفه ای تر، از کلید مخفی خودشان کپی می گیرند و کیف پول های سخت افزاری USB خریداری می کنند. اما تعداد این کاربران کم است.
در حال حاضر پول الکترونیکی متمرکز، به مراتب وضعیت بهتری دارد. امروزه اینترنت بانکی که به احراز هویت دو مرحله ای و تأیید تراکنش ها از طریق اس ام اس با ارسال یک رمز عبور یکبار مصرف(one-time-use)، نیاز نداشته باشد، نادر است. و در مورد شرکت ها یا مبالغ بالا استفاده از یک توکن USB اجباری است.

ICOهای ناامن

در سال 2017(1396)، سرمایه گذاری در پروژه های مربوط به بلاکچین یا ارزهای رمزنگاری شده در میان دارندگان این ارزها محبوبیت بسیاری یافت. این نوع جمع آوری پول، ICO(عرضه ی اولیه ی سکه) نام گرفته است.
شما می توانید در پست های قبلی ما در این رابطه اطلاعات مورد نیاز را به دست بیاورید، بنابراین ما دیگر جزئیات دقیق و فنی را در اینجا تکرار نمی کنیم.
پیامد این امر به طور خلاصه این است که استفاده از ارزهای رمزنگاری‌ شده به سادگی باعث شده که بودجه هنگفتی تنها با یک اتصال اینترنتی به دست آید. تاکنون تنها در سال 2017، بیش از 1.7 میلیارد دلار بودجه از طریق ICOها به دست آمده است. شاید شما خیلی درباره ی پروژه های موفق نشنیده باشید اما سرمایه گذاران هنوز هم خوش بین هستند.
پس مشکل کجاست؟ مشکل این است که بازار ارزهای رمزنگاری شده هنوز به اندازه ی لازم تنظیم نشده است، یعنی هنوز هیچ مکانیزم ارزیابی ریسک وجود ندارد و هیچ تضمینی برای بازگشت سرمایه، به جز قول و ضمانت شفاهی دست اندرکاران، وجود ندارد. به طور کلی، صرف این که کسی ایده ای داشته باشد به این معنی نیست که ایده اش خوب یا حتی اجرایی و شدنی باشد، یا محصول آن سودآور باشد یا اینکه ارائه دهنده ی طرح، پول را واقعاً برای اجرای آن صرف خواهد کرد، نه اینکه به مسئول اجرا (خودش) بپردازد. با توجه به اینکه در بازار ارزهای رمزنگاری شده، ردیابی و شناسایی دریافت کننده ی پول به سادگی امکان‌پذیر نیست، در نهایت، ممکن است وی به راحتی همراه با پول فرار کند.

جعل آدرس یک کاربر

گاهی اوقات، روش ساده تری هم برای ربودن پول وجود دارد. جمع آوری وجوه در یک ICO، معمولاً در مدت زمان معینی آغاز می شود و هنگامی که مبلغ مورد نیاز جمع آوری شد، خاتمه می یابد. در زمان شروع، آدرس مکان جمع آوری به وب سایت پروژه ارسال می شود (البته هیچ الزامی در آن نیست، بلکه تنها یک روش رایج است).
در طول ICO، یک هکر به وب سایت پروژه دسترسی می یابد و تا ICO باز می شود آدرس را با آدرس خودش جایگزین می کند. در یک ساعت چند هزار شرکت کننده، چندین میلیون دلار به دارایی اضافه می کنند. سپس آدرس ها به عنوان آدرس جعلی مشخص (برچسب گذاری) می شوند. اما در صورتی که از فعالیت این سرمایه گذاران مشتاق، ممانعت به عمل نیاید، بسیاری از آن ها به انتقال پول به همان آدرس جعلی ادامه می دهند و هکر چند میلیون دلار دیگر در آن روز به دست می آورد.