Bagaimana Ico Sanggup Melindungi Pembeli Dari Serangan Phishing

Penawaran koin awal (ICOs) sama-sama menguntungkan bagi penjahat menyerupai juga bagi investor.

Seperti jam kerja, sehabis ICO profil tinggi diumumkan, penjahat cyber meretas denah untuk mengelabui investor ritel yang bersemangat untuk mengirim ether atau bitcoin mereka ke alamat palsu. Industri ini sebagian besar bereaksi terhadap serangan phishing dengan beralih ke media umum untuk menyuarakan frustrasinya mengenai berapa banyak kripto yang mereka dapatkan.

Dan sebab industri ini sangat gres dan buram, dan khayalan hati seseorang membuat orang secara kolektif gampang tertipu, referensi penipuan yang berhasil tampaknya tidak akan berkurang.

Selain itu, sebab semakin banyak token sales membatasi jumlah orang yang sanggup berinvestasi dalam penjualan publik, para pendukung sangat ingin menemukan backdoors menjadi ICO, yang sanggup menempatkan mereka pada risiko untuk tidak memikirkan penawaran.

"Jika Anda berharap mempunyai kampanye profil tinggi, Anda harus berharap sanggup menjadi target," kata Paul Walsh, CEO Metacert, yang menyampaikan ekstensi Chrome gratis yang sanggup dipakai investor ICO untuk melindungi diri mereka sendiri.

Faktanya, NuCypher, proyek enkripsi ulang proxy yang gres saja meluncurkan ICO juga, yang menggelitik minat banyak investor, telah menangani upaya phishing berulang kali. Dan setiap kali perusahaan mendeteksi kampanye phishing, ia memperingatkan komunitasnya ihwal apa yang harus dicari melalui daftar emailnya.

Serangan terakhir terjadi pada Slack, dalam pesan yang disampaikan melalui slackbots, memperlihatkan alamat ethereum untuk mengirim dana ether ke (seharusnya) sebagai pengganti token NuCypher. Sebagai tanggapannya, NuCypher mengingatkan investor bahwa mereka tidak akan pernah memakai Slack untuk meminta investasi.

Namun, beberapa orang terbakar, dan dengan itu, komunitas kripto yang lebih besar menderita setiap kali penipuan phishing berhasil.

Walsh menyampaikan kepada CoinDesk:

"Sekali [investor] membiarkan jari mereka terbakar, mereka cenderung memberi tahu orang-orang: jangan lakukan ini, maka semakin sedikit orang yang akan berinvestasi dalam criptocurrency."

Dalam upaya untuk menghilangkan isu tersebut, NuCypher telah mengambil pendekatan yang berfokus pada komunikasi dan pendidikan yang oleh banyak emiten ICO lainnya dan investor yang tertarik dengan putaran ini sanggup dipelajari.

Tapi ini bukan satu-satunya cara untuk tetap kondusif di pasar liar. Ada banyak investor yang sanggup lakukan untuk melindungi diri mereka sendiri, tapi sungguh, tidak ada yang sanggup melaksanakan sebanyak tim yang menjalankan ICO.

Bicara Langsung

Mungkin seni administrasi yang paling penting bagi emiten hanya menekankan satu saluran komunikasi dimana isu penjualan akan berlangsung.

Ketika penyedia aplikasi pesan Kik meluncurkan Kin, misalnya, perusahaan memperjelas bahwa semua informasi ihwal membeli tokennya akan menyala, dan hanya di situs penjualan token-nya. Bahkan jikalau Kik mengirim pembaruan di email atau melalui saluran sosial, pembaruan selalu mengarahkan pembaca kembali ke situs untuk bagaimana melaksanakan tindakan.

Ini ialah pendekatan yang sangat menguntungkan sebab jikalau informasi penting menyerupai alamat dompet disiarkan melalui situs web, akan lebih sulit bagi penipu untuk mengganti situs web daripada mengirim email yang meyakinkan.

Tidak hanya itu, namun pengusaha dan perusahaan yang merencanakannya, atau dikabarkan akan mencalonkan diri, penjualan token harus menyatakan secara terbuka maksud mereka secepat mungkin.

