Comment les ICO peuvent protéger les acheteurs contre les attaques de phishing

Les offres initiales de pièces de monnaie (ICO) ont été une aubaine pour les escrocs comme pour les investisseurs.

Régulièrement, après l'annonce d'une ICO très médiatisée, les cybercriminels élaborent un stratagème pour inciter les investisseurs particuliers enthousiastes à envoyer leurs ethers ou Bitcoin à une fausse adresse. Le secteur réagit généralement aux attaques de phishing en exprimant sa frustration sur les réseaux sociaux face à la perte d'une Cryptomonnaie donnée.

Et parce que l’industrie est si nouvelle et opaque, et que les illusions de perspicacité des individus rendent les gens collectivement crédules, les cas d’escroqueries réussies ne sont pas susceptibles de diminuer.

De plus, comme de plus en plus de ventes de jetons limitent le nombre de personnes pouvant investir dans les ventes publiques, les partisans sont désireux de trouver des portes dérobées dans les ICO, ce qui peut les exposer au risque de ne pas réfléchir à une offre.

« Si vous vous attendez à avoir une campagne très médiatisée, vous devez vous attendre à être une cible », a déclaré Paul Walsh, PDG de Metacert, qui propose une extension Chrome gratuite que les investisseurs ICO peuvent utiliser pour se protéger.

En fait, NuCypher, un projet de rechiffrement de proxy qui a récemment lancé une ICO, suscitant l'intérêt de nombreux investisseurs, a dû faire face à des tentatives d'hameçonnage répétées. Chaque fois que l'entreprise détecte une campagne d'hameçonnage, elle informe sa communauté des dangers à surveiller via sa liste de diffusion.

L'attaque la plus récente a eu lieu sur Slack, via des messages envoyés via des slackbots, indiquant une adresse Ethereum pour envoyer des fonds en ethers (soi-disant) en échange de jetons NuCypher . Dans sa réponse, NuCypher a rappelé aux investisseurs qu'elle n'utiliserait jamais Slack pour Request des investissements.

Pourtant, certaines personnes se sont fait avoir, et avec cela, la communauté Crypto plus large souffre à chaque fois qu'une escroquerie par phishing réussit.

Walsh a déclaré à CoinDesk:

« Une fois que [les investisseurs] se sont brûlés les doigts, ils sont plus susceptibles de dire aux gens : « Ne faites T ça. » Alors, moins de gens investiront dans les Cryptomonnaie. »

Afin d’éliminer ce problème, NuCypher a adopté une approche axée sur la communication et l’éducation dont de nombreux autres émetteurs d’ICO et les investisseurs intéressés par ces cycles pourraient Guides .

Mais ce n'est T la seule façon de se protéger sur un marché aussi instable. Les investisseurs peuvent faire beaucoup pour se protéger, mais ONE ne peut vraiment faire autant que l'équipe qui gère l'ICO.

Parler franchement

La stratégie la plus importante pour les émetteurs est peut-être de mettre l’accent sur un ONE canal de communication où les nouvelles de vente auront lieu.

Lorsque le fournisseur d’applications de messagerie Kik a lancé Kin, par exemple, l’entreprisel'a clairement indiquéToutes les informations concernant l'achat de ses jetons seraient disponibles sur son site de vente, et uniquement sur celui-ci. Même si Kik envoyait une mise à jour par e-mail ou via un réseau social, celle-ci renvoyait toujours les lecteurs vers le site pour savoir comment procéder.

Il s’agit d’une approche particulièrement avantageuse car si des informations critiques telles que les adresses de portefeuille sont diffusées via le site Web, il est beaucoup plus difficile pour un fraudeur de modifier le site Web que d’envoyer un e-mail convaincant.

De plus, les entrepreneurs et les entreprises qui prévoient, ou qui sont censés organiser, des ventes de jetons devraient déclarer publiquement leurs intentions le plus rapidement possible.

Les problèmes liés au fait de ne pas être ouvert sont affichés avec leICO de Telegram. Étant donné que la société de messagerie mobile a à peine communiqué avec le public au sujet de l'ICO, les escrocs peuvent profiter de ce manque de connaissances et créer de faux sites prétendant offrir les jetons.

Par exemple, des investisseurs se sont plaints sur Twitter d'avoir été escroqués par de faux sites de jetons Telegram ; un individu mécontent tweetéqu'il avait mis quatre éthers dans un site dans l'espoir d'acheter des jetons Telegram.

Le PDG de Telegram a répondu à quelques questions sur des URL spécifiques et la société a créé une chaîne Telegram poursignaler les sites frauduleux, mais il serait bien mieux d'être franc sur ce qui se passe.

Un autre domaine dans lequel les émetteurs peuvent réduire les risques de fraude est leur marketing, en atténuant l’urgence des appels à l’achat de jetons, même si cela peut sembler contre-intuitif pour beaucoup.

Lorsqu'une équipe marketing annonce qu'il y aura de brèves périodes de remises spéciales, cela met un groupe d'investisseurs potentiels sur la sellette. Ils savent que ces articles se vendent rapidement, ils doivent donc agir vite s'ils veulent entrer. De cette façon, les investisseurs pourraient être amenés à suivre de faux liens, car ils agissent avant même d'avoir bien réfléchi.

À ce sujet, Walsh a déclaré :

« C’est bien de susciter de l’enthousiasme autour de ce que vous allez lancer, mais ces équipes doivent être plus attentives. »

Mais par-dessus tout, les entreprises qui organisent des ICO doivent être sans équivoque sur la manière dont elles communiqueront, afin que leurs abonnés sachent que tout ce qui ne Réseaux sociaux T ce format est faux.

Renforcer le personnel

De nos jours, une grande partie du piratage informatique est réalisée par le biais de l’ingénierie sociale, et non par le biais d’un codage secret.

Les attaquants ont réussi à tromper les employés en les incitant à révéler des informations critiques ou en trouvant le moyen d'imiter le personnel réel.

De cette façon, les émetteurs doivent KEEP à l’esprit que la protection de l’équipe interne contre le phishing est de la plus haute importance, en particulier en ce qui concerne les réseaux sociaux, où les fraudeurs peuvent tweeter des liens malveillants qui, avec l’accès à des comptes authentiques, sembleront authentiques aux yeux des investisseurs.

Aaron Higbee, cofondateur de PhishMe, a déclaré à CoinDesk que les entreprises devraient « examiner qui, au sein de l'organisation, peut tweeter à partir de ces comptes » ou publier à partir de ces comptes, et s'assurer qu'ils sont formés pour repérer d'éventuelles tentatives de phishing.

PhishMe propose des formations automatisées et continues aux entreprises pour les aider à mieux comprendre les techniques utilisées par les attaquants pour piéger leurs employés. Cette formation, offerte gratuitement aux PME, fonctionne directement dans les boîtes de réception des employés, en leur envoyant des e-mails susceptibles de déclencher des alertes.

Et Metacert propose un produit qui surveille en permanence les canaux internes d'une équipe et supprime les messages malveillants avant que quiconque n'ait la possibilité de les voir.

Au-delà de cela, Walsh soutient que les cadres et autres personnes de haut niveau d'une entreprise ne devraient pas avoir d'accès root aux données ou aux systèmes, car la plupart des attaquants peuvent non seulement trouver des informations sur cette personne pour les manipuler socialement, mais ces cadres sont également considérés comme ayant une très grande valeur pour un attaquant.

Le personnel de gestion de communauté devrait également être formé à la détection des tentatives d'hameçonnage et au type de questions indiquant que les contributeurs pourraient être victimes d'hameçonnage sur un autre canal. Par exemple, Kik a constaté que les attaquantsse présentent comme modérateursdans les canaux Slack. Par conséquent, les véritables modérateurs doivent être attentifs à ce comportement et à tout autre comportement suspect.

Enfin, un émetteur d'ICO doit s'assurer que son hébergeur web accorde une importance primordiale à la sécurité. En effet, les émetteurs d'ICO choisissent leur hébergeur web avant la mise en ligne du site de vente, ce qui laisse aux attaquants le même temps pour tenter d'infiltrer le système et y afficher une fausse page d'accueil avec leur propre adresse de portefeuille lors de sa mise en ligne.

Même si de tels graffitis numériques ne restent visibles que 20 minutes, beaucoup d'argent pourrait être perdu avec la ruée vers l'achat que suscitent de nombreuses ICO.

Pleins feux sur la sécurité

Avec tout cela, les émetteurs d'ICO doivent commencer à penser à la sécurité interne dès le ONE jour, car tandis que les fondateurs des projets se concentrent sur le produit, les escrocs savent que des millions de dollars finiront par FLOW vers ce produit et agiront tôt et attendront leur chance de frapper.

Dans cet esprit, les documents doivent être déchiquetés afin que les escrocs ne puissent T les utiliser pour donner une apparence plus authentique à leurs attaques.

De plus, tous les employés doivent utiliser l'authentification à deux facteurs (2FA) partout et s'efforcer de ne pas utiliser l'authentification à deux facteurs par SMS, car elle est moins sécurisée que l'utilisation d'applications comme Authy, 1Password ou Google Authenticator. De plus, avec tout appareil mobile utilisé pour l'authentification à deux facteurs, des précautions supplémentaires doivent être prises afin que toute modification soit soumise à des contrôles de sécurité plus stricts.

Par exemple, Walsh a déclaré qu'il connaissait certains projets qui KEEP un téléphone jetable enfermé dans un tiroir et utilisé uniquement pour la 2FA.

Non seulement les appareils mobiles, mais aussi les listes de courrier électronique doivent être correctement protégés.

Si un attaquant parvient à mettre la main sur la liste des personnes qui ont manifesté leur intérêt pour une ICO, l'arnaque est à 90 % sur la voie du succès, car ce groupe est le plus susceptible de tomber dans le piège d'une tentative de phishing, car il est déjà intéressé et la source semble authentique.

Si une entreprise utilise un service de messagerie électronique ou de newsletter tiers, comme MailChimp ou ConstantContact, pour gérer ces listes, elle doit opter pour le niveau de sécurité le plus élevé pour accéder à ces comptes.

Walsh a même ajouté que les entreprises les plus avisées pourraient aller plus loin et abandonner les e-mails HTML au profit d'e-mails purement textuels. Si les e-mails textuels peuvent perdre en efficacité marketing, ils sont plus sûrs pour les destinataires, car ils peuvent voir le LINK ils sont invités à cliquer, tandis que les formats HTML peuvent masquer les liens malveillants.

Une autre option pour les projets ICO est d'embaucher des pirates informatiques « white hat » pour essayer de contourner les systèmes de sécurité mis en place par les émetteurs de jetons, afin que les vulnérabilités puissent être trouvées et corrigées avant qu'un véritable attaquant ne frappe.

En outre, les émetteurs pourraient être plus ouverts avec le public et les investisseurs potentiels sur les procédures de sécurité qu’ils utilisent afin que les investisseurs puissent prendre des décisions éclairées sur les projets qu’ils souhaitent soutenir.

À cet égard, MacLane Wilkinson de NuCypher a déclaré à CoinDesk:

En fin de compte, il n'existe aucun moyen de prévenir les attaques de phishing. Le plus important est donc de sensibiliser les gens. Il faut commencer tôt en expliquant à votre communauté ce que sont les attaques de phishing et en s'y préparant.

Coffret de pêche avec leurresimage via Shutterstock