फिलाडेल्फिया-आधारित अमेरिकी संगीतकार G. Love ने Apple App Store पर नकली Ledger वॉलेट ऐप से जुड़ी एक सुनियोजित फ़िशिंग योजना का शिकार होने के बाद लगभग 5.92 BTC, यानी करीब $420,000 खो दिए हैं।
सार्वजनिक रूप से साझा किए गए विवरणों से संकेत मिलता है कि कलाकार ने एक समझौता किए गए संस्करण को डाउनलोड किया जिसे एक वैध हार्डवेयर वॉलेट सेटअप ऐप माना गया था। इंस्टॉलेशन प्रक्रिया के हिस्से के रूप में, उन्हें अपना 24-शब्द सीड फ्रेज़ टाइप करने के लिए कहा गया, जो किसी भी क्रिप्टोकरेंसी वॉलेट में पूर्ण एक्सेस देने वाला एक महत्वपूर्ण तत्व है।
सीड फ्रेज़ दर्ज करने के बाद, हैकर ने तुरंत वॉलेट पर कब्जा कर लिया और तुरंत फंड निकाल लिए। यह एक परेशान करने वाली प्रवृत्ति को उजागर करता है जहां अधिक यथार्थवादी फ़िशिंग हमले अनुभवी उपयोगकर्ताओं को भी विश्वसनीय माने जाने वाले माध्यमों से धोखा दे सकते हैं।
G. Love ने सोशल मीडिया पर अपने अनुभव की निम्नलिखित पोस्ट और छवियां साझा कीं, अन्य उपयोगकर्ताओं को अनौपचारिक वॉलेट एप्लिकेशन के खिलाफ चेतावनी देते हुए।
हमलावर सीड फ्रेज़ एक्सप्लॉइट का उपयोग करके रियल-टाइम में उपयोगकर्ताओं के फंड को निकाल लेते हैं
इस प्रकार का हमला क्रिप्टोकरेंसी सुरक्षा में एक मुख्य सिद्धांत की विनाशकारी याद दिलाता है: सीड फ्रेज़ साझा न करें, विशेष रूप से किसी भी ऐसे एप्लिकेशन में दर्ज न करें जो किसी स्थापित हार्डवेयर डिवाइस से जुड़ा नहीं है।
इस मामले में, नकली ऐप ने एक वैध Ledger वॉलेट ऑनबोर्डिंग प्रक्रिया का अनुकरण किया, इस प्रकार सुरक्षा की एक झूठी भावना पैदा की। वैध सॉफ़्टवेयर द्वारा उपयोग किए जाने वाले इंटरफेस और निर्देशों की नकल करके, हमलावर उपयोगकर्ताओं को संभावित खतरों के बारे में चेतावनियों को नजरअंदाज करने और संवेदनशील जानकारी निकालने के लिए धोखा देने में सक्षम थे।
सीड फ्रेज़ से समझौता करने का मतलब था कि किसी अतिरिक्त प्रमाणीकरण की आवश्यकता नहीं थी। हमलावरों के पास वॉलेट तक पूर्ण पहुंच थी और वे कुछ ही क्षणों बाद 5.92 BTC को स्थानांतरित करने में सक्षम थे।
क्रिप्टोकरेंसी लेनदेन को पारंपरिक बैंकिंग ट्रांसफर की तरह उलटा नहीं किया जा सकता है, इसलिए एक बार आपके फंड स्थानांतरित हो जाने पर वे वस्तुतः अपरिवर्तनीय हैं। यह तथ्य सीड फ्रेज़ फ़िशिंग को क्रिप्टोकरेंसी में सबसे हानिकारक हमला वेक्टर बनाता है।
ZachXBT ने KuCoin से जुड़े पते पर फंड का पता लगाया
ZachXBT हैंडल वाले एक ऑन-चेन जांचकर्ता ने लेनदेन ट्रेल का पता लगाया और पाया कि फंड KuCoin से जुड़े एक पते के माध्यम से भेजे गए थे।
उनका विश्लेषण इंगित करता है कि हमलावर ने फंड के हस्तांतरण को छिपाने के लिए एक्सचेंज इंफ्रास्ट्रक्चर का उपयोग किया हो सकता है, एक विधि जो अक्सर ट्रैकिंग को अधिक कठिन और पुनर्प्राप्ति को कम संभावित बनाने के प्रयास में उपयोग की जाती है।
ZachXBT ने लेनदेन के प्रवाह और संभावित समापन बिंदुओं पर विवरण प्रदान किए।
गहन विश्लेषण से पता चलता है कि पैसा कई डिपॉजिट पतों से गुजर सकता है, जो संभावित रूप से तत्काल एक्सचेंज सेवाओं से जुड़े हैं जो मजबूत पहचान सत्यापन के बिना त्वरित रूपांतरण और निकासी की अनुमति देते हैं।
अनुपालन अंतराल के बीच एक्सचेंज निगरानी पर सवाल उठाए गए
फंड को ट्रैक करने के अलावा, ZachXBT ने केंद्रीकृत एक्सचेंजों के आसपास अनुपालन और अवैध गतिविधि निगरानी से जुड़े प्रणालीगत मुद्दों के बारे में भी सवाल उठाए।
KuCoin जैसे प्लेटफ़ॉर्म, जो अन्य लोगों के पैसे रखते हैं, को भी जोड़ा गया: "ब्रोकर या व्यक्तिगत खातों का उपयोग करने वाले बुरे अभिनेताओं के साथ मनी लॉन्ड्रिंग ऑपरेशन चलाने की हमेशा चिंता होती है," उन्होंने कहा। और, उन्होंने अपने बयानों में कहा, इन खातों का उपयोग कभी-कभी पर्याप्त जांच किए बिना चोरी की गई संपत्तियों को स्थानांतरित करने के लिए माध्यम के रूप में किया जाता है।
