Zoals altijd vinden frauduleuze crypto-portefeuilles hun weg naar app-winkels en worden gebruikers opgelicht.
Sommige apps worden opnieuw verpakt nadat ze zijn verwijderd en sluipen langs de controleprocessen van Apple en Google.
Voordat u een cryptocurrency-portemonnee gebruikt, moet u de authenticiteit en reputatie ervan verifiëren. Dogecoin verwachting is positief.
Op 24 februari werd een app genaamd “Trezor” stilletjes geüpload naar de Apple App Store. Het bleek een crypto-app te zijn voor de populaire bitcoin-hardwareportefeuille, en het was gekoppeld aan de legitieme trezor.io-website en het privacybeleid.
De ontwikkelaars noemden het “Data Not Collected” met de “voedingsetiketten” van Apple, die bedoeld zijn om gebruikers van de app store gemakkelijk te laten identificeren welke informatie apps over hen verzamelen en dienovereenkomstig beslissingen te nemen.
Er is slechts één probleem: Trezor heeft geen app.
Deze app maakte gebruik van het merk Trezor om één doel uit te voeren: het stelen van Trezor-wachtzinnen en privésleutels van gebruikers via phishing, volgens analyse uitgevoerd door Sean O’Brien, hoofdonderzoeker bij ExpressVPN Digital Security Lab. Chainlink kopen online mogelijk.
De app was klein en eenvoudig, bestaande uit drie schermen, maar deed niets anders dan je Trezor-wachtwoordzin of seed-zin stelen.
CoinDesk hoorde van het bestaan van deze zwendel-app en stuurde deze naar O’Brien om het te onderzoeken.
“De app stuurt alle gegevens die de gebruiker invoert in het veld‘ Sleutel ’naar een server die niet Trezor.io is wanneer je op‘ Mijn kluis maken ’klikt,” meldde O’Brien aan CoinDesk.
Gerelateerd: ECB versnelt € 1,85 ton stimuleringsprogramma terwijl Lagarde fretten over ‘voortijdige aanscherping’
De nep-crypto-app is inmiddels door Apple uit de app store verwijderd, maar het was dagenlang bezig. Gedurende die tijd verzamelde het meerdere recensies van één ster, waarbij gebruikers het expliciet een oplichterij noemden. Toch is het blijkbaar erin geslaagd om het app-controleproces van Apple te vermijden.
Nieuwe bullmarkt voor crypto-oplichters
In de loop der jaren is er een patroon naar voren gekomen: wanneer er hausse is in crypto, blijft een toename van frauduleuze apps niet ver achter.
Het is niet alleen een Apple-probleem. CoinDesk identificeerde ook meerdere nepportemonnee-apps die de gegevens en sleutels van gebruikers in de Google Play Store stelen.
“Er zullen absoluut meer zwendel-apps (en fraude in het algemeen) zijn tijdens hoogconjunctuur”, zegt Richard Sanders, hoofdonderzoeker en directeur bij CipherBlade, een blockchain-onderzoeksbureau.
“De reden hiervoor is dat de hausse-tijden een nieuwe golf van mensen inluiden die met de hype-trein willen rijden en wat geld willen verdienen. Het probleem daarmee, net als het fundamentele probleem dat resulteert in de overgrote meerderheid van oplichting / hacks, is dat deze mensen geen onderzoek doen naar waar ze in investeren. ”
Bij het volgen van het verkeer van de nep-Trezor-app, zag O’Brien dat de tekst die door de app-gebruiker in het veld ‘Sleutel’ was ingevoerd, werd verzonden naar het domein https://www.data-bcvault.com – een zwendelwebsite gehost door Wix .com dat zich voordoet als “BC Vault”, een ander hardware wallet-product.
CoinDesk heeft Trezor, Apple, Wix en de cloud computing-provider van de zwendelsite op de hoogte gebracht van onze bevindingen. Wix heeft de site sindsdien uitgeschakeld.
App store crypto-zwendel in overvloed
Naast de Trezor-kloon hebben andere frauduleuze cryptocurrency-portefeuilles ruimte ingenomen in populaire app-winkels. De constante herverpakking van deze crypto-zwendel-apps in verschillende vormen, waarbij ze verschillende bedrijven imiteren, betekent dat ze soms voorbij de ogen van poortwachters komen.
