Come le ICO possono proteggere gli acquirenti dagli attacchi di phishing

Le offerte iniziali di monete (ICO) si sono rivelate una manna tanto per i truffatori quanto per gli investitori.

Come un orologio, dopo che viene annunciata una ICO di alto profilo, i criminali informatici escogitano un piano per ingannare gli investitori al dettaglio eccitati e convincerli a inviare i loro ether o Bitcoin a un indirizzo falso. Il settore reagisce in gran parte agli attacchi di phishing rivolgendosi ai social media per esprimere la propria frustrazione per la quantità di una particolare Criptovaluta che hanno perso.

E poiché il settore è così nuovo e poco chiaro, e le illusioni di ingegno dei singoli individui rendono le persone collettivamente credulone, è improbabile che i casi di truffe riuscite diminuiscano.

Inoltre, poiché sempre più vendite di token limitano il numero di persone che possono investire nelle vendite pubbliche, i sostenitori sono ansiosi di trovare accessi indesiderati alle ICO, il che potrebbe esporli al rischio di non riflettere attentamente su un'offerta.

"Se ti aspetti di avere una campagna di alto profilo, dovresti aspettarti di essere un bersaglio", ha affermato Paul Walsh, CEO di Metacert, che offre un'estensione gratuita per Chrome che gli investitori ICO possono utilizzare per proteggersi.

Infatti, NuCypher, un progetto di ri-cifratura proxy che ha recentemente lanciato anche un ICO, che ha suscitato l'interesse di molti investitori, ha dovuto affrontare ripetuti tentativi di phishing. E ogni volta che l'azienda rileva una campagna di phishing, avvisa la sua comunità su cosa cercare tramite la sua mailing list.

L'attacco più recente è avvenuto su Slack, in messaggi recapitati tramite slackbot, indicando un indirizzo Ethereum a cui inviare fondi ether, (presumibilmente) in cambio di token NuCypher . Nella sua risposta, NuCypher ha ricordato agli investitori che non avrebbe mai utilizzato Slack per Request investimenti.

Eppure, alcune persone sono rimaste scottate e, di conseguenza, l'intera comunità Cripto ne risente ogni volta che una truffa di phishing va a buon fine.

Walsh ha detto a CoinDesk:

"Una volta che [gli investitori] si sono scottati le dita, è più probabile che dicano alla gente: T farlo. Quindi meno persone investiranno in Criptovaluta".

Nel tentativo di eliminare questo problema, NuCypher ha adottato un approccio incentrato sulla comunicazione e sulla formazione da cui molti altri emittenti di ICO e investitori interessati a questi round potrebbero Imparare .

Ma questo T è l'unico modo per restare al sicuro in un mercato così selvaggio. Gli investitori possono fare molto per proteggersi, ma in realtà ONE può fare tanto quanto il team che gestisce l'ICO.

Parlare chiaro

Forse la strategia più importante per gli emittenti è quella di privilegiare ONE solo canale di comunicazione attraverso il quale verranno diffuse le notizie sulle vendite.

Quando il fornitore di app di messaggistica Kik ha lanciato Kin, ad esempio, l'aziendaha chiaritoche tutte le informazioni sull'acquisto dei suoi token sarebbero state sul, e solo sul, suo sito di vendita token. Anche se Kik inviava un aggiornamento tramite e-mail o tramite un canale social, l'aggiornamento indirizzava sempre i lettori al sito per sapere come agire.

Si tratta di un approccio particolarmente vantaggioso poiché se informazioni critiche come gli indirizzi dei portafogli elettronici vengono trasmesse tramite il sito web, è molto più difficile per un truffatore modificare il sito web rispetto all'invio di un'e-mail convincente.

Non solo, ma gli imprenditori e le aziende che pianificano, o si vocifera che stiano organizzando, vendite di token dovrebbero dichiarare pubblicamente le loro intenzioni il più rapidamente possibile.

I problemi di mancata apertura vengono visualizzati conICO del telegrammaPoiché la società di messaggistica mobile ha comunicato a malapena con il pubblico in merito all'ICO, i truffatori possono approfittare di questa lacuna di conoscenza e creare siti falsi che fingono di offrire i token.

Un esempio concreto è che gli investitori si sono rivolti a Twitter per lamentarsi di essere stati truffati da falsi siti di token Telegram; ONE individuo scontento twittatoche aveva investito quattro ether in un sito nella speranza di acquistare token Telegram.

Il CEO di Telegram ha risposto ad alcune domande su URL specifici e l'azienda ha creato un canale Telegram persegnalazione siti truffa, ma sarebbe molto meglio essere sinceri su ciò che sta accadendo.

Un altro ambito in cui gli emittenti possono ridurre le possibilità di frode è il marketing, attenuando l'urgenza delle richieste di acquisto di token, anche se a molti questo potrebbe sembrare controintuitivo.

Quando un team di marketing annuncia che ci saranno brevi periodi di sconti speciali, mette un gruppo di potenziali investitori in agitazione. Sanno che queste cose si esauriscono rapidamente, quindi devono agire in fretta se vogliono entrare. In questo modo, gli investitori potrebbero essere ingannati e seguire link falsi, poiché agiscono prima di riflettere sulle cose.

A questo proposito, Walsh ha affermato:

"È positivo suscitare entusiasmo attorno a qualsiasi cosa si voglia lanciare, ma questi team devono essere più attenti".

Ma più di ogni altra cosa, le aziende che gestiscono le ICO devono essere inequivocabili sul modo in cui comunicheranno, in modo che i follower sappiano che tutto ciò che T Seguici questo formato è falso.

Rafforzare il personale

Oggigiorno, gran parte dell'hacking viene condotto tramite ingegneria sociale, non tramite codifica occulta.

