Правила крипто-гигиены, или будьте внимательны - вас могут обмануть !

[DrBeer]

Всем привет !
О чем этот топик ?
Он о том, что не надо делать, на что обращать внимание, где могут быть скрытые опасности, при работе с криптомиром, чтобы не потерять свои криптосбережения.
С одной стороны все знают что "пальцы в розетку не совать", но находятся люди и технологии которые могут вас подвести к такому действию, хотя самой "розетки" вы не увидите, а проблема в итоге возникнет.

К подобным проблемам можно отнести (список будем расширять):
- е-мейл рассылки, под видом "официальных" писем,  от профильных ресурсов MetaMask/TrustWallet
- е-мейл рассылки, под видом "официальных" писем,  от сервисов, при помощи которых можно поучит доступ к данным к вашим мобильным устройствам iCloud/Google
- СМС рассылки с сылками для якобы верификации кошельков, аккаунтов и т.п.
- Разного рода фейковые Airdrop, где смарт контракты подключаются к вашим кошелькам

Я буду наполнять данную тему известными мне вариантами, также просьба всех кто имел негативный опыт или "раскусил" замысел  - публиковать здесь информацию. Просьба придерживаться формата публикации:

Тип угрозы: фишинговое письмо/смс/Airdrop/....
Платформа: MetaMask/TrustWallet/.../iCloud/Google /Смарт-контракт
Цель: Например  - Получение доступа к TrustWallet

[DrBeer]

Резерв

[DrBeer]

Тип угрозы: фишинговое письмо
Платформа: Apple
Цель: Получение доступа к iCloud

Описание: на e-mail приходит письмо приблизительно такого содержимого:

Your Apple ID about to expire
Dear Customer,
We inform you that your Apple ID expired in less than 48 hours.
It is imperative to conduct an audit of your information, except your username will be destroyed. Just click the link below and sign in with your Apple ID and password.
Check your account now. <<—Здесь ссылка на якобы решение проблемы. НЕ НАЖИМАТЬ !
Regards,
Apple Customer Service

Copyright © 2023 Apple Inc. All rights reserved.

ПС В данном и прочих случаях - никаких ссылок, кнопок и прочего не нажимать. Желательно помечать письма как фишинг, чем поможете другим

[DrBeer]

Тип угрозы: фишинговое письмо
Платформа: TrustWallet
Цель: Получение доступа к данным TrustWallet

Описание: на e-mail приходит письмо приблизительно такого содержимого:

Last updated: TrustWallet
Verification is Mandatory
DEC 1

Dear customer,
We have found that you are not interested in checking for compliance with KYC regulations.
Your wallet will be restricted, and your assets will be frozen starting from this date: 02/12/2023
Verification is mandatory dear customer:
Note We have included this explicit notice in recent release updates
(Trust Wallet) New requirements mandate that all users must verify their wallets to comply with KYC regulations.
This verification needs to be completed before 02/12/2023, as a regulated financial services company, we are required to verify all wallets on our platform.
Verify your wallet <<---- тут ссылка, куда переходить  не надо !


ПС В данном и прочих случаях - никаких ссылок, кнопок и прочего не нажимать. Желательно помечать письма как фишинг, чем поможете другим

[DrBeer]

Тип угрозы: фишинговое письмо
Платформа: Не известно
Цель: Не известно

Также спам рассылка с вложением.
Заголовок письма: “Okay. Okay, don’t tell me. I should have twisted his goddamn arm, but he’s dangerous. He said she had scraped the barrel.”
От: ivan penkov <[email protected]>
'The main thing warning withdrawal of funds from the account . Hello dear you our website ! To you wrote to the account transfer cash, , you did not withdraw them, you still there are 9 time, to complete execution of payment.'

Во вложении файл формата: XHTML
Не рискуем открывать !

[Unbunplease]

Также, на мой взгляд, нужно тщательно проверять, куда ведут ссылки. Нередко ссылки ведут на фишинговый сайт. И необходимо стараться нигде не указывать приватный ключ, а также не сохранять его в браузере и почаще чистить кэш

[heyod hewow]

Есть еще одна угроза в емейлах, случаи которых описаны выше. Сам не натыкался, но слышал о таком, не знаю, насколько это правда, поэтому "мопед не мой"(ц).
Эта угроза - невидимая картинка (маленькая, несколько пикселей), встроенная в тело письма, к картинке привязан вирус или переход на опасный ресурс. Другими словами, это все активизируется уже при открытии письма, сразу, и переход по ссылкам или открытие вложенного файла уже не требуется - ловушка сработала. 