Sommige van deze oplichting, ingebed als financiële landmijnen in de app-winkels, zijn beter vermomd dan andere.
Jayden (een pseudoniem) vertelde CoinDesk dat hij eind februari ADA verloor aan een nep Cardano-portemonnee. Destijds had het een waardering van 4,3 omdat “er bots waren die de beoordelingen opdreven, maar dat realiseerde ik me op dat moment niet”, vertelde Jayden aan CoinDesk.
Tegen de tijd dat CoinDesk de app in de winkel bekeek, had Google Play de neprecensies geschrobd en zweefde de app net boven de 1 ster.
De ondersteuning van Google Play heeft sindsdien de app verwijderd, samen met een andere die ervoor in de plaats kwam, waar CoinDesk ook naar informeerde als onderdeel van zijn onderzoek.
Toch zijn er andere frauduleuze crypto-apps op Google Play die alle kenmerken hebben van fly-by-night-geldgrepen.
De zogenaamde Staked Wallet, die gebruikers belooft beloningen in te zetten voor cryptocurrencies die niet eens een bewijs van inzet zijn, is daar een van. Vorig jaar gelanceerd, heeft de app een 1-sterbeoordeling met meerdere beoordelingen die het oplichterij noemen en klagen dat ze de portemonnee niet eens kunnen openen om toegang te krijgen tot geld.
CoinDesk had geen reactie per perstijd van Google ontvangen met betrekking tot het doorlichtingsprocess voor cryptocurrency-apps in de Play Store.
O’Brien bekeek aanvullende apps in de Google Store die beweerden crypto-portefeuilles te zijn, maar op dezelfde manier de sleutels en wachtwoordzinnen van gebruikers stelen. Cardano-portefeuilles waren hier een voorbeeld van, met meerdere zwendel-apps (minstens vijf) die vanaf dezelfde site, cardano-explorere.com, werden gepusht.
“De website is nog steeds actief en kan zelfs in de browser via phishing worden opgelicht, als deze nog niet in apps wordt gebruikt”, aldus O’Brien. “Het verzamelt sleutels of wachtwoordzinnen via eenvoudige HTML-formulieren en laat de gebruiker dan gewoon een fout zien.”
Twee anderen, com.dusttp.exwalle en com.stexosll.walle, gebruiken hetzelfde exploitatiemechanisme, maar waren volgens O’Brien niet dezelfde ontwikkelaars als de Cardano-portefeuilles. Beide zwendel-apps waren vorige week nog live toen O’Brien zijn onderzoek uitvoerde.
Reddit-gebruikers stellen lijsten op van dit soort apps, een soort van basisonderzoek wanneer snode apps voorbij de poortwachters van Apple en Google komen. Gebruikers hebben bijvoorbeeld nep-apps gedocumenteerd voor zowel Coinbase als Polkadot.
“De belangrijkste hefbomen die aanvallers zoeken om een applicatie als aanvalsvector te kiezen, zijn meestal: merkreputatie, app- of onderwerppopulariteit”, zegt Esther Onfroy, medeoprichter van Defensive Lab Agency en oprichter van Exodus Privacy.
Apps zoals degenen die Trezor imiteren, midden in de crypto-boom, hebben al die vinkjes geraakt.
Om oplichtingsapps te voorkomen: vertrouw niet, maar verifieer
Een van de argumenten tegen gedecentraliseerde of open marktplaatsen voor software komt neer op hun inherente gebrek aan kwaliteitscontrole. Als er geen gecentraliseerde poortwachters zijn om gevaarlijke software buiten te houden, zo luidt het argument, dan wordt alles (en alles) direct beschikbaar gemaakt. Het risico om iets kwaadaardigs te downloaden is groot; maar dan wordt dat risico vermoedelijk ook beter begrepen en verwacht.
Aan de andere kant, ondanks hun poortwachterfuncties, hebben gecentraliseerde marktplaatsen nog steeds dezelfde problemen als in dit artikel wordt aangetoond: die ongewenste apps kunnen er nog steeds doorheen glippen en onopgemerkt blijven totdat er iets in het oog springt van het bedrijf dat de winkel runt.
