Поддельные приложения Trezor и программное обеспечение


Мошенничество — это проблема, с которой обществу всегда приходилось мириться. Мошенники постоянно придумывают новые способы социальной инженерии и обмана, чтобы выманить у людей их сбережения, начиная с писателей, сетующих на некачественные строительные материалы, и заканчивая звездами Силиконовой долины, привлекающими инвестиции в несуществующие технологии.

В криптовалюте все те же старые методы переработаны для использования преимуществ цифровых, не требующих разрешения и необратимых транзакций, что позволяет мошенникам более эффективно уходить от правосудия.

Поддельные приложения встречаются повсеместно

Операторы двух крупнейших операционных систем для смартфонов, компании Google и Apple представляются строгими привратниками, когда речь заходит о приложениях, которые они разрешают издателям размещать на своих платформах. Это оказалось ложным, поскольку вредоносные приложения всех видов продолжают распространяться в обоих магазинах.

Никогда не следует доверять приложениям только потому, что они были одобрены и размещены в одном из официальных магазинов приложений. На этих рынках полно опасных приложений, но мнимая безопасность «огороженного сада» — места, где могут быть размещены только якобы безопасные, одобренные приложения — является вредной иллюзией, которая заставляет пользователей терять бдительность вместо того, чтобы распознать предупреждающие знаки.

реклама фейкового сайта trezor

Какое бы приложение вы ни загрузили, всегда есть вероятность, что оно каким — то образом скомпрометировано. Хотя мы склонны не замечать, что даже официальные приложения занимаются лишь сбором пользовательских данных, по — настоящему вредоносные приложения, о которых здесь идёт речь, идут на шаг дальше и пытаются собрать средства пользователя непосредственно с его банковского счета или криптокошелька. Давайте рассмотрим, как они это делают и на какие предупреждающие знаки следует обратить внимание.

Как поддельные криптовалютные приложения обкрадывают вас

Существуют различные виды мошенничества с криптовалютами, которые приходят в виде поддельных приложений. Мы рассмотрим наиболее распространенные, которые являются фишинговыми приложениями: приложения, которые пытаются получить конфиденциальную информацию, обычно просто попросив неопытного пользователя ввести её вручную.

В криптовалюте наиболее чувствительной информацией является ваша фраза восстановления. Наиболее часто сообщаемый тип поддельных приложений, связанных с Trezor, — это мобильные приложения, которые утверждают, что работают с вашим аппаратным кошельком Trezor.

В настоящее время не существует мобильных приложений для аппаратных кошельков Trezor.

После загрузки, приложение заявляет, что столкнулось с ошибкой, и предлагает пользователям ввести seed — фразу восстановления в приложение с помощью клавиатуры мобильного телефона.

Никогда не вводите слова напрямую в мобильный телефон или компьютер и используйте его только тогда, когда вам скажет ваш аппаратный кошелёк Trezor.

Как только жертва введет фразу, содержимое её кошелька может быть выведено злоумышленником с минимальной надеждой получить его обратно. Эффективность этой аферы объясняется двумя причинами: жертву заставляют действовать безотлагательно и не обращать внимания на предупреждающие знаки; и для совершения необратимой ошибки требуется всего несколько мгновений, так что даже опытные пользователи могут попасться на эту уловку, потеряв концентрацию.

Фишинг подчеркивает как пробел в образовании, так и возможность улучшить пользовательский опыт во всей криптоиндустрии. Всё должно быть упрощено, чтобы пользователи не боялись постоянно совершать катастрофические ошибки.

Trezor Suite был создан как отдельное приложение для настольных компьютеров, самостоятельная экосистема с простым интерфейсом, которая предлагает полный контроль над криптовалютами в одном месте.

Почему мошенничество с приложениями так распространено

Любой человек может случайно загрузить поддельное приложение для криптовалют. Судя по тому, как представляются рынки приложений, там существует множество средств защиты, поэтому поддельное приложение часто можно найти всего лишь через поиск.

Мнимая безопасность рынков приложений обманчива, поскольку их данные и процессы можно легко подделать. Каким бы осторожным вы ни были, вы все равно можете случайно загрузить подозрительное приложение.