प्रवर्तन प्रयासों के लिए एक चुनौती यह है कि यदि कई डिपॉजिट पते हैं, तो यह फंड को ट्रैक करना कठिन बना सकता है क्योंकि हमलावर कवर किए गए फंड को वितरित कर सकते हैं और फिर उन्हें कई प्रवेश बिंदुओं के माध्यम से स्थानांतरित या एक्सचेंज कर सकते हैं।
यह विशेष रूप से क्रिप्टोकरेंसी स्पेस में एक बड़े मुद्दे को उजागर करता है: सुरक्षा बनाम उपयोगकर्ता गोपनीयता की इच्छा। एक्सचेंज तरलता और पहुंच के लिए केंद्रीय हैं, लेकिन अनुपालन की कमी आसानी से बुरे अभिनेताओं को सक्षम कर सकती है।
विश्वसनीय वातावरण में नकली ऐप्स का बढ़ता जोखिम
हालांकि, Apple App Store में ऐसे ऐप की उपस्थिति प्लेटफ़ॉर्म-स्तर की सुरक्षा और ऐप समीक्षा स्तर के सवाल उठाती है।
बहुत से उपयोगकर्ताओं के लिए, आधिकारिक ऐप स्टोर सुरक्षित स्थान माने जाते हैं। हालांकि, यह घटना बताती है कि क्यूरेटेड मार्केटप्लेस भी परिष्कृत घोटालों के प्रति संवेदनशील हैं। हमलावर वैध सेवाओं की तरह दिखने और महसूस होने वाले ऐप्स डिज़ाइन करके समीक्षा प्रक्रियाओं को दरकिनार करने में अधिक कुशल हो गए हैं।
यह प्रवृत्ति नए या कम तकनीक-प्रेमी उपयोगकर्ताओं के लिए विशेष रूप से खतरनाक है जो अक्सर, विशेष रूप से सॉफ़्टवेयर डाउनलोड करते समय, ऐप स्टोर ट्रस्ट सिग्नल पर निर्भर करते हैं।
हार्डवेयर वॉलेट सुरक्षा के लिए Ledger ब्रांड की प्रतिष्ठा को देखते हुए, वे अक्सर फ़िशिंग अभियानों का निशाना रहे हैं। ऐसे हमले अपेक्षित व्यवहार और वास्तविक सुरक्षा प्रथाओं के बीच अंतर का लाभ उठाते हैं, विशेष रूप से सीड फ्रेज़ प्रबंधन के आसपास।
क्रिप्टो उपयोगकर्ताओं के लिए सबक और हम यहां से कहां जाते हैं
G. Love की घटना क्रिप्टोकरेंसी दुनिया में साइबर हमले के खिलाफ आत्म-स्वामित्व के सौभाग्य उपयोग की एक गंभीर याद दिलाती है। हालांकि अंतर्निहित ब्लॉकचेन तकनीक सुरक्षित है, उपयोगकर्ता स्तर पर कमजोरियां एक कमजोर कड़ी हैं।
सर्वोत्तम प्रथाएं भी, जैसे ऐप्स की प्रामाणिकता की जांच करना, तृतीय-पक्ष एप्लिकेशन डाउनलोड न करना और हार्डवेयर डिवाइस के बाहर कभी भी सीड फ्रेज़ दर्ज न करना, आवश्यक हैं। हालांकि, उपयोगकर्ताओं को वॉलेट सेटअप करते समय आधिकारिक स्रोतों के साथ क्रॉस-चेक करना चाहिए और सत्यापित कंपनी वेबसाइटों से सीधे लिंक का भी उपयोग करना चाहिए।
साथ ही, यह स्थिति पूरे पारिस्थितिकी तंत्र, ऐप स्टोर ऑपरेटरों से लेकर केंद्रीकृत एक्सचेंजों तक और भी अधिक जवाबदेही की मांग करती है। बेहतर जांच प्रक्रियाओं और प्रतिक्रिया तंत्रों के साथ-साथ बेहतर अनुपालन ढांचे के माध्यम से इस तरह के हमलों के खिलाफ बफर किया जा सकता है।
जैसे-जैसे क्रिप्टोकरेंसी अपनाना बढ़ता जा रहा है, वैसे-वैसे खतरों की परिष्कृतता की रिपोर्ट भी बढ़ती है। उद्योग को खुली पहुंच और तेजी से परिष्कृत घोटालों से पर्याप्त उपभोक्ता संरक्षण के बीच संतुलन खोजना चाहिए।
दिन के अंत में, यह मामला एक शिक्षाप्रद है: यह क्रिप्टो-भूमि में एक सरल तथ्य का उदाहरण देता है, जहां अपनी चाबियों पर नियंत्रण रखने का मतलब है कि आपका अपने फंड पर नियंत्रण है, यदि आप उस नियंत्रण को खो देते हैं (यहां तक कि थोड़े समय के लिए), नुकसान अपूरणीय हो सकता है।
प्रकटीकरण: यह ट्रेडिंग या निवेश सलाह नहीं है। कोई भी क्रिप्टोकरेंसी खरीदने या किसी भी सेवा में निवेश करने से पहले हमेशा अपना शोध करें।
Twitter पर हमें फ़ॉलो करें @nulltxnews ताकि नवीनतम Crypto, NFT, AI, Cybersecurity, Distributed Computing, और Metaverse समाचार के साथ अपडेट रहें!
स्रोत: https://nulltx.com/musician-loses-420k-in-bitcoin-after-fake-ledger-app-scam-exposes-wallet-vulnerabilities/