“Na decennia is phishing nog steeds een krachtige methode om gebruikers aan te vallen, omdat het hun idee van vertrouwen ten goede komt”, aldus O’Brien. “Deze apps maken gebruik van phishing via portemonnee-apps en bouwen vertrouwen op door de toeleveringsketen van smartphonesoftware te penetreren. Consumenten verwachten niet dat een app uit de iOS- of Google-appstores hun inloggegevens grijpt en ermee wegrent, hoewel de toenemende aanwezigheid van deze apps duidelijk maakt dat er een aanhoudende dreiging bestaat op het gebied van cryptocurrency. ”
Wat vertrouwende app-gebruikers moeten begrijpen, zijn de portefeuilles die het screeningproces van Google hebben doorstaan, niet per se legitiem zijn. Het is nog steeds een goede gewoonte om portefeuillesoftware niet blindelings te vertrouwen, zelfs niet als deze in een app store terechtkomt.
“Dit is een baseline, instapniveau, minimale ervaring die deze bedrijven zouden moeten doen.”
“Google is reactief en Apple is proactief, dus oplichting op Google wordt alleen afgebroken als ze groot worden en Google opmerkt,” vertelde Dustin Dettmer, een softwareontwikkelaar die apps in beide winkels heeft gepubliceerd, aan CoinDesk.
Sanders zei dat de dynamiek van de manier waarop apps worden doorgelicht een beetje ingewikkeld is en afhankelijk is van of het Apple of Google is. Soms zijn de apps legitieme bedrijven die gecompromitteerd raken en soms is het gewoon een gebrek aan toewijding van Apple of Google. Sanders merkte op dat zwendel-apps veel vaker voorkomen op Google.
“Het is niet te verontschuldigen dat dit al jaren een bekend probleem is, waarbij miljardenbedrijven er niet in slagen er enige tastbare stap in te zetten”, aldus Sanders.
“Dit is kennis van daghandelaren: het pas geregistreerde Google-account dat een advertentie plaatst voor een Metamask-website (lookalike) is niet legitiem. Dit is een baseline, entry-level, minimale ervaring die deze bedrijven zouden moeten doen. Het komt zelden voor dat ik een bedrijf aanroep als onderdeel van het probleem voor cryptocurrency-verliezen, wat een sterke indicator zou moeten zijn van hoe ernstig een probleem is. ”
“Gezien de tastbare schade die bedrieglijke portemonnee-apps kunnen aanrichten, moeten ze serieus worden onderzocht”, aldus O’Brien. “App-marktplaatsen zouden een betere plek zijn als portemonnees en andere financiële apps als het ware onder de loep worden genomen voordat ze in een app-store worden gepubliceerd.”
Onfroy, van de Defense Lab Agency, heeft een product ontwikkeld om dit soort problemen aan te pakken.
Met de naam ScatterScam kunnen editors hun aanvragen indienen en zodra ze dat doen, berekent en bewaart ScatterScam de vingerafdruk van elke officiële aanvraag.
“ScatterScam scant continu talloze applicatiemarkten en websites (Google Play, F-Droid en vele andere alternatieve winkels) en vergelijkt elke beschikbare applicatie met vertrouwde vingerafdrukken”, aldus Onfrey. “De applicatie-editor krijgt een melding zodra een nepversie van zijn applicatie is gedetecteerd.”
Zodra ze op de hoogte zijn gesteld, kunnen ontwikkelaars inzicht krijgen in het gedrag van de vervalste versies om de risico’s van hun bedrijf te kennenen gebruikers worden geconfronteerd, waarschuwen de gebruikersgemeenschap en vragen om verwijdering.
Op de vraag of Google meer zou kunnen doen tegen frauduleuze crypto-apps in de Google Play Store, zei Onfroy dat “Google zeker meer zou kunnen doen, maar het niet en zou zelfs dezelfde technische methoden kunnen gebruiken als ScatterScam.”
