Ataques de engenharia social para dominar Web3, o metaverso

Os pesquisadores prevêem que um aumento nos ataques de engenharia social dominará a web3 e o metaverso. 

Web3 é o termo cunhado para o que poderia se tornar a próxima face da internet. A web passou de páginas contendo conteúdo para o crescimento das mídias sociais e, agora, o conceito de internet descentralizada está sendo discutido sob a bandeira da Web3. 

Parte dessa transformação pode incluir o ‘metaverso‘ – um ambiente 3D e mundo virtual para facilitar as conexões sociais, sejam pessoais ou de trabalho. Seu ID no metaverso também pode acabar vinculado a carteiras de criptomoedas, tokens não fungíveis (NFTs) e vários contratos inteligentes. 

À medida que os fornecedores de tecnologia trabalham nesses conceitos, os pesquisadores de segurança cibernética da Cisco Talos ofereceram sua perspectiva sobre as ameaças potenciais que a Web3 e o metaverso enfrentarão. 

A recente onda de phishing experimentada pelos usuários do OpenSea , na qual as vítimas foram enganadas para assinar transações maliciosas de contrato e entregar seus NFTs, pode destacar as formas de ataque que podemos ver mais comumente no futuro. 

A primeira questão discutida pela equipe é o uso do Ethereum Name Service (ENS) e serviços semelhantes potencialmente futuros que são usados ​​para compactar endereços de carteira em um formato que pode ser facilmente lembrado. 

Como alguns de nós especulam sobre o potencial valor futuro dos domínios ENS e os registram – como ‘businessname.eth’ – esses endereços podem ser usados ​​como alavanca em ataques de phishing, especialmente porque os domínios ENS são registrados no blockchain e não podem ser removido facilmente por meio de disputas de marcas registradas. 

“Pode não ser surpresa que os domínios da ENS como cisco.eth, wellsfargo.eth, foxnews.eth e assim por diante não sejam de fato de propriedade das respectivas empresas que possuem essas marcas, mas sim de terceiros que as registraram. nomes no início com intenções desconhecidas”, diz Talos. “O risco aqui é óbvio.”

Além disso, aqueles que registram um domínio ENS podem usar seus nomes, desanonimizando um endereço e sinalizando para outras pessoas quais fundos um indivíduo possui em sua carteira de criptomoedas, aumentando potencialmente o risco de ser alvo seletivo de um agente de ameaça. 

Uma breve pesquisa da Cisco Talos sobre os detentores de domínio .ENS que divulgaram seu endereço revelou uma série de ‘baleias’ segurando grandes quantidades de criptomoeda e alguns NFTs bastante lucrativos.

Vários detentores também revelam suas cidades de origem, nomes completos e perfis de mídia social – dando aos invasores uma visão mais ampla dos indivíduos a serem alvos em ataques de engenharia social. 

“Para muitos, identificar suas identidades do mundo real e localizações físicas a partir do domínio ENS e da conta do Twitter era quase trivial”, dizem os pesquisadores. 

Como a Web3 será um novo conceito sobre o qual os usuários precisarão de tempo para aprender, uma falta geral de educação também pode tornar os indivíduos mais suscetíveis a golpes e fraudes. 

“Tecnologia desconhecida muitas vezes pode levar os usuários a tomar decisões erradas”, diz Cisco Talos. “A Web3 não é exceção. A grande maioria dos incidentes de segurança que afetam os usuários da Web3 são causados ​​por ataques de engenharia social.”

Além disso, a clonagem de carteira – já uma ameaça na prática – pode se tornar um método de ataque mais popular no futuro. Isso exige que as vítimas desistam de sua frase inicial, a chave secreta usada para recuperar carteiras perdidas e pode ser solicitada por meio de engenharia social, atuando como suporte ao cliente ou enganando os titulares de carteiras em processos de verificação falsos. 

Embora a Web3 ainda esteja em desenvolvimento, vale a pena dedicar um tempo para se familiarizar com essa tecnologia – especialmente se você planeja explorar o mundo descentralizado no futuro. 

A Cisco Talos também recomenda a implementação de medidas básicas de segurança, gerenciadores de senhas, autenticação multifator (MFA) e, o mais importante, lembrando que você nunca deve entregar suas frases iniciais. 

Fonte: https://www.zdnet.com/