Остерегайтесь криптомошенников!

[witcher_sense]

А принципиально новых схем нет в принципе. Всё было описано ещё в античной литературе. Природа человека меняется не так сильно, поэтому базовые методы остаются теми же, меняется только фантик, в который это всё упаковывается.

Это правда, и еще меняются протоколы, на которых эти мошенничества происходят: раньше обмануть можно было разве что при прямом контакте, а сейчас все можно делать удаленно через Интернет с людьми, с которыми вы никогда в жизни не встретитесь лично. Также меняются и методы распознавания намерения вас обмануть: тут уже не как в покере нужно уметь читать эмоции и действия своего оппонента, здесь требуются умения и знания в области сетевой и компьютерной безопасности.

И я и сам на какие-то новые фантики мог покупаться или почти покупаться, поэтому напоминать о простых правилах, которые работают сейчас и помогут уберечься хотя бы от наиболее распространённых схем мошенничества, это ИМХО помогает какой-то части людей не попасться на уловки мошенников. Кажется, даже в прошлом году я перешёл по ссылке из хорошо сымитированного фишингового канала в телеграме и остановился только на этапе, когда там предлагалось подписать что-то через МетаМаск, хотя спросонья уже думал ссылку перенести в тот браузер, где есть метамаск. Пусть у меня на том метамаске практически ничего и нет, но всё равно эта история подсказывает, что обмануть можно и меня, и только мантра, что со вводом подобных данных никогда не надо спешить, и всё надо перепроверить, остановила меня в нужный момент. А если бы я эту мантру тут не писал неоднократно, а на метамаске у меня что-то лежало? Так что напомнить лишний раз ИМХО совсем не лишне.

Еще как вариант можно ограничить свой круг интересов, источников новостей и набор каналов, которые вы посещаете. За каждую удобную возможность заработать хвататься точно не стоит, потому что одна такая неудача, один изощренный фишинг и все предыдущие заработки могут резко исчезнуть. Но это разумеется дело каждого, кому-то удается и зарабытывать миллионы, и надежно их защищать от мошенников.

[1714299565]

1714299565

[1714299565]

1714299565

[1714299565]

1714299565

[Altryist]

CEO и сооснователь ориентированного на безопасность криптокошелька Nest Билл Лу потерял 52 stETH (~$125 000), став жертвой аирдроп-скамеров. Он заинтересовался раздачей токена LFG, о которой стало известно 1 января. Проект вознаграждает пользователей Ethereum, потративших с 2016 года более $4269 на транзакционные комиссии, мотивируя их к переходу на блокчейн Solana. Лу кликнул по ссылке поисковой выдачи Google, которая вела на мошеннический сайт.

Он отметил, что использовал MetaMask вместо работающего в тестовом режиме Nest, в котором предстояло исправить некоторые баги.

«Моделирование транзакций просто необходимо, — подчеркнул он в разговоре с The Block. — В Nest Wallet это встроено, но в MetaMask полностью отсутствует. Этого можно было полностью избежать». https://forklog.com/news/glava-nest-wallet-poteryal-125-000-iz-za-fejkovogo-airdropa

В этом месте все стало похоже на рекламу Nest Wallet.   (хотя как то дороговато).

Но Лу не единственный опытный криптан, пострадавший от скам-аирдропа. Кошельки многих других пользователей были опустошены аналогичным образом.

[Altryist]

Взломан твиттер Certik. Сегодня Revoke Cash предупредили о взломе профиля ориентированной на аудит безопасности смарт-контрактов компании CertiK в соцсети X.




Злоумышленники указали, что якобы возникла проблема с контрактом маршрутизатора Uniswap. Они разместили поддельную ссылку на Revoke Cash с целью хищения средств пользователей. В сообществе призвали не кликать на ссылки и не взаимодействовать с профилем CertiK. На момент написания пост удален. Представители компании пока не прокомментировали инцидент.

Не так давно аналогичная атака была на их Дискорд.

[klarki]

Сегодня Revoke Cash предупредили о взломе профиля ориентированной на аудит безопасности смарт-контрактов компании CertiK в соцсети X.