Technologie en veiligheid, geen prijsvoorspellingen
Sanders, die gevallen van fraude en oplichting als deze onderzoekt, zei dat de belangrijkste onderbreking die hij ziet, is dat mensen geld investeren, maar geen tijd. In elke andere markt wordt van nature verwacht dat u tijd investeert in datgene waarin u overweegt te investeren.
“De ironie is dat het meer tijdinvestering met cryptocurrency vereist (vanwege het verhoogde diefstalrisico, vanwege het verlies van gecentraliseerde beveiligingen enz.) Dan dat het tijdinvestering zou vergen in bijvoorbeeld edelmetalen of aandelen – en ik heb observeerde dat mensen vaak minder tijd investeren in het onderzoeken van digitale activa, ”zei hij.
“Consumenten moeten even voorzichtig zijn als bij een grote aankoop,” voegde O’Brien eraan toe. “Het te snel installeren en vertrouwen van een app kan rampzalig zijn als je munten in handen van criminelen terechtkomen.”
Het “2021 Crypto Crime Report” van Chainalysis, een vooraanstaand blockchain-analysebedrijf, ontdekte dat hoewel oplichting de meest opbrengende vorm van op cryptocurrency gebaseerde criminaliteit blijft, de totale zwendelinkomsten in 2020 drastisch zijn gedaald, van ongeveer $ 9 miljard tot iets minder dan $ 2,7 miljard. . ”
Maar uit het rapport blijkt dat het aantal individuele betalingen dat naar zwendeladressen wordt verzonden, met ongeveer 2,3 miljoen is gestegen, wat suggereert dat het werkelijke aantal slachtoffers “met meer dan 48% is gestegen”, zelfs toen de inkomsten uit zwendel in het algemeen daalden.
Het rapport schrijft deze contra-intuïtieve verschuiving toe aan het feit dat er “geen grootschalige Ponzi-schema’s zijn zoals die we in 2019 zagen”, zoals PlusToken, een Oost-Aziatische Ponzi die miljarden in Bitcoin en andere cryptocurrencies heeft gestolen.
Maar het laat wel zien dat er meer mensen vallen voor oplichting dan in voorgaande jaren.
“Onderwijs voor een nieuwkomer moet gaan over technologie en beveiliging, niet over‘ prijsvoorspellingen ’. ”
Er zijn eenvoudige stappen die mensen kunnen nemen om scam-apps te vermijden, maar de eerste is volgens Sanders om te vertragen. (Dit advies kan natuurlijk in het algemeen worden toegepast voordat u zich in de wereld van cryptocurrencies waadt.)
Hij zei dat mensen moeten controleren hoeveel recensies / downloads de app heeft, en wie de app heeft geschreven en / of gepubliceerd.
In navolging van het oplichtingsslachtoffer Jayden, zei Sanders dat deze stap alleen niet een allesomvattende zaak is, omdat neprecensies iets zijn.
Een andere valkuil om op te letten, zijn mijnbouwapps, waar hij vaak oplichting ziet worden uitgevoerd.
“Ik denk dat veel hiervan neerkomt op mensen die iets gratis willen krijgen, en dit zijn vaak mensen die niet goed zijn opgeleid over cryptocurrencies,” zei hij.
Een mobiele telefoon zal bijvoorbeeld geen resultaten opleveren van een GPU of ASIC als het gaat om mijnbouw, benadrukt Sanders. Hoewel dit niet betekent dat alle phone mining frauduleus is, en er quasi-legitieme maar functioneel andere mining is, is het een zeer goede reden om even te pauzeren.
Over het algemeen komt het allemaal neer op onderzoek doen. Begrijp basisbeveiliging zoals tweefactorauthenticatie, hoe verdachte bestanden eruit zien, en, zei Sanders, volg deze gids die hij hielp bij het schrijven. “Er zijn talloze‘ influencers ’die praten over weinig meer dan prijs en modewoorden, maar die hun sociale verantwoordelijkheid niet naleven om dit soort educatieve dingen te delen,” zei Sanders. “Onderwijs voor een nieuwkomer moet gaan over technologie en beveiliging, niet over‘ prijsvoorspellingen ’. ”
“Uiteindelijk, als iets te mooi lijkt om waar te zijn, is het dat ook.