Masalah dengan tidak terbuka ditampilkan dengan ICO Telegram. Karena perusahaan pesan mobile hampir tidak berkomunikasi dengan publik ihwal ICO, scammers sanggup memanfaatkan celah pengetahuan tersebut dan membuat situs palsu yang berpura-pura menyampaikan token tersebut.

Contoh kasusnya, para investor telah membawa ke Twitter untuk mengeluh ihwal ditipu oleh situs token Telegram palsu; Seorang individu yang tidak puas mentweet bahwa ia telah memasukkan empat eter ke dalam sebuah situs yang berharap sanggup membeli token Telegram.

CEO Telegram telah menanggapi beberapa pertanyaan ihwal URL spesifik dan perusahaan telah membuat saluran Telegram untuk melaporkan situs scam, namun akan jauh lebih baik jikalau dimuka ihwal apa yang sedang terjadi.

Area lain di mana emiten sanggup mengurangi kemungkinan kecurangan ada dalam pemasaran mereka, dengan mengurangi urgensi panggilan untuk membeli token, meskipun hal ini mungkin tampak kontra-intuitif bagi banyak orang.

Ketika tim pemasaran mengumumkan bahwa akan ada periode singkat diskon khusus, ia menempatkan sekelompok calon investor pada pemicu rambut. Mereka tahu barang-barang ini cepat terjual, jadi mereka perlu bertindak cepat jikalau mereka ingin masuk. Dengan cara ini, investor mungkin tertipu untuk mengikuti tautan palsu, ketika mereka bertindak sebelum memikirkan semuanya.

Pada topik tersebut, Walsh mengatakan:

"Senang mendapat antusiasme seputar apa pun yang akan Anda luncurkan, namun tim ini perlu lebih memperhatikan."

Namun, yang terpenting, perusahaan yang menjalankan ICO harus tegas ihwal bagaimana mereka akan berkomunikasi, sehingga pengikut akan tahu apa pun yang tidak mengikuti format itu palsu.

Staf yang tangguh

Banyak hacking akhir-akhir ini dilakukan melalui social engineering, Menipu karyawan untuk mengungkapkan informasi penting, atau mencari tahu bagaimana cara menggandakan staf sebenarnya, ialah dua cara penyerang berhasil dengan penipuan mereka.

Dengan cara ini, emiten perlu diingat bahwa melindungi tim internal dari phishing sangat penting - terutama yang berkaitan dengan saluran media sosial, di mana penipu sanggup menceraikan tautan jahat yang, dengan kanal ke akun asli, akan terlihat nyata. berurusan dengan investor

Pendiri PhishMe Aaron Higbee menyampaikan kepada CoinDesk bahwa perusahaan harus "melihat siapa di dalam organisasi yang sanggup menciak dari akun ini," atau sebaliknya memposting dari akun ini, dan memastikan mereka dilatih untuk melaksanakan upaya phishing.

PhishMe menyediakan training otomatis dan berkelanjutan untuk perusahaan yang membantu mereka meningkatkan kesadaran akan teknik penyerang yang dipakai untuk mengelabui staf perusahaan. Pelatihan, yang ditawarkan gratis untuk perjuangan kecil dan menengah, benar-benar bekerja di dalam inbox staf, dengan mengirimi mereka email yang seharusnya menaikkan bendera merah.

Dan Metacert menyampaikan produk yang memantau saluran internal tim secara terus menerus dan menghapus pesan berbahaya sebelum ada orang yang melihatnya.

Selain itu, Walsh beropini bahwa direktur dan individu berprofil tinggi lainnya di perusahaan seharusnya tidak mempunyai kanal root ke data atau sistem sebab kebanyakan penyerang tidak sanggup hanya menemukan informasi ihwal orang tersebut kepada insinyur sosial mereka, namun juga para direktur ini dipandang sangat tinggi. nilai ke penyerang

Staf administrasi komunitas juga harus dilatih ihwal bagaimana cara melaksanakan upaya phishing dan pertanyaan menyerupai apa yang mengindikasikan bahwa pendukung mungkin akan terkena phishing di saluran lain. Sebagai contoh, Kik menemukan bahwa penyerang akan mewakili diri mereka sebagai moderator di saluran Slack. Dengan demikian, moderator sejati harus memperhatikan sikap ini dan sikap mencurigakan lainnya.