Пиздец) Без комментариев   Хотя, они довольно быстро сориентировались и твит был в паблике всего 14 минут.


таймлайн:

Code:

Timeline:  

- 08:48 am UTC, the twitter account was compromised and a tweet with phishing link was posted.  

- 08:55 am UTC, we detected the breach and started the recovery.  

- 09:02 am UTC, the first phishing tweet was deleted.  

- 09:25 am UTC, we concluded the initial investigation and the risk has been eliminated.

Пруф: https://twitter.com/CertiK/status/1743252309662912937

Если есть пострадавшие, то Certik просит связаться с ними.

[witcher_sense]

Пиздец) Без комментариев   Хотя, они довольно быстро сориентировались и твит был в паблике всего 14 минут.

Конечно иронично, что специалисты по аудиту безопасности смарт-контрактов не смогли сделать аудит своего собственного сетапа, но для хакером такие уели являются самыми вкусными, потому что позволяют обмануть гораздо большее количество пользователей. Даже опытный криптан может потерять бдительность и кликнуть на ссылку, если она запощена аккаунтом от такой хорошо известной компании.

Тем временем на https://www.nobsbitcoin.com/scam-bitcoin-wallets-apple/ сообщается, что фейковые биткоин-кошельки продолжают публиковаться и оставаться в App Store неделями несмотря на многочисленные репорты. В частности там были замечены такие хорошо известные кошельки (точнее их фейковые копии) как Sparrow Wallet, Samourai Wallet и Electrum. Схема развода стандартная: просят ввести сид-фразу, отправляют ее сервера злоумышленников, а вам выдают сообщение об ошибке.

[Cryptmuster]

Теперь и аккаунт CoinGecko в твиттере взломали.

«Наши Twitter-аккаунты CoinGecko и GeckoTerminal скомпрометированы. Мы предпринимаем шаги для расследования ситуации и обеспечения безопасности наших учетных записей. Пожалуйста, НЕ нажимайте на какие-либо ссылки и НЕ взаимодействуйте с подозрительным контентом», — написала команда.

Хакеры разместили на взломанных страницах сообщение про раздачу 125 000 токенов под названием GCKO. Якобы запускаемой монетой CoinGecko можно будет оплачивать API большинства крупных провайдеров Web3-инфраструктуры вроде Ankr, утверждали скамеры. В комментариях под сообщением о взломе пользователи активно интересовались, была ли включена двухфакторная аутентификация (2FA), проводя параллели со взломом учетной записи SEC.

Через несколько часов в CoinGecko сообщили, что восстановили контроль над аккаунтами.

«Несмотря на включение 2FA и надежные меры безопасности, один из членов нашей команды случайно нажал на мошенническую ссылку Calendly, предоставив несанкционированный доступ к приложению хакеру, который затем разместил сообщение от нашего имени», — пояснила команда.

[TopTort777]

Быть взломанным становится популярно. Не взломали твиттер = лох Это все Элон виноват. Вот во время иных владельцев твиттера такого не было. Были какие-то единичные случаи, и кражи ютуб каналов. Сейчас что ни месяц, так владелец синей галочки кричит о взломе. Но как и всегда, это не хакеры такие крутые, а пользователи слишком безответственные. Подключат и авторизируются где попало, а потом "украли!".

[klarki]

Быть взломанным становится популярно. Не взломали твиттер = лох Это все Элон виноват. Вот во время иных владельцев твиттера такого не было. Были какие-то единичные случаи, и кражи ютуб каналов. Сейчас что ни месяц, так владелец синей галочки кричит о взломе. Но как и всегда, это не хакеры такие крутые, а пользователи слишком безответственные. Подключат и авторизируются где попало, а потом "украли!".

Особенно удивили челы из Certik (у них и без этого инцидента репутация была не ахти)  И опять все прошло через Calendly) KuCoin, Uniswap, Виталик, Aptos, Sandbox, Circle, Robinhood. Кто следующий?  И у всех одни и те же проблемы (подмена/дубль сим или фишинг).

