Ang “Try My Game” Scam sa Crypto
Noong nakaraang buwan, ibinahagi ng crypto user at NFT artist na si Princess Hypio sa kanyang mga tagasunod na nawalan siya ng $170,000 sa crypto at non-fungible tokens matapos siyang kumbinsihin ng isang scammer na maglaro ng laro kasama nila sa Steam. Habang siya ay “walang isip” na naglalaro kasama ang scammer, lihim nilang ninanakaw ang kanyang pondo at hinahack ang kanyang Discord. Ang parehong taktika ay ginamit sa tatlo sa kanyang iba pang mga kaibigan, ayon sa kanyang post noong Agosto 21 sa X. Lumalabas na ang taktika ay matagal nang umiiral at kilala ng ilan bilang “try my game” scam, na iniulat ng mga user sa loob ng maraming taon sa iba’t ibang anyo.
Paano Gumagana ang “Try My Game” Hack
Sa pakikipag-usap sa Cointelegraph, sinabi ni Nick Percoco, chief security officer ng Kraken, na ang mga pamamaraang ito ay naging isang lalong tanyag na paraan ng pag-atake. Ang crypto na bersyon ng scam ay kinabibilangan ng isang hacker na sumasali sa isang Discord server o grupo, nag-aantay, natututo kung paano nakikipag-ugnayan ang mga user sa isa’t isa, at kalaunan ay ginagamit ang impormasyong iyon upang makuha ang tiwala. Ang hacker ay nagtatanong sa mga user kung sila ay may crypto o NFTs, kadalasang nagpapanggap na interesado upang magtanong at sukatin kung anong mga digital na asset ang maaaring pagmamay-ari nila. Sa kaso ni Princess Hypio, mayroon silang Milady NFT, na nagresulta sa kanyang pagiging target.
Matapos matukoy ang isang target na may crypto, iniimbitahan ng hacker ang mga biktima na maglaro ng isang laro, nagpapadala ng link sa isang server na may Trojan malware na nagbibigay ng access sa mga device ng user, na nagpapahintulot sa kanila na magnakaw ng personal na impormasyon at ubusin ang anumang nakakonektang wallet. Sa kaso ni Princess Hypio, ang plano ay kinabibilangan ng pagkumbinsi sa kanya na mag-download ng laro sa Steam sa pamamagitan ng pag-aalok na bilhin ito para sa kanya. Ang laro mismo ay ligtas, ngunit ang server kung saan naka-host ang laro ay mapanlinlang. Nawalan siya ng $170,000 mula sa atake, sabi niya. Ito ay nangyari ilang araw lamang matapos ilabas ng Discord ang kanilang patakaran sa mapanlinlang na mga gawain, na nagbabala na ang pagsusulong o pagsasagawa ng mga financial scam sa social platform ay lumalabag sa mga tuntunin ng paggamit.
“Ang mga scam na ito ay hindi umaabuso sa code; umaabuso sila sa tiwala. Ang mga umaatake ay nagpapanggap na mga kaibigan at pinipilit ang mga tao na gumawa ng mga aksyon na karaniwan ay hindi nila gagawin,” sabi ni Percoco. “Ang pinakamalaking kahinaan sa crypto ay hindi code, ito ay tiwala. Ang mga scammer ay umaabuso sa diwa ng komunidad at pagk Curiosity upang samantalahin ang mga mabuting intensyon.”
Taktika ng Scammer na Lumalampas sa Crypto
Noong Pebrero, isang user na may handle na RaeTheRaven ang nag-post sa Malwarebytes forum na sila ay naging biktima ng “kilalang scam” matapos ang isang tao na akala nila ay kaibigan ay nagpadala ng link. Isang Reddit forum na nagsimula noong Hulyo ay nagbabala rin tungkol sa mga scam na tumatarget sa mga manlalaro. Sinabi ni Percoco sa Cointelegraph na habang ang industriya ng crypto ay may posibilidad na makita ang mga scam na ito muna, ang taktika ay kumakalat sa iba’t ibang sektor. Sinabi niya na ang pinakamahusay na paraan upang maiwasan ang mahuli ay magkaroon ng “malusog na pagdududa”, kumpirmahin ang mga pagkakakilanlan sa pamamagitan ng ibang channel, iwasan ang pagpapatakbo ng hindi kilalang software, at tandaan na “ang hindi paggawa ay mas ligtas kaysa sa pagkuha ng isang mapanganib na hakbang.”
“Kung ang isang bagay ay tila nagmamadali, mapagbigay, o masyadong mabuti upang maging totoo, halos palaging ito ay. Huwag magtiwala, beripikahin.”
Mas Masahol Pa ang mga Pekeng Recruitment Campaign
Gayunpaman, sinabi rin ni Percoco na habang ang mga Discord scam ay tumataas, ang isang mas malawak na trend sa crypto sa kasalukuyan ay kinabibilangan ng mga pekeng recruiter. Sa isang kamakailang kaso noong Hunyo, isang threat actor na konektado sa North Korea ang tumarget sa mga naghahanap ng trabaho sa industriya ng crypto gamit ang malware na dinisenyo upang magnakaw ng mga password para sa mga crypto wallet at password managers. “Ang impersonation sa Discord ay mabilis na tumataas, ngunit ang pinaka-malawak na trend na sinusubaybayan namin ngayon ay ang mga pekeng recruitment campaign kung saan ang mga biktima ay nahihikayat ng mga alok sa trabaho at nalilinlang na mag-click sa mga phishing link,” sabi ni Percoco.
