 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
フィッシング
フィッシングとは何ですか?
クリプト フィッシングは、被害者を攻撃して、知らないうちに秘密鍵を暴露する一般的な方法です。被害者は、正規の Web サイトまたは電子メールを装い、攻撃者を信頼するように騙されます。情報を入手した後、被害者の資金は財布から抜き取られます。
仮想通貨フィッシングは業界でますます大きな現象になりつつあり、攻撃者は被害者のウォレットや取引所アカウントをターゲットにしています。
クリプトフィッシングはどのように行われるのでしょうか?
一般的な暗号フィッシング攻撃は、大量の電子メールやメッセージを送信することです。電子メールやメッセージは、被害者が本物のメッセージを受信していると信じ込ませるために、できる限り現実的に見えるように特別に設計されています。多くの場合、これらの電子メールは、暗号通貨取引所またはプロトコルのユーザーをターゲットにしています。
通常、メッセージには本物に見える偽の Web サイトへのリンクが含まれています。フィッシング攻撃の目的は、被害者がリンクをクリックしてログイン情報を入力させ、本物の Web サイトにアクセスしていると思わせることです。このメッセージは、緊急事態またはログイン詳細の変更要求という偽の口実で送信されることがよくあります。被害者がログイン情報を入力すると、攻撃者はアカウントへのアクセスに必要なすべてのデータを取得し、アカウントからすべての資金を流出させます。 DeFi では、被害者が悪意のあるプロトコルでトランザクションに署名し、知らずにウォレットへのアクセスを許可してしまう可能性もあります。
一般的な暗号フィッシング攻撃とは何ですか?
クリプトフィッシング攻撃にはいくつかの異なる種類があります。
スピアフィッシング
スピア フィッシング攻撃は、最も典型的なクリプト フィッシング攻撃の 1 つであり、オンラインでの安全を確保する方法を理解する上で、候補リストに入るはずです。これらは、本物に見える偽の電子メールまたはメッセージを通じて実行される攻撃のタイプを指します。
DNSハイジャック
DNS ハイジャックは認識が難しいため、クリプト フィッシング攻撃の中で人気が高まっています。彼らは本物の Web サイトを乗っ取り、本物の Web サイトを偽のインターフェイスに置き換え、ユーザーに偽のサイトにログイン情報を入力させることを目的としています。
ユーザーは、VPN を使用し、暗号化されたチャネル経由で情報を転送することで、DNS ハイジャックから身を守ることができます。もう 1 つの方法は、Web サイトが正規のものであり、信頼できる認証を受けているかを再確認することです。偽の Web サイトは、小さなタイプミスやその他の不正確さによって正体が明らかになることがよくあります。
偽のブラウザ拡張機能
偽のブラウザ拡張機能は、MetaMask ウォレットなどの人気のある拡張機能をターゲットにしています。原理は他の攻撃と同じで、被害者は騙されて偽のインターフェースにログイン情報を入力させられます。これらの偽の拡張機能は、本物の拡張機能に似た名前を使用し、初心者ユーザーに本物と混同させようとします。ユーザーレビューやチームのチェックを通じてアプリストアでの正当性を確保することで、偽の拡張機能を回避できます。拡張機能を公式 Web サイトからのみダウンロードすることもできます。
暗号化マルウェア
別のタイプのクリプト フィッシング攻撃は、前述のオプションのいずれかを介してインストールされるマルウェアです。この攻撃は仮想通貨とはまったく関連していない可能性があります。その代わりに、攻撃者はユーザーに一見無害なリンクをクリックさせようとし、ユーザーには気づかれずにキーロガーのようなマルウェアをインストールさせます。これは後で必要な情報を取得し、資金を排出するために使用されます。
フィッシングボット
フィッシング ボットは、情報を取得するために被害者に大量のメッセージを送信する自動プログラムです。これらは、ユーザーにスパムを送信し、だましてユーザーの詳細を明らかにするために、他のタイプの攻撃と併用されます。
アイスフィッシング
アイス フィッシング攻撃では、偽のトランザクションを使用して被害者に秘密キーを明らかにさせる可能性があります。たとえば、これらの攻撃はエアドロップを使用して被害者をだまして取引に署名させ、知らないうちに秘密鍵と資金を攻撃者に放棄させる可能性があります。
クリプトフィッシング攻撃を認識する方法
誰かがあなたのデータをフィッシングしようとしていることを認識するには、いくつかの方法があります。
タイプミスと文法エラー:フィッシング詐欺師による電子メールやメッセージには、タイプミスや、実際に受け取ったものとは異なる口調の文言が含まれている場合があります。
コピーキャット: フィッシング詐欺師は、本物と完全に同じではないものの、類似したロゴやブランド カラーを使用することがよくあります。
偽のリンク: 使用されるリンクは、ほとんどの場合、実際の Web サイトとは異なります。たとえば、攻撃者はドメイン名のタイプミスを使用したり、短縮されたリンクを通じてドメイン名を隠そうとしたりする可能性があります。
偽の電子メール アカウント:送信者のアドレスは実際のものとは異なり、企業アドレスではなくパブリック電子メール アドレスが含まれる場合があります。
クリプトフィッシング攻撃から身を守る方法
いくつかの簡単な手順で、暗号通貨フィッシング攻撃から身を守ることができます。
仮想通貨取引所などからの一見本物に見える電子メールの正当性を再確認してください。
電子メールが正規のものであることを確認していない場合は、リンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
強力なパスワードと 2 要素認証を使用してください。
秘密鍵などの個人データを共有しないでください。
拡張機能は公式ソースからのみダウンロードし、その有効性を確認してください。
ダイレクト メッセージ内のリンクや、知らない送信者からのリンクをクリックしないでください。
可能な限り VPN を使用してください。
| 信頼できる実行環境(TEE) 信頼できる実行環境(TEE)は、メインプロセッサ内の安全な領域であり、外部の世界からの改ざんや観察を恐れることなく、敏感なコードとデータが動作できる保護スペースを提供します。 |
| 人間の鍵 人間の鍵は、あなたが何であるか、あなたが知っていること、またはあなたが持っているものから派生した暗号化キーです。それらは、デジタル資産を保護し、プライバシーを保護し、分散型Webにアクセスするために使用されます。 |
| オープンファイナンス(openfi) 「Open Finance」の略であるOpenFiは、従来の金融(TRADFI)を分散型金融(DEFI)と統合する財務フレームワークです。 |
| Rollups-as-a-service(raas) Rollups-as-a-Service(RAAS)により、ビルダーは独自のロールアップをすばやく構築および起動できます。 RAASプロバイダーは、基礎となる技術スタックのカスタマイズ、ノーコード管理、コアインフラストラクチャとのワンクリックカスタム統合など、エンドツーエンドのソリューションを提供します。 |
| データの可用性サンプリング(DAS) データ可用性サンプリング(DAS)は、各参加者がデータセット全体をダウンロードする必要なく、分散型アプリケーションをブロックデータの可用性を検証できるようにする方法です。 |
| 複数のデータ可用性(Multida) このブロックチェーンアーキテクチャでは、複数のデータ可用性(DA)サービスを使用して、データの冗長性を確保しています。 |