Bagong Phishing Campaign
Isang bagong phishing campaign ang nagta-target sa mga gumagamit ng cryptocurrency sa pamamagitan ng pagpapanggap bilang Aave, isa sa mga pinaka-ginagamit na decentralized finance platform. Noong Hunyo 20, naglabas ang web3 security firm na Scam Sniffer ng babala ukol sa mga pekeng Aave (AAVE) ads na lumalabas sa itaas ng mga resulta ng paghahanap sa Google.
Ang mga patalastas na ito ay nagdadala sa mga gumagamit sa mga mapanlinlang na website na naglalayong nakawin ang kanilang pondo sa pamamagitan ng pag-uudyok sa kanila na pumirma sa mga mapanganib na transaksyon. Ang mga phishing websites ay malapit na kahawig ng opisyal na platform ng Aave pagdating sa disenyo at gumagamit ng mga nakalilinlang na domain name. Kapag nakakonekta ang isang wallet, hinihimok ang mga gumagamit na i-authorize ang mga transaksyon na maaaring magresulta sa pagnanakaw ng kanilang mga asset nang hindi nila namamalayan.
ALERT: Ang mga pekeng “Aave” ads ay nangunguna ngayon sa mga resulta ng paghahanap sa Google! Ang mga phishing ads na ito ay idinisenyo upang ubusin ang iyong wallet sa pamamagitan ng mga mapanlinlang na lagda ng transaksyon.
Kahawig na Mga Kaganapan
Ang insidente ay kahawig ng isang trend na nakita noong 2024, kung saan ilang mga high-profile phishing scams ang nagresulta sa malalaking pagkalugi para sa industriya ng cryptocurrency. Sa isang tanyag na kaso, isang pekeng XRP (XRP) airdrop campaign ang nagpanggap na CEO ng Ripple at nag-promote ng isang mapanlinlang na giveaway na nagtulak sa mga gumagamit sa mga phishing websites. Isang pampasikat na kampanya rin ang gumamit ng mga sponsored ads sa Google Play upang targetin ang mga gumagamit ng MetaMask, na nagresulta sa mga pagkompromiso ng wallet at pagnanakaw ng kredensyal.
Paglago ng mga Teknik sa Phishing
Dahil sa pag-unlad ng mga sopistikadong teknik tulad ng mga mapanlinlang na paglalagay ng ads, ang phishing ay umusbong bilang isa sa mga pinaka-mapanganib na banta sa dahil sa digital asset ecosystem. Bilang karagdagang alalahanin, noong Hunyo 19, iniulat ng Cybernews ang pagkakalantad ng 16 bilyong login credentials na nakolekta ng infostealer malware at nakaimbak sa mga hindi protektadong cloud databases.
Kasama rito ang mga login credentials para sa mga website tulad ng GitHub, Apple, Google, at Telegram. Ang mga datos na ito ay nagbubunyag ng isa sa pinakamalaking data breaches sa kasaysayan, umabot ito sa napakalaking 16 bilyon expose na login credentials. Malamang na nagmula ang mga datos sa iba’t ibang infostealers na nagtipon ng sensitibong impormasyon na maaaring sanhi ng mas malaking pinsala.
Mga Hakbang sa Pagprotekta
Pinapaalalahanan ang mga gumagamit na iwasan ang paggamit ng mga search engine upang ma-access ang mga cryptocurrency platform. Sa halip, dapat nilang gamitin ang mga napatunayang URL o mga nakasave na bookmark. Ang karagdagang mga hakbang sa pagpapagaan ng panganib ay kinabibilangan ng:
- Paggamit ng hardware wallets
- Pag-on ng multi-factor authentication
- Pag-iwas sa pag-iimbak ng seed phrases sa mga cloud services
Pagpapabuti ng Seguridad
Ang Aave impersonation scam ay nagha-highlight ng isang patuloy na agwat sa seguridad sa online advertising. Ang mga site tulad ng Google at Meta ay nahaharap sa batikos para sa pagpapahintulot sa mga masamang aktor na kumita mula sa mga sponsored ad placements. Habang umuunlad ang mga phishing techniques, kinakailangan ang mas mahigpit na kontrol sa antas ng platform at mas mataas na kamalayan sa loob ng crypto community.