Indurre i dipendenti a rivelare informazioni critiche o escogitare un modo per imitare il personale in persona sono due dei metodi con cui gli aggressori hanno avuto successo con le loro truffe.

In questo modo, gli emittenti devono KEEP a mente che proteggere il team interno dal phishing è di fondamentale importanza, soprattutto per quanto riguarda i canali dei social media, dove i truffatori possono twittare link dannosi che, con l'accesso ad account autentici, sembreranno autentici agli investitori.

Aaron Higbee, co-fondatore di PhishMe, ha dichiarato a CoinDesk che le aziende dovrebbero "osservare chi all'interno dell'organizzazione può twittare da questi account" o comunque pubblicare da questi account e assicurarsi che siano formati per individuare possibili tentativi di phishing.

PhishMe fornisce una formazione automatizzata e continua alle aziende che le aiuta ad aumentare la consapevolezza delle tecniche che gli aggressori usano per ingannare il personale aziendale. La formazione, offerta gratuitamente alle piccole e medie imprese, funziona effettivamente all'interno delle caselle di posta del personale, inviando loro e-mail che dovrebbero far scattare l'allarme.

Metacert offre un prodotto che monitora costantemente i canali interni di un team ed elimina i messaggi dannosi prima che qualcuno abbia la possibilità di vederli.

Oltre a ciò, Walsh sostiene che i dirigenti e gli altri individui di alto profilo di un'azienda non dovrebbero avere accesso root ad alcun dato o sistema, poiché la maggior parte degli aggressori non solo riesce a trovare informazioni su quella persona per sfruttarla tramite ingegneria sociale, ma questi dirigenti sono anche considerati di grandissimo valore per un aggressore.

Il personale di gestione della community dovrebbe anche essere formato su come individuare i tentativi di phishing e su che tipo di domande indicano che i sostenitori potrebbero essere oggetto di phishing su un altro canale. Ad esempio, Kik ha scoperto che gli aggressorisi rappresentano come moderatorinei canali Slack. Pertanto, i moderatori autentici dovrebbero fare attenzione a questo e ad altri comportamenti sospetti.

E, ultimo ma non meno importante, un emittente ICO deve assicurarsi che il suo web host tenga sempre a mente la sicurezza. Questo principalmente perché gli emittenti ICO scelgono il loro web host prima che il sito di vendita vada online, dando agli aggressori la stessa quantità di tempo per provare a infiltrarsi nel sistema al fine di mettere una falsa home page con il proprio indirizzo di portafoglio sul sito quando va online.

Anche se un simile graffito digitale durasse solo 20 minuti, si potrebbero perdere molti soldi con la corsa all'acquisto che tante ICO ispirano.

Riflettori sulla sicurezza

Considerato tutto ciò, gli emittenti di ICO devono iniziare a pensare alla sicurezza interna fin dal ONE giorno, perché mentre i fondatori dei progetti si concentrano sul prodotto, i truffatori sanno che prima o poi milioni di dollari FLOW a quel prodotto e si muoveranno per tempo, aspettando il momento giusto per colpire.

Tenendo presente questo, i documenti dovrebbero essere distrutti in modo che i truffatori T possano utilizzarli per far sembrare più autentici i loro attacchi.

Inoltre, tutti i dipendenti dovrebbero usare l'autenticazione a due fattori (2FA) ovunque e sforzarsi molto di non usare la 2FA basata su SMS, poiché è meno sicura dell'uso di app come Authy, 1Password o Google Authenticator. Oltre a ciò, con qualsiasi dispositivo mobile utilizzato per la 2FA, dovrebbero essere adottate precauzioni extra in modo che qualsiasi modifica sia soggetta a controlli di sicurezza più rigorosi.

Ad esempio, Walsh ha detto di essere a conoscenza di alcuni progetti in cui un telefono KEEP e getta viene chiuso in un cassetto e utilizzato esclusivamente per l'autenticazione a due fattori.

Non solo i dispositivi mobili, ma anche le liste email devono essere protette correttamente.

Se un aggressore riesce a impossessarsi dell'elenco delle persone che hanno espresso interesse per una ICO, la truffa è riuscita al 90%, perché è il gruppo con maggiori probabilità di cadere nella trappola del phishing, poiché è già interessato e la fonte sembra autentica.

Se un'azienda utilizza un servizio di posta elettronica o newsletter di terze parti, come MailChimp o ConstantContact, per gestire tali elenchi, dovrebbe optare per il livello di sicurezza più elevato per l'accesso a tali account.

Walsh ha persino aggiunto che le aziende più attente potrebbero fare un passo avanti e rinunciare alle email HTML per quelle di solo testo. Mentre le email di testo potrebbero perdere un po' di valore di marketing, sono più sicure per i destinatari, in quanto i destinatari possono effettivamente vedere il LINK l'email chiede loro di cliccare, mentre i formati HTML possono nascondere link dannosi.

Un'altra opzione per i progetti ICO è quella di assumere hacker "white hat" per provare a eludere i sistemi di sicurezza implementati dagli emittenti di token, in modo da individuare e correggere le vulnerabilità prima che un vero aggressore colpisca.

Inoltre, gli emittenti potrebbero essere più trasparenti con il pubblico e i potenziali investitori in merito alle procedure di sicurezza che utilizzano, in modo che gli investitori possano esprimere giudizi consapevoli sui progetti che desiderano sostenere.

A questo proposito, MacLane Wilkinson di NuCypher ha detto a CoinDesk:

"In definitiva, non c'è modo di prevenire gli attacchi di phishing, quindi la cosa più importante che puoi fare è l'istruzione. Devi iniziare presto spiegando alla tua comunità cosa sono gli attacchi di phishing e preparandoti in anticipo."

Cassetta degli attrezzi con escheimmagine tramite Shutterstock