Kyberturvallisuus

Kryptovaluuttojen piilotettu hinta: Taloudellinen vapaus kohtaa phishingin

mm
Julkaistu
Päivitetty

Kun kryptovaluuttojen hinnat nousevat, myös hyökkäykset kryptovarantoja vastaan lisääntyvät. Tosiasiassa kyberrikolliset kehittyvät yhä hienostuneemmiksi päivittäin, siirtyen koodista ihmisten haavoittuvuuksien hyväksikäyttöön.

Tällaiset hyökkäykset tekevät kyberrikollisille helppoa huijata kryptokäyttäjiä ilman, että heidän tarvitsee murtautua monimutkaisten kyberturvallisuuden suojakerrosten läpi.

Yhdessä tällaisessa phishing-huijauksessa kryptosijoittaja menetti 3 miljoonaa dollaria. Käyttäjä ei tarkistanut sopimuksen osoitetta ennen kuin allekirjoitti haitallisen lohkoketjutapahtuman. Ja pelkällä yhdellä klikkauksella 3 miljoonan dollarin arvoinen USDT tyhjennettiin käyttäjän lompakosta.

Twiitti $3M:n menetyksestä kryptovaluutta-phishing-hyökkäyksessä

Lohkoketju-analytiikka-alusta Lookonchain totesi X‑julkaisussaan (entinen Twitter):

“Joku joutui phishing-hyökkäyksen uhriksi, allekirjoitti haitallisen siirron ja menetti 3,05 M $USDT. Pysy valppaana, pysy turvassa. Yksi väärä klikkaus voi tyhjentää lompakkosi. Älä koskaan allekirjoita tapahtumaa, jota et täysin ymmärrä.”

Mitä tämä oikein tarkoittaa? No, ymmärretään ensin. Aloitetaan siitä, että tapahtuma on digitaaliseen, hajautettuun kirjanpitoon, eli lohkoketjuun, kirjattu tietue.

Kun käynnistät toiminnon, kuten varojen siirron, luodaan tapahtuma, joka sisältää tiedot lähettäjästä, vastaanottajasta, summasta ja mahdollisista ehdoista. Tapahtuma lähetetään sitten verkon solmuille, jotka tarkistavat sen, ennen kuin se sisällytetään lohkoon ja lisätään lohkoketjuun.

Nyt lähettäjänä, kun siirrät arvoa/varoja tililtäsi toiselle, sinun on syötettävä vastaanottajan osoite, summa ja sen jälkeen hyväksyttävä tai allekirjoitettava tapahtuma. 

Tapahtuman hyväksyminen tarkoittaa, että valtuutat sen toteutumaan. Tämä vahvistus, joka vaatii digitaalisen allekirjoituksen yksityisavaimellasi, suorittaa tapahtuman, siirtää summan lompakostasi vastaanottajalle ja lopulta kirjaa sen lohkoketjuun.

Vastaavasti, kun pyydät toista lähettämään sinulle varoja, teet tapahtumapyynnön ja sinun on annettava julkinen osoitteesi.

Osoite on ainutlaatuinen tilitunniste, ja sen tarkistamalla varmistat, että se on kelvollinen ja että lähetät varat oikealle henkilölle. Helppouden vuoksi voit tarkistaa vain lompakon osoitteen ensimmäiset ja viimeiset muutamat merkit, ja monessa tapauksessa se riittää, mutta et voi olla koskaan täysin varma. Siksi tämä ei ole paras käytäntö, erityisesti suuria varoja siirrettäessä.

Koska jokaisessa kryptolompakossa on ainutlaatuinen merkkijono, varmista, että tarkistat ja vahvistat sen.

Lisäksi, on tärkeää, että kryptokäyttäjät tarkistavat aina kaksinkertaisesti allekirjoituspyynnöt sekä käyttämänsä verkkosivuston tai palvelun URL-osoitteen. Myös Lookonchainin mukaan, varmista aina “verify contract addresses from official sources.” 

Yksi klikkaus voi maksaa miljoonia: Kuinka phishing oveluttaa kryptokäyttäjiä

Phishing-hyökkäykset ovat tulleet yleiseksi ilmiöksi kryptomaailmassa. Jo viime viikolla toinen phishing-uhri menetti yli $900,000 arvoista omaisuuttaan. Tämä erityinen hyökkäys tapahtui jopa 457 päivää sen jälkeen, kun uhri oli allekirjoittanut haitallisen hyväksyntätapahtuman.

Uhri menetti $908,551 phishing-hyväksynnän vuoksi

Jos haluat estää itsesi tekemästä tällaista virhettä, sinun on syvennettävä ymmärrystäsi lohkoketjusta ja erilaisista hyökkäyksistä, joihin olet altis. Tarkastellaan ensin tarkemmin phishingiä.

Phishing on yksi yleisimmistä kyberhyökkäystyypeistä. Termiä phishing käytettiin alun perin kuvaamaan hakkeria, joka käytti väärennettyjä sähköposteja “kalastellakseen” tietoja. Mutta tänään phishing-hyökkäykset ovat kehittyneet huomattavasti, hyödyntäen ei pelkästään sähköpostia, vaan myös verkkosivustoja, tekstiviestejä, puhetta, sosiaalista mediaa ja muita kanavia ihmisten luottamuksen ja päätöksentekoprosessien hyväksikäyttöön.

Se sisältää ihmisten huijaamisen luovuttamaan lompakon yksityisavaimet tai henkilökohtaisia tietoja, kuten käyttäjänimiä, salasanoja, pankkitilin tietoja, luottokorttinumeroita tai muita arkaluonteisia tietoja.

Phishing on itse asiassa suosittu sosiaalisen manipuloinnin muoto, joka hyödyntää ihmisen psykologiaa teknisten haavoittuvuuksien sijaan. Hyökkäykset eivät kohdistu suoraan verkkoihin tai resursseihin; sen sijaan sosiaalisen manipuloinnin hyökkäykset käyttävät hyväkseen inhimillisiä virheitä ja painostustaktiikoita manipuloidakseen tietämättömiä uhreja vahingoittamaan itseään tahattomasti.