[Smartprofit]

Пиздец) Без комментариев   Хотя, они довольно быстро сориентировались и твит был в паблике всего 14 минут.

Конечно иронично, что специалисты по аудиту безопасности смарт-контрактов не смогли сделать аудит своего собственного сетапа, но для хакером такие уели являются самыми вкусными, потому что позволяют обмануть гораздо большее количество пользователей. Даже опытный криптан может потерять бдительность и кликнуть на ссылку, если она запощена аккаунтом от такой хорошо известной компании.

Тем временем на https://www.nobsbitcoin.com/scam-bitcoin-wallets-apple/ сообщается, что фейковые биткоин-кошельки продолжают публиковаться и оставаться в App Store неделями несмотря на многочисленные репорты. В частности там были замечены такие хорошо известные кошельки (точнее их фейковые копии) как Sparrow Wallet, Samourai Wallet и Electrum. Схема развода стандартная: просят ввести сид-фразу, отправляют ее сервера злоумышленников, а вам выдают сообщение об ошибке.

Да, жёстко всё ... Скачать себе не тот (фейковый) криптовалютный кошелёк это совсем гиблое дело. Я думаю, что всё это нужно продумывать заранее. И никогда такие дела не делать "на автомате", всегда надо быть осознанным в момент подготовки к транзакции.
Нужно заранее разобраться, какой адрес у официального сайта и всегда перед транзакцией проверять не изменился ли он. Также, на мой взгляд, набирать этот адрес в браузере нужно ручками (а не копированием) и с полной осознанностью, тщательно контролируя правильность ввода.
Магазинам приложений похоже верить нельзя... Но если вы ими пользуетесь, то соблюдайте правила безопасности, например, смотрите количество пользователей. У фейковых кошельков оно не может быть слишком большим. А ещё лучше каждый раз запоминайте, записывайте число пользователей. Ну и вообще будьте внимательными и осторожными.

[klarki]

Но если вы ими пользуетесь, то соблюдайте правила безопасности, например, смотрите количество пользователей. У фейковых кошельков оно не может быть слишком большим. А ещё лучше каждый раз запоминайте, записывайте число пользователей. Ну и вообще будьте внимательными и осторожными.

Можно еще смотреть на дату листинга в маркете и автора. А так да, увы, но зачастую фейковые приложения довольно долго висят в маркетах, даже в Appstore, который ранее был более внимателен к листингу приложений. С PlayMarket дела обстоят куда хуже.

[Etranger]

Пиздец) Без комментариев   Хотя, они довольно быстро сориентировались и твит был в паблике всего 14 минут.

Конечно иронично, что специалисты по аудиту безопасности смарт-контрактов не смогли сделать аудит своего собственного сетапа, но для хакером такие уели являются самыми вкусными, потому что позволяют обмануть гораздо большее количество пользователей. Даже опытный криптан может потерять бдительность и кликнуть на ссылку, если она запощена аккаунтом от такой хорошо известной компании.

Тем временем на https://www.nobsbitcoin.com/scam-bitcoin-wallets-apple/ сообщается, что фейковые биткоин-кошельки продолжают публиковаться и оставаться в App Store неделями несмотря на многочисленные репорты. В частности там были замечены такие хорошо известные кошельки (точнее их фейковые копии) как Sparrow Wallet, Samourai Wallet и Electrum. Схема развода стандартная: просят ввести сид-фразу, отправляют ее сервера злоумышленников, а вам выдают сообщение об ошибке.

Да, жёстко всё ... Скачать себе не тот (фейковый) криптовалютный кошелёк это совсем гиблое дело. Я думаю, что всё это нужно продумывать заранее. И никогда такие дела не делать "на автомате", всегда надо быть осознанным в момент подготовки к транзакции.
Нужно заранее разобраться, какой адрес у официального сайта и всегда перед транзакцией проверять не изменился ли он. Также, на мой взгляд, набирать этот адрес в браузере нужно ручками (а не копированием) и с полной осознанностью, тщательно контролируя правильность ввода.
Магазинам приложений похоже верить нельзя... Но если вы ими пользуетесь, то соблюдайте правила безопасности, например, смотрите количество пользователей. У фейковых кошельков оно не может быть слишком большим. А ещё лучше каждый раз запоминайте, записывайте число пользователей. Ну и вообще будьте внимательными и осторожными.

