Криптоджекинг, скрытый майнинг и здравый смысл

Джулия Магас — аналитик криптовалютного рынка, автор многочисленных публикаций, посвящённых широкому кругу явлений от музыки до новейших технологий и компьютерных игр, — даёт владельцам криптовалютных кошельков советы по защите от хакерских атак. Оригинал статьи опубликован на сайте Cointelegraph.

В начале июля портал Bleeping Computer выявил подозрительную активность, направленную на взлом 2,33 млн. биткоин-кошельков, которые оказались под угрозой. Атакующие использовали вредоносное ПО, взламывающее буфер обмена и способное замещать скопированный адрес кошелька адресом атакующего.

Угрозу хакерских атак такого рода лаборатория Касперского предсказывала ещё в начале ноября прошлого года. Теперь это самая распространённая категория атак с целью похищения пользовательских данных или средств, на долю которой приходится приблизительно 20% преступлений. Однако ещё 80%, как мы видим, охвачено другими схемами.

12 июля Cointelegraph опубликовал отчёт лаборатории Касперского, в котором утверждается, что за прошедший год преступники методами социальной инженерии сумели похитить более $9 млн. в ETH.

Кратко о проблеме

Упомянутый выше портал Bleeping Computer, работающий над повышением компьютерной грамотности, пишет о важности соблюдения базовых правил, что позволит обеспечить достаточный уровень защиты:

Большинство проблем технической поддержки вызваны не компьютерами, а тем фактом, что пользователям неизвестны базовые концепты, лежащие в основе вычислительных процессов. Эти концепты включают аппаратное оборудование, файлы и папки, операционные системы, интернет и приложения.

Подобную точку зрения разделяют многие криптовалютные эксперты. Один из них, инвестор и предприниматель Уриэль Охайон, в своём авторском блоге на Hackernoon подчёркивает личную ответственность пользователей:

Да, вы контролируете собственные активы, но ценой, которую вам приходится платить, служит личная ответственность за безопасность. Поскольку большинство пользователей нельзя назвать специалистами по киберзащите, они очень часто становятся жертвами преступников — неосознанно. Я всегда поражаюсь, видя, сколько людей вокруг, даже технически подкованных, не соблюдают элементарных мер безопасности.

По оценке Лекса Соколина, директора по финансовой стратегии в Autonomous Research, каждый год тысячи людей становятся жертвами сайтов-клонов и обычного фишинга, добровольно пересылая мошенникам порядка $200 млн. в криптовалютах и безвозвратно теряя эти средства.

О чём нам говорит этот факт? Хакеры, получающие доступ к криптовалютным кошелькам, используют главную уязвимость в системе — человеческую невнимательность и самонадеянность. Давайте проанализируем, как они это делают и как можно защитить собственные средства.

250 млн. потенциальных жертв

Исследование, проведённое американской компанией Foley & Lardner, показало, что 71% крупных криптовалютных трейдеров и инвесторов рассматривает кражу криптовалют как самый значительный фактор риска, негативно сказывающийся на рынке. 31% респондентов оценивает уровень угрозы глобальной криптовалютной индустрии в виде деятельности хакеров как очень высокий.

Эксперты Hackernoon проанализировали данные о хакерских атаках в 2017 году, которые можно условно разделить на три большие категории:

  • атаки на блокчейны, криптовалютные биржи и ICO;
  • распространение ПО для скрытого майнинга;
  • атаки, направленные на кошельки пользователей.

Удивительно, что опубликованная на сайте Hackernoon статья «Уловки умных хакеров» не обратила на себя достаточное внимание широкой публики. Очевидные, казалось бы, положения следует повторять вновь и вновь, поскольку, по данным RT, к 2024 году число пользователей криптовалют достигнет 200 млн.

Согласно результатам исследования, проведённого банком ING и Ipsos (в нём не рассматривалась Восточная Азия), приблизительно 9% европейцев и 8% граждан США владеют криптовалютами, а 25% населения планируют приобрести цифровые активы в ближайшем будущем. Таким образом, почти четверть миллиарда потенциальных жертв вскоре могут угодить в руки хакеров.

6 способов кражи вашей криптовалюты и как им противостоять

Перечислим шесть инструментов, которые чаще всего используют хакеры кражи вашей криптовалюты, и разберёмся, как этому помешать:

Приложения из Google Play и App Store

Чаще всего жертвами хакеров становятся владельцы Android-смартфонов, особенно если не используется двухфакторная аутентификация. Дело в том, что открытый код операционной системы Android делает её более уязвимой к вирусам и потому менее безопасной, чем iOS.

Хакеры добавляют в Google Play Store приложения от имени криптовалютных ресурсов. Когда такое приложение запускается, пользователи вводят конфиденциальные сведения, чтобы получить доступ к своим аккаунтам, и тем самым открывают доступ для хакеров.