Когда вредоносное приложение проскальзывает в такой маркетплейс, как App Store, оно проходит определенные проверки безопасности и признается безопасным. Но проверки Apple не являются всеобъемлющими, да и не могут быть таковыми, и приложение может быть изменено после одобрения.

Поэтому к любому программному обеспечению, установленному на устройстве, используемом для работы с криптовалютами, всегда следует относиться с осторожностью, пока вы не убедитесь в его легитимности.

«Преступные разработчики приложений могут нарушать правила Apple, представляя на утверждение, казалось бы, безобидные приложения, а затем превращая их в фишинговые приложения, которые обманом заставляют людей предоставлять свою информацию, сообщает Apple». — Washington Post

К сожалению, это сложно, поскольку основные способы проверки приложения — просмотр рейтингов, загрузок и комментариев в App Store — легко подделать с помощью множества аккаунтов — ботов, которые создают искусственные отзывы и ручаются за безопасность приложения. Таким образом, очень сложно отличить настоящее приложение от подделки.

«Когда Христодулу открыл письменные отзывы, он прочитал жалобы других людей, которые были обмануты таким же образом. Он пришел к выводу, что пятизвездочные рейтинги, благодаря которым приложение казалось законным, были поддельными». — Washington Post

В марте 2021 года газета Washington Post обратила внимание на отсутствие модерации со стороны команды магазина приложений Apple, из — за чего один пользователь потерял 17 биткоинов.

Хотя этот случай привлёк большое внимание и даже вызвал ответ со стороны Apple, похоже, ничего не изменилось в том, как торговые площадки проверяют приложения, которые они размещают.

Предупреждающие знаки поддельных приложений

Как и в случае с любым мошенничеством, существует ряд предупреждающих признаков, которые могут помочь выявить мошенников задолго до того, как они столкнутся с реальным риском. При должном усердии нет причин становиться жертвой мошенничества с поддельными приложениями.

Критически относитесь к отзывам и рейтингам.

Хотя мы уже выяснили, нельзя доверять самим торговым площадкам в плане модерации предлагаемых приложений или даже обеспечения законности комментариев и оценок, для составления первого впечатления важно проанализировать все имеющиеся данные.

«Приложение в Play Store имело почти пятизвездочный рейтинг, пару преимущественно фальшивых отзывов и около ~500 загрузок. Для случайного пользователя это выглядело несколько правдоподобно». — Камиль Вавра

Часто поддельные отзывы и рейтинги создаются для сопровождения поддельного приложения, поэтому важно копаться в них и искать негативные отзывы и предупреждения от реальных пользователей, которые часто скрываются за первой страницей.

Будьте консервативны с разрешениями приложений.

Индустрия приложений ставит сбор данных выше интересов пользователей. Существует опасная тенденция, когда приложения требуют разрешения доступа, не связанного с функциями, которые они предоставляют.

Даже при использовании легитимных приложений не следует предоставлять доступ к частям устройства, которые не являются необходимыми для работы приложения. Чтобы не попасться на удочку вредоносного приложения, научитесь критически относиться ко всем приложениям, которые вы используете, чтобы еще больше не нарушить свою конфиденциальность.

Убедитесь, что официальное приложение действительно существует.

Легальные официальные приложения разрабатываются и поддерживаются командами реальных людей, работающих на реальные компании. Прежде чем загрузить любое приложение или любое программное обеспечение любого типа, потратьте несколько секунд на то, чтобы убедиться, что проект действительно существует.

В случае с криптовалютами это незначительное усилие может стать разницей между защитой ваших сбережений и их потерей.

Trezor еще не выпустил никакого мобильного приложения для работы с аппаратным кошельком. Не загружайте приложения Trezor из любого маркетплейса приложений: все они поддельные и предназначены для кражи ваших денег.

Не используйте seed — фразу без причины

Установка поддельного приложения может установить на ваш телефон шпионское ПО или сложные хакерские инструменты. Это проблема, но она не будет иметь значения для средств пользователей аппаратных кошельков Trezor.

Если вы защищаете свои криптовалюты с помощью холодного кошелька Trezor, риск заключается не в шпионском ПО, а в простом фишинге. Поддельные приложения обычно создаются очень дешево и просто, выполняя лишь одну функцию: попросить пользователей ввести свои начальные слова и передать их создателю приложения.