Меня вообще очень настораживает, когда какое-то приложение просит ввести секретную фразу. Большинство кошельков (нормальных) помимо приложения, имеют ведь и браузер-версию. И вход с нового устройства можно осуществить через QR-код, подтверждая это все дело смс-ками, аутентификатором и почтой.

Да и вообще более безопасным выглядит вариант пользования одним, максимум двумя кошельками, но в которых вы разбираетесь как можно лучше. А то с новыми продуктами можно действительно попасть в неприятные и убыточные ситуации.

[witcher_sense]

Да, жёстко всё ... Скачать себе не тот (фейковый) криптовалютный кошелёк это совсем гиблое дело. Я думаю, что всё это нужно продумывать заранее. И никогда такие дела не делать "на автомате", всегда надо быть осознанным в момент подготовки к транзакции.

Это касается в основном новичков, которые гуглят названия кошельков и переходят по первым попавшимся ссылкам на скамные приложения кошельков и всякие фейковые платформы. А старичкам это приходится делать реже, потому что все необходимое у них уже скачано и все ссылки добавлены в браузерные закладки. Но разумеется никто не застрахован от прпадания на очередной фишинг.

Нужно заранее разобраться, какой адрес у официального сайта и всегда перед транзакцией проверять не изменился ли он. Также, на мой взгляд, набирать этот адрес в браузере нужно ручками (а не копированием) и с полной осознанностью, тщательно контролируя правильность ввода.

В проверке адресов очень сильно помогают менеджеры паролей типа Bitwarden: если вы зарегистрированы на какой-то платформе и добавили ее в менеджер пародей, то он будет предлагать ввод логина и пароля только для реального сайта, а фейковый будет заигнорирован. Это позволит заподозрить неладное заранее и может спасти от попадания ваших денег мошенникам. Ну и еще полезно проверять адреса на предмет паникодов: https://www.punycoder.com/

[bakasabo]

В проверке адресов очень сильно помогают менеджеры паролей типа Bitwarden: если вы зарегистрированы на какой-то платформе и добавили ее в менеджер пародей, то он будет предлагать ввод логина и пароля только для реального сайта, а фейковый будет заигнорирован. Это позволит заподозрить неладное заранее и может спасти от попадания ваших денег мошенникам.

Это способ (менеджеры паролей типа Bitwarden) имеет какое-то преимущество перед простым сохранением паролей в браузере? Ведь они сохраняются на определенный сайт, и если на него зайти, логин и пароль заполнятся автоматом. А зайдя на какой-нибудь https://www.binanse.com/en - нет. В моем понимании Bitwarden и менеджер паролей в браузере выполняют одинаковые действия, только за сохранность данных к браузеру отвечает пользователь, а за Bitwarden пользователь и третье лицо.

У меня нет опыта пользования разными менеджерами; не знаком с их плюсами и минусами. В моем видении это что-то типа блокнота с паролем на вход, где хранятся логины и пароли. Но при подобном, мне лучше хранить листик с подобной инфой дома, чем где-то у кого-то на сервере.

[Etranger]

... если вы зарегистрированы на какой-то платформе и добавили ее в менеджер пародей, то он будет предлагать ввод логина и пароля только для реального сайта, а фейковый будет заигнорирован. Это позволит заподозрить неладное заранее и может спасти от попадания ваших денег мошенникам.

Ну, и если подключить к менеджеру паролей еще и двойную или даже тройную аутентификацию, то тоже шансы избежать обмана увеличиваются. Фейковые сайты часто либо не предлагают пройти аутентификацию вовсе, либо предлагают не те или не все варианты, которые выбраны у конкретного пользователя. Например, предлагают код из смс и почты, а у пользователя настроена проверка в почте и гугл аутентификаторе. Тут главное тоже не терять бдительность и проверять, какие именно способы проверки у вас выбраны. Потому что мошенники могут делать очень правдоподобный вид сайтов и ключей проверок.