Мишенями атак такого рода стали трейдеры, работавшие на американской криптовалютной бирже Poloniex. Они скачали приложения для мобильных устройств, размещённые хакерами в Google Play от имени площадки.

Команда Poloniex не разрабатывала приложений для Android, и её сайт не содержит ссылок на какие-либо мобильные приложения. По данным Лукаша Стефанко, аналитика вредоносного ПО в компании ESET, 5500 трейдеров стали жертвами этого ПО, пока его удалили из Google Play.

В свою очередь пользователи устройств iOS чаще скачивают из App Store приложения со скрытыми майнерами. Apple даже была вынуждена ужесточить правила размещения контента в своём магазине, чтобы препятствовать распространению такого ПО. Но это совершенно другая история: ущерб от подобного ПО несравним с убытками от взлома кошельков, поскольку майнер всего лишь замедляет работу устройства.

Советы:

  • Не увлекайтесь установкой мобильных приложений без особой на то нужды.
  • Используйте двухфакторную авторизацию во всех приложениях на смартфоне.
  • Старайтесь проверять ссылки на приложения на официальных сайтах проектов.

Боты в Slack

Начиная с середины 2017 года боты в Slack, ворующие криптовалюты, стали истинным бичом этого динамично развивающегося мессенджера. Чаще всего хакеры создают бот, извещающий пользователей о проблемах с их криптовалютами.

Цель бота в том, чтобы вынудить пользователя нажать на ссылку и ввести личный ключ. С той же скоростью, с которой возникают подобные боты, их блокируют пользователи. Несмотря на это, хакеры успевают получать энные суммы.

Самой масштабной и успешной хакерской операцией посредством Slack стала коллективная атака на Enigma. Злоумышленники использовали название Enigma, пока проект вёл предпродажу токенов, и похитили у доверчивых пользователей эфира на $500 000.

Советы:

  • Сообщайте о Slack-ботах с целью их блокировки.
  • Игнорируйте активность ботов.
  • Защищайте Slack-канал с помощью ботов Metacert или Webroot, ПО Avira или сервиса Google Safe Browsing.

Дополнения для криптовалютной торговли

Интернет-браузеры позволяют устанавливать расширения, адаптирующие интерфейс для более комфортной работы с биржами и кошельками. И проблема не только в том, что такие дополнения «читают» всё, что вы набираете, но и в том, что расширения разрабатываются на JavaScript. Это делает их в высшей степени уязвимыми к хакерским атакам.

С ростом популярности Web 2.0, Ajax и сложных интернет-приложений JavaScript и сопутствующие ему уязвимости получили широкое распространение. Кстати, многие расширения занимаются скрытым майнингом с помощью вычислительных ресурсов пользователей.

Советы:

  • Используйте отдельный браузер для операций с криптовалютами.
  • Выбирайте режим инкогнито.
  • Не скачивайте сомнительные криптовалютные надстройки.
  • Выделите отдельный компьютер или смартфон для занятий криптотрейдингом.
  • Скачайте антивирус и установите сетевую защиту.

Аутентификация через SMS

Занимающаяся кибербезопасностью компания Positive Technologies продемонстрировала, насколько легко перехватить SMS с паролем, пересылаемое с помощью протокола Signaling System 7 (SS7) — он используется практически по всему миру. Специалисты сумели взломать текстовые послания посредством собственного инструмента, который использует слабые места в сотовой сети. Эксперты продемонстрировали эту уязвимость на примере аккаунтов Coinbase, что шокировало пользователей биржи.

На первый взгляд, речь идёт о проблеме Coinbase, но истинный баг скрыт в самой сотовой сети, утверждают представители Positive Technologies. Этот эпизод подтверждает, что доступ к любой системе можно получить непосредственно через SMS (то есть такая двухфакторная аутентификация малоэффективна).

Советы:

  • Отключите переадресацию звонков, чтобы лишить атакующих доступа к вашим данным.
  • Не используйте привычную двухфакторную идентификацию через SMS (когда на телефон приходит пароль): применяйте вместо этого специальную программу для двухфакторной идентификации.

Публичная сеть Wi-Fi

В октябре прошлого года в протоколе WPA, который используют Wi-Fi-роутеры, была обнаружена неисправимая уязвимость.

После элементарной атаки KRACK (с повторной инсталляцией ключа) девайс пользователя переподключается к хакерской Wi-Fi-сети. Вся информация, скачанная или отправленная пользователем, становится доступна атакующим, включая ключи от криптовалютных кошельков.

Эта проблема особенно актуальна для общественных сетей Wi-Fi — на железнодорожных вокзалах, в аэропортах, отелях, кафе и прочих местах скопления больших групп людей.

