5 ข้อห้ามที่สำคัญสำหรับผู้ถือคริปโต: Jameson Lopp นักพัฒนา Bitcoin เตือนเกี่ยวกับการจัดการการแจ้งเตือนของ Google – U.Today

3 ชั่วโมง ที่ผ่านมา
อ่าน 8 นาที
5 มุมมอง

การเรียกร้องให้ใช้แนวทาง “Zero Trust” ในการสื่อสาร

Jameson Lopp นักพัฒนาที่มีชื่อเสียงของ Bitcoin ได้เรียกร้องให้ผู้ถือคริปโตนำแนวทาง “zero trust” มาใช้กับการสื่อสารที่เข้ามาทั้งหมด หลังจากที่พบช่องโหว่ในโครงสร้างพื้นฐานของ Google

ช่องโหว่และการโจมตีฟิชชิง

คำเตือนนี้เกิดขึ้นหลังจากที่มีการปรากฏตัวของแผนฟิชชิงที่ซับซ้อนซึ่งใช้แบบฟอร์ม Google ที่ถูกต้องตามกฎหมายสำหรับการขอข้อมูลติดต่อสำรอง เนื่องจากการแจ้งเตือนถูกส่งจากโดเมนทางการของบริษัท ฟิลเตอร์ความปลอดภัยจึงอนุญาตให้มันเข้าสู่กล่องจดหมายของเหยื่อโดยตรง

ผู้โจมตีใช้ช่องชื่อโดยการแทรกข้อความขนาดใหญ่ที่ทำให้เนื้อหาของระบบจริงถูกผลักลงไปข้างล่าง ขณะที่วางคำเตือนด้านความปลอดภัยปลอมและลิงก์ฟิชชิงไว้ที่ด้านบนของอีเมล

ความไว้วางใจของผู้ใช้ถูกจัดการเพิ่มเติมจากความจริงที่ว่าเว็บไซต์ที่เป็นอันตรายถูกโฮสต์บนแพลตฟอร์ม Google Sites อย่างเป็นทางการ

ช่องทางการสื่อสารที่ไม่ควรเชื่อถือ

จากเหตุการณ์นี้ Lopp ได้ระบุช่องทางการสื่อสารหลักห้าช่องทางที่ไม่ควรเชื่อถือสำหรับข้อความที่เข้ามา ได้แก่:

  • อีเมล
  • โทรศัพท์
  • SMS
  • โปรแกรมส่งข้อความ
  • การแจ้งเตือนภายนอกอื่นๆ

ฉันไม่สามารถเน้นย้ำเรื่องนี้ได้มากพอ: อย่าเชื่อถืออีเมล! อย่าเชื่อถือการโทรศัพท์! อย่าเชื่อถือข้อความ SMS! อย่าเชื่อถือข้อความแชท! อย่าเชื่อถือการสื่อสารที่เข้ามา!

ข้อความใดๆ ที่บอกว่ามีปัญหาด้านความปลอดภัยกับบัญชีที่ต้องแก้ไขอย่างเร่งด่วนเป็นเรื่องที่น่าสนใจ

ข้อเสนอ BIP-361 และการวิจารณ์

Lopp เพิ่งกลายเป็นผู้ร่วมเขียนข้อเสนอ BIP-361 ที่มีข้อถกเถียงซึ่งออกแบบมาเพื่อปกป้อง Bitcoin จากคอมพิวเตอร์ควอนตัมในอนาคต รวมถึงคอมพิวเตอร์ที่อาจพัฒนาโดย Google

เอกสารนี้เสนอให้ห้ามการทำธุรกรรมจากที่อยู่เก่าภายในสามปีและทำการแช่แข็ง BTC สูงสุด 1.7 ล้านเหรียญในกระเป๋าเงินที่เชื่อมโยงกับ Satoshi Nakamoto ภายในห้าปีหากเจ้าของไม่อัปเกรดลายเซ็นเข้ารหัส

ความคิดริเริ่มนี้ทำให้เกิดกระแสการวิจารณ์อย่างรุนแรงและข้อกล่าวหาว่าละเมิดหลักการกระจายอำนาจ ทำให้เกิดการแบ่งแยกในชุมชนนักลงทุนมากขึ้น

ความไว้วางใจในระบบนิเวศที่รวมศูนย์

สถานการณ์ยังถูกทำให้เลวร้ายลงจากพฤติกรรมของบริษัทเทคโนโลยีขนาดใหญ่ Google เพิ่งลบข้อความจากคำอธิบายฟีเจอร์ AI ของ Chrome ที่ระบุว่าข้อมูลท้องถิ่นของผู้ใช้จะไม่ถูกส่งไปยังเซิร์ฟเวอร์ของบริษัท ซึ่งทำให้ความไว้วางใจในระบบนิเวศที่รวมศูนย์ลดลง

ข้อสรุป

ข้อสรุปหลักคือคุณไม่ควรเชื่อถือข้อความใดๆ ที่อ้างว่ามีปัญหาด้านความปลอดภัยเร่งด่วนกับบัญชีของคุณ แม้ว่าอีเมลจะมาจากโดเมนทางการของ Google ก็ตาม

ตามที่ Lopp กล่าว ความรู้ทางเทคนิคของผู้ใช้ใหม่กำลังลดลง ทำให้พวกเขาเป็นเป้าหมายที่เหมาะสมสำหรับการโจมตีประเภทนี้

ป้ายกำกับ

ที่เกี่ยวข้อง

ล่าสุดจาก Blog