[Cryptmuster]

А теперь Сйлор предупреждает о мошеннических дипфейках с собой. Команда MicroStrategy удалила с YouTube около 80 дипфейков с основателем компании Майклом Сейлором, большинство из которых продвигали криптоскам. 



«Не существует безрискового способа удвоить ваши биткоины. MicroStrategy не раздает монеты тем, кто отсканировал QR-код», — предупредил Сейлор в X.

Несмотря на усилия по удалению мошеннических ИИ-видео, злоумышленники продолжают создавать новые, отметил соучредитель компании. Ранее несколько пользователей X сообщили о роликах, созданных искусственным интеллектом, в которых Сэйлор якобы обещал удвоить активы любому желающему. Мошенники используют классическую схему, предлагая отсканировать QR-код, чтобы перевести средства, которые жертва обратно не получит.

[jokers10]

Несмотря на усилия по удалению мошеннических ИИ-видео, злоумышленники продолжают создавать новые, отметил соучредитель компании. Ранее несколько пользователей X сообщили о роликах, созданных искусственным интеллектом, в которых Сэйлор якобы обещал удвоить активы любому желающему. Мошенники используют классическую схему, предлагая отсканировать QR-код, чтобы перевести средства, которые жертва обратно не получит.

Самое нелепое в этом то, что нередко вот настолько простые в лоб способы продолжают работать. Сколько ни рассказывай, что чудес и немыслимой халявы не бывает, всё равно находятся те, кто не в курсе возможностей современных нейросетей, кто верит даже самому небрежному фотошопу и т.п. Помнится, как-то я хотел доказать одному человеку, что его обманывают фальшивыми скринами и откровенно топорно подредактировал свои аналогичные... и человек спросил, являюсь ли я также админом того же проекта. Фейспалм! Я так нарочито криво всё рисовал! (А прямо я в графике и не особо умею.) Но кто хочет обманываться, верит даже в такое!

Повторим для тех, кто в танке: не бывает никаких удвоителей биткойнов или чего-либо другого! Никаких обиженных программистов, никаких робингудов-админов и всей прочей ерунды! А если бы бывало, то участие в подобном было бы уголовным преступлением с тяжёлыми последствиями, так что всё равно не стоило бы участвовать, но не бывает!!!

[witcher_sense]

Это способ (менеджеры паролей типа Bitwarden) имеет какое-то преимущество перед простым сохранением паролей в браузере? Ведь они сохраняются на определенный сайт, и если на него зайти, логин и пароль заполнятся автоматом. А зайдя на какой-нибудь https://www.binanse.com/en - нет. В моем понимании Bitwarden и менеджер паролей в браузере выполняют одинаковые действия, только за сохранность данных к браузеру отвечает пользователь, а за Bitwarden пользователь и третье лицо.

У меня нет опыта пользования разными менеджерами; не знаком с их плюсами и минусами. В моем видении это что-то типа блокнота с паролем на вход, где хранятся логины и пароли. Но при подобном, мне лучше хранить листик с подобной инфой дома, чем где-то у кого-то на сервере.

В принципе эти способы хранения не сильно отличаются, в обоих случаях сохраняется локальная копия паролей у вас на компьютере, и создается зашифрованная копия на серверах провайдера для синхронизации паролей между устройствами. Менеджеры паролей предлагают дополнительную функциональность: больше настроек для генерации надежных паролей, генерация парольных фраз, проверка пароля на присутствие в базах взломанных, дополнительные поля для сохранения данных, возможность работы в нескольких браузерах, возможность настройки доступа к данным. А по поводу хранения паролей на листике бумаги: можно, но со временем ввод паролей вручную поднадоест, да и от кейлоггеров такое не спасет.

[fruktik]

Ну, и если подключить к менеджеру паролей еще и двойную или даже тройную аутентификацию, то тоже шансы избежать обмана увеличиваются. Фейковые сайты часто либо не предлагают пройти аутентификацию вовсе, либо предлагают не те или не все варианты, которые выбраны у конкретного пользователя. Например, предлагают код из смс и почты, а у пользователя настроена проверка в почте и гугл аутентификаторе. Тут главное тоже не терять бдительность и проверять, какие именно способы проверки у вас выбраны. Потому что мошенники могут делать очень правдоподобный вид сайтов и ключей проверок.

Тройная аутентификация, как по мне, так это уже какой-то перебор. К чему так слишком сильно заморачиваться? Неужели так трудно создать какой-нибудь сложный пароль, который поможет в деле безопасности. Я, конечно, понимаю тот момент, что большинство людей не любят себя не только утруждать, но и придумывать длинные пароли с непростым набором символов. Также человеку следует быть немного внимательнее в информационном поле сети Интернет. Этого вполне достаточно.

[bakasabo]

Это способ (менеджеры паролей типа Bitwarden) имеет какое-то преимущество перед простым сохранением паролей в браузере? Ведь они сохраняются на определенный сайт, и если на него зайти, логин и пароль заполнятся автоматом. А зайдя на какой-нибудь https://www.binanse.com/en - нет. В моем понимании Bitwarden и менеджер паролей в браузере выполняют одинаковые действия, только за сохранность данных к браузеру отвечает пользователь, а за Bitwarden пользователь и третье лицо.

У меня нет опыта пользования разными менеджерами; не знаком с их плюсами и минусами. В моем видении это что-то типа блокнота с паролем на вход, где хранятся логины и пароли. Но при подобном, мне лучше хранить листик с подобной инфой дома, чем где-то у кого-то на сервере.

В принципе эти способы хранения не сильно отличаются, в обоих случаях сохраняется локальная копия паролей у вас на компьютере, и создается зашифрованная копия на серверах провайдера для синхронизации паролей между устройствами. Менеджеры паролей предлагают дополнительную функциональность: больше настроек для генерации надежных паролей, генерация парольных фраз, проверка пароля на присутствие в базах взломанных, дополнительные поля для сохранения данных, возможность работы в нескольких браузерах, возможность настройки доступа к данным. А по поводу хранения паролей на листике бумаги: можно, но со временем ввод паролей вручную поднадоест, да и от кейлоггеров такое не спасет.

Относительно менеджера паролей, мне нравится стандартная опция macOS, генерирующая довольно сложный пароль из 15 знаков, разделенный дефисом, и автоматически проставляющая его в приложения и сайты. Плюс стандартный генератор так же дает рекомендации, где пароль возможно утек и стоит подумать о его замене. macOS не панацея, но я бы рекомендовал его пользователям как маленький плюс к системе безопасности и шанс в борьбе с криптомошенниками.

[witcher_sense]

Тройная аутентификация, как по мне, так это уже какой-то перебор. К чему так слишком сильно заморачиваться? Неужели так трудно создать какой-нибудь сложный пароль, который поможет в деле безопасности. Я, конечно, понимаю тот момент, что большинство людей не любят себя не только утруждать, но и придумывать длинные пароли с непростым набором символов. Также человеку следует быть немного внимательнее в информационном поле сети Интернет. Этого вполне достаточно.

Здесь я вижу несколько проблем:
1) Человек очень плох в генерации рандомности, то есть его придуманный пароль зачастую будет взломать легче.
2) Длинные пароли неудобно записывать и еще неудобнее вводить в формы вручную.
3) При ручном вводе пароль может быть перехвачен кейлоггерами, при копировании его перехватит клипбордный малварь.

Все эти проблемы решаются установкой менеджера паролей.

Относительно менеджера паролей, мне нравится стандартная опция macOS, генерирующая довольно сложный пароль из 15 знаков, разделенный дефисом, и автоматически проставляющая его в приложения и сайты. Плюс стандартный генератор так же дает рекомендации, где пароль возможно утек и стоит подумать о его замене. macOS не панацея, но я бы рекомендовал его пользователям как маленький плюс к системе безопасности и шанс в борьбе с криптомошенниками.

Не шарю за MacOS к сожалению, но надеюсь сгенерированные пароли не оседают где-нибудь на серверах Apple.