Советы:

  • Никогда не используйте для криптовалютных транзакций публичный Wi-Fi (даже если у вас VPN).
  • Регулярно обновляйте ПО роутера: производители аппаратного оборудования постоянно выпускают обновления, направленные на защиту от подмены ключей.

Сайты-клоны и фишинг

Старые добрые методы взлома известны со времён дотком-революции, и они по-прежнему работают. В одном из вариантов атакующие создают полные копии оригинальных сайтов на доменах, которые отличаются лишь одним символом. Цель подобной уловки, включая подмену в адресной строке браузера, состоит в том, чтобы побудить пользователя перейти на сайт-клон и заставить его ввести пароль от аккаунта или закрытый ключ.

При другой схеме людям рассылаются электронные письма, напоминающие «настоящую» рассылку проекта. Они призваны заставить вас нажать на ссылку и ввести личные данные. Согласно сайту Chainalysis, мошенники, прибегающие к такому методу, уже похитили $225 млн. в криптовалютах.

Советы:

  • Никогда не взаимодействуйте с криптовалютными сайтами в отсутствие протокола HTPPS.
  • Используя Chrome, установите расширение (например, Cryptonite), которое показывает адреса подменю.
  • Получая сообщения от любых криптовалютных ресурсов, копируйте ссылку в адресное поле браузера и сравнивайте её с адресом изначального сайта.
  • Если что-то кажется подозрительным, закройте окно и удалите письмо.

Вместо заключения: Криптоджекинг, скрытый майнинг и здравый смысл

Обнадёживает то, что хакеры постепенно теряют интерес к примитивным атакам на кошельки в силу растущего сопротивления со стороны криптовалютных сервисов и роста осведомлённости пользователей. Сейчас в центре внимания киберпреступников оказался скрытый майнинг.

По данным McAfee Labs, в первом квартале 2018 года во всём мире было зарегистрировано 2,9 млн. образцов вредоносного ПО, связанного с криптоджекингом. Это на 625% больше, чем в последнем квартале 2017 года. Тайный майнинг привлекателен для хакеров своей простотой, поэтому они массово к нему прибегают.

Плохая новость в том, что общая активность хакеров нисколько не уменьшилась. Специалисты компании Carbon Black сообщают, что по состоянию на июль 2018 года в дарквебе работают приблизительно 12 000 торговых платформ, предлагающих примерно 34 000 вредоносных программ. Средняя цена ПО на такой платформе составляет около $224.

Но как эти программы попадают на компьютеры?

Давайте вернёмся к новостям, с которых начали. 27 июня пользователи начали оставлять на форуме Malwarebytes сообщения о программе под названием All-Radio 4.27 Portable, которую хакеры тайно устанавливали на их устройства. Ситуацию осложнял тот факт, что программу невозможно было удалить. Хотя в изначальной форме это был безобидный и популярный просмотрщик файлов, хакеры модифицировали ПО, создав версию, наполненную неприятными сюрпризами.

Конечно, этот набор содержит скрытый майнер — но он всего лишь замедляет работу компьютера. В нём есть и программа, отслеживающая буфер обмена и подменяющая адреса, когда пользователь копирует и вставляет пароль. Она уже собрала данные 2 343 286 биткоин-кошельков потенциальных жертв.

Впервые в истории хакеры заполучили огромную базу данных владельцев криптовалют: до сих пор подобные программы собирали куда более скромный набор адресов для подмены. В рамах этой схемы пользователь добровольно переводит средства на адрес кошелька атакующего. Единственный способ защитить криптовалюту от подобной атаки состоит в том, чтобы внимательно проверять введённые адреса. Это не очень удобно, зато надёжно и может стать полезной привычкой.

Благодаря опросу жертв All-Radio 4.27 Portable выяснилось, что вредоносное ПО попало на компьютеры в результате неразумных действий самих пользователей. Эксперты из Malwarebytes и Bleeping Computer обнаружили, что пострадавшие взламывали лицензионные программы и игры, а также использовали активаторы Windows, такие как KMSpico. Таким образом, хакеры находили жертв среди людей, сознательно нарушавших авторские права и правила безопасности.

Патрик Уордл, известный эксперт по вредоносному ПО для компьютеров Mac, часто пишет в своём блоге о том, что многие вирусы, нацеленные на обычных пользователей, в высшей степени примитивны. Поэтому стать жертвой таких хакерских атак особенно обидно. Напоследок хотелось бы напомнить читателям совет Брайана Уоллеса, консультанта Google Small Business:

Шифрование, антивирусное ПО и многофакторная идентификация позволяют защитить активы лишь до известной степени; ключ к успеху — превентивные меры и элементарный здравый смысл.

https://mining-cryptocurrency.ru/feed/