фишинговый сайт trezor

«Я нашел поддельное приложение Trezor Mobile Wallet в Google Play Store. Когда я открыл его, оно попросило ввести мои семенные слова. Я сразу же удалил его». — Пользователь Reddit Aidfarh

Как мы указываем во многих местах, ваш seed используется только при восстановлении устройства и всегда инициируется самим устройством Trezor. Не вводите слова в приложениях или на веб — сайтах, пока не начнете процесс восстановления с помощью своего устройства, и только после этого следуйте безопасному процессу, описанному в Trezor wiki.

«Приложение для Android было просто WebView для фишингового веб — сайта. Единственная функциональность заключалась в том, чтобы ввести фразу 12/24 резервного слова для подключения Trezor. Любой, кто пользуется Trezor, должен знать, что вы никогда не должны вводить это слово, но, к сожалению, люди все еще попадаются на это.» — Камиль Вавра

Как защитить себя от мошенничества с поддельными приложениями

Криптовалюта построена на независимом хранении, поэтому безопасность также должна начинаться с человека. Магазины приложений виноваты в том, что не могут предотвратить мошенничество, тем более что они берут комиссию за обеспечение безопасного и надежного сервиса, но даже если это признается, лучше всего предположить, что в сети всегда будут скрываться поддельные криптовалютные приложения.

Важно просвещать себя и других о том, на какие предупреждающие знаки следует обращать внимание. Зачастую поддельное приложение легко распознать, проведя небольшое тщательное исследование. Однако еще важнее понять, что ваш seed — это всё, что нужно злоумышленнику для доступа к вашей криптовалюте. Ваши слова всегда должны быть приватными и безопасными.

Используйте аппаратный кошелек.

Чтобы сохранить сид фразу в безопасности, убедитесь, что вы используете аппаратный кошелек для генерации и хранения слов в автономном режиме. Это не позволит вредоносным приложениям искать ваши сид фразы на устройствах или в сетях, которыми вы пользуетесь, и даже защитит их в тех редких случаях, когда вам понадобится восстановить свои монеты.

При использовании аппаратных кошельков (Trezor One, SafePal S1, Ledger) вам никогда не придется вводить свой полную seed — фразу в компьютер. Если в какой — то момент вас попросят это сделать, значит, кто — то пытается вас обмануть.

Слова следует вводить непосредственно на аппаратных кошелькахr, и этот процесс всегда управляется вашим холодным кошельком, поэтому вы можете быть уверены, что любой другой метод, который вас попросят использовать, является мошенничеством.

Придерживайтесь проверенных приложений.

Всегда будьте осторожны со всем, что вы загружаете для работы с криптовалютой. Прозрачные интерфейсы кошельков с открытым исходным кодом, такие как Trezor Suite, позволяют вам убедиться, что программное обеспечение не скрывает никакого вредоносного кода.

Trezor Suite также упрощает проведение ежедневных операций с криптовалютой в одном месте без необходимости зависеть от множества различных приложений и веб — сайтов.

Помните, что официального мобильного приложения Trezor на мобильных рынках не существует.

Что делать, если вас обманули с помощью поддельного приложения

Если вы потеряли средства из — за мошенничества с поддельным криптоприложением, то, скорее всего, вы ничего не сможете сделать, чтобы вернуть свои деньги. К сожалению, криптовалютные транзакции являются окончательными и не могут быть отменены, поэтому лучшей надеждой на возврат средств является обычный процесс подачи заявления в правоохранительные органы. В некоторых случаях удается отследить средства до тех пор, пока преступник не попытается конвертировать их в обычную фиатную валюту, и тогда его часто ловят.

Поддельные криптоприложения — это растущая проблема, которую не решают платформы, на которых они появляются. Чтобы пользователи не скачивали такие приложения в первую очередь, необходимо повысить осведомленность о проблеме.

Самое важное — научить новичков тому, что защита своих семян является необходимым условием обеспечения безопасности цифровых активов, и к этому не следует относиться легкомысленно.

Оставить комментарий

Ваш адрес email не будет опубликован.