Dan yang terakhir, penerbit ICO perlu memastikan bahwa host web mereka menyimpan keamanan di atas pikiran. Itu terutama sebab emiten ICO menentukan host web mereka sebelum situs penjualan ditayangkan, memberi penyerang jumlah waktu yang sama untuk mencoba dan menyusup ke sistem biar sanggup meletakkan halaman depan palsu dengan alamat dompet mereka sendiri di situs ketika diluncurkan.

Bahkan jikalau grafiti digital semacam itu hanya bertahan selama 20 menit, banyak uang sanggup hilang dengan terburu-buru untuk membeli banyak ICO yang menginspirasi.

Sorotan keamanan

Dengan semua ini, emiten ICO perlu mulai memikirkan keamanan internal semenjak hari pertama, sebab sementara para pendiri proyek fokus pada produk tersebut, para scammer tahu jutaan dolar pada kesudahannya akan beralih ke produk itu dan akan bergerak lebih awal dan menunggu kesempatan mereka untuk menyerang.

Dengan fatwa ini, dokumen harus diparut sehingga scammers tidak sanggup menggunakannya untuk membuat serangan mereka terlihat lebih otentik.

Plus, semua karyawan harus memakai autentikasi dua faktor (2FA) di mana saja dan berusaha sangat keras untuk tidak memakai SMS berbasis 2FA, sebab kurang kondusif daripada memakai aplikasi menyerupai Authy, 1Password atau Google Authenticator. Selain itu, dengan perangkat mobile yang dipakai untuk 2FA, tindakan pencegahan ekstra harus dilakukan biar setiap perubahan dikenai investigasi keamanan yang lebih tinggi.

Misalnya, Walsh menyampaikan bahwa ia mengetahui beberapa proyek yang membuat telepon burner terkunci di laci dan dipakai hanya untuk 2FA.

Tidak hanya perangkat mobile, tapi juga daftar email harus dilindungi dengan benar.

Jika penyerang berhasil mendapat daftar orang yang telah menyatakan ketertarikannya pada ICO, penipuan tersebut ialah 90 persen dari cara untuk berhasil sebab kelompok tersebut kemungkinan besar akan jatuh untuk perjuangan phishing sebab sudah tertarik dan sumber tampaknya asli

Jika perusahaan memakai email atau newsletter pihak ketiga, menyerupai MailChimp atau ConstantContact, untuk mempertahankan daftar tersebut, sebaiknya menentukan tingkat keamanan tertinggi untuk mengakses akun tersebut.

Walsh bahkan menambahkan bahwa perusahaan yang paling bijaksana mungkin akan melangkah lebih jauh dan menghindari email HTML untuk mendapat email teks murni. Sementara email teks mungkin kehilangan beberapa kecakapan pemasaran, mereka lebih kondusif untuk akseptor sebab akseptor benar-benar sanggup melihat tautan email yang meminta mereka untuk mengklik, sedangkan format HTML sanggup menyembunyikan tautan jahat.

Pilihan lain untuk proyek ICO ialah menyewa peretas "topi putih" untuk mencoba dan mengalahkan sistem keamanan yang telah dikeluarkan oleh penerbit, jadi kerentanan sanggup ditemukan dan diperbaiki sebelum pemogokan faktual menyerang.

Selanjutnya, emiten sanggup bangun untuk lebih terbuka terhadap masyarakat dan calon investor mengenai mekanisme keamanan yang mereka gunakan sehingga investor sanggup membuat keputusan terdidik ihwal proyek mana yang ingin mereka dukung.

Dalam hal itu, MacLane Wilkinson dari NuCypher menyampaikan kepada CoinDesk:

"Pada akhirnya, tidak ada cara untuk mencegah serangan phishing, jadi hal yang paling penting yang sanggup Anda lakukan ialah pendidikan. Anda harus memulai lebih awal dengan menjelaskan kepada komunitas Anda ihwal serangan phishing dan mempersiapkannya terlebih dahulu."