Поэтому если вы видите и понимаете, что письмо явно левое, вы его не ждете, и по заголовку понятно, что это развод - не нужно открывать письмо даже ради интереса или чтобы поржать с незадачливых мошенников и/или щедрых нигерийских принцев. Просто удалите его, не открывая. Ничего нового для себя вы не узнаете, открыв его, а теоретическая опасность получить заразу есть.   

[DrBeer]

Есть еще одна угроза в емейлах, случаи которых описаны выше. Сам не натыкался, но слышал о таком, не знаю, насколько это правда, поэтому "мопед не мой"(ц).
Эта угроза - невидимая картинка (маленькая, несколько пикселей), встроенная в тело письма, к картинке привязан вирус или переход на опасный ресурс. Другими словами, это все активизируется уже при открытии письма, сразу, и переход по ссылкам или открытие вложенного файла уже не требуется - ловушка сработала. 

Поэтому если вы видите и понимаете, что письмо явно левое, вы его не ждете, и по заголовку понятно, что это развод - не нужно открывать письмо даже ради интереса или чтобы поржать с незадачливых мошенников и/или щедрых нигерийских принцев. Просто удалите его, не открывая. Ничего нового для себя вы не узнаете, открыв его, а теоретическая опасность получить заразу есть.

С картинками "не все так однозначно", но есть масса нюансов. Например картинка jpg может содержать в себе "дополнительные данные", это называется стеганография*. Внедрения дополнительной информации в "невидимых пикселях" а точнее в битах информации которые фактически не искажают отображение. Можноли туда засунуть исполняемый код - не готов сказать. Есть более примитивный метод - меняем расширение ехе на jpg
Есть вариант типа "вот вам квитанция квартплата, ПДФ, загрузите, у вас долг". А вот в пдф уже можно напихать , правда не код вируса но скрипт для загрузки лоадера, который уже потом догрузит все необходимое

Кстати очень рекомендую, если например в жмейл - метить письма как "фишинг", это не только снизит количество приходов вам такого "добра", но и "империя добра" их обработает, получит сигнатуры, и другим людям это не попадет.


 *Этот термин ввёл в 1499 году аббат бенедиктинского монастыря Св. Мартина в Шпонгейме Иоганн Тритемий. Само собой это была идея и концепция а не про jpg


ПС И хороший вариант - всеже иметь нормальный полноценынй антивирус, причем и на компе и на мобильном
А, еще SVG формат "редиска" -  прилетает SVG-изображение, закодированное с использованием Base64и прячет внутри себя JavaScript-код, который уже исполняется. Дальше думаю понимаете что происходит

[booktiger]

Также, на мой взгляд, нужно тщательно проверять, куда ведут ссылки. Нередко ссылки ведут на фишинговый сайт. И необходимо стараться нигде не указывать приватный ключ, а также не сохранять его в браузере и почаще чистить кэш

Не обязательно на фишинговый сайт в письме ниже ссылка при нажатии по кнопке ведет на электронные таблицы Гугл,
docs. google.com/spreadsheets , где сработает какой нибудь макрос. Правда я не знаю будут ли у макроса права доступа к файловой системе.

Тип угрозы: фишинговое письмо
Платформа: кошелек аппаратный Trezor
Цель: предположительно получение доступа к Trezor

Данного аппаратного кошелька у меня нет что бы проверить , но письмо получил.

[heyod hewow]

ПС И хороший вариант - всеже иметь нормальный полноценынй антивирус, причем и на компе и на мобильном

Все это есть и я в принципе не открываю емейлы от неизвестных мне отправителей и от "известных" тоже, если в шапке мейла меня что-нибудь настораживает, другими словами практически все мейлы пачками летят на удаление без открывания и любопытства - а что там..
 

А, еще SVG формат "редиска" -  прилетает SVG-изображение, закодированное с использованием Base64и прячет внутри себя JavaScript-код, который уже исполняется. Дальше думаю понимаете что происходит

Понимаю, так чаще всего угоняют аккаунты во всяких Фейсбуках или получают удаленный доступ к мобильному устройству... "а я всего лишь красивую рождественскую картинку получила, не пойми от кого". ))

Платформа: кошелек аппаратный Trezor

Кстати о Трезоре, свежачок. Пpoизвoдитeль кoшeлькa Trezor paccлeдуeт взлoм бaзы дaнныx cлужбы пoддepжки.

Kaк cooбщaют в caмoй кoмпaнии, злoумышлeнник пoлучил дocтуп к pяду дaнныx, в чacтнocти, к инфopмaции o клиeнтax, взaимoдeйcтвoвaвшиx co cлужбoй пoддepжки Trezor, нaчинaя c дeкaбpя 2021 гoдa. Oтмeчaeтcя, чтo инцидeнт мoг зaтpoнуть дo 66 000 пoльзoвaтeлeй.

Теперь не только владельцам Леджеров лавина писем на мейлы (а иногда и звонки на мобильные) будет, но и владельцам Трезоров. Помню, когда леджероводам такое валило, трезероводы смеялись - у нас, мол, такого не будет, трезор рулит... а я говорил в ответ: да подождите, будет и у вас на улице праздник, это лишь вопрос времени. ))

[DrBeer]

Тип угрозы: фишинговое письмо
Платформа: PayPal
Цель: Предположительно Фишинг или скрипт загрузки

Описание: на e-mail приходит письмо приблизительно такого содержимого:
Отправитель: Koen Roberts <[email protected]>
Тескт:Your unwavering support is fundamental, and the recent transaction you
undertook serves as a testament to its meaningful impact on our
ongoing success and enduring business association.

Во вложении - вложение pdf, содержащий оформления "чека" PayPal

Само собой не загружаем и не открываем. Метим "фишинг"

[DrBeer]

Тип угрозы: фишинговое письмо
Платформа: Не известно
Цель: Не известно

С 10 марта 2024 активно пошли рассылки схожего содержимого. Обратный адрес - как правило емейл гугла.

Your score has been released for 💰 +$357 date 2024/03/08 time 19:18.

Hello user, We have noticed that you signed up an account in our system a year ago. However, it seems that you haven't visited your account in a while. We would like to bring to your attention of the importance of activity on the platform. In order to give chances for other users and maintain the current status of our system, we intend to block inactive accounts shortly. Please be aware that your account balance will be cleared upon account deactivation. We encourage you to sign in to your personal cabinet and explore the latest updates and features we provide. We value your participation in our system and look forward to your return. Thank you for your consideration and understanding. Please tap the button below to enter your account.
💰 +$357 date 2024/03/08 time 19:18
0 / 0
VIEW <<--- ТУт НЕ НАЖИМАЕМ !

[bitbit97]

Кто-нибудь сталкивался со следующим - можно ли при сканировании QR кода и перехода по ссылке, влипнуть в неприятности? Например каким-то чудным образом что-то установить себе на телефон? Или дать чему-то разрешение? Или акцептовать какую-то транзакцию? И можно ли влипнуть в неприятности косвенно?

Например во время дигитализации я в ресторане получаю меню в виде QR кода. Не думаю что сотрудники перепроверяют коды. Что если я в 1 из 5 меню вклею свой код? Что если сайт заражен, а ресторан об этом и не знает и все кто перешел по ссылке куда-то свои данные сливают?

[Smartprofit]

Кто-нибудь сталкивался со следующим - можно ли при сканировании QR кода и перехода по ссылке, влипнуть в неприятности? Например каким-то чудным образом что-то установить себе на телефон? Или дать чему-то разрешение? Или акцептовать какую-то транзакцию? И можно ли влипнуть в неприятности косвенно?

Например во время дигитализации я в ресторане получаю меню в виде QR кода. Не думаю что сотрудники перепроверяют коды. Что если я в 1 из 5 меню вклею свой код? Что если сайт заражен, а ресторан об этом и не знает и все кто перешел по ссылке куда-то свои данные сливают?

Да, все это возможно. Через QR код вас могут подключить к специально созданной злоумышленниками Wi-Fi сети и получить полный доступ к вашему смартфону. Вы вряд ли быстро заметите, что у вас значок мобильного интернета сменился на значок чужого WiFi. Там же очень мелкие значки.
Могут и на фишинговый сайт вас привести и с платежами (если вы осуществляете оплату) намухлевать.
Тут риски большие, как впрочем и при многих других взаимодействиях с третьими лицами.

[bitbit97]

Понятно. Смену значка я бы точно заметил, получить доступ к яблочному устройству навряд ли (а вот андроид старых версий точно может попасть в неприятности). Меня больше напрягает то что сканируя QR нет понимания что произойдет дальше - переход по ссылке в меню или переход на страницу с кучей кнопок скачать и окон, и рандомно находящимися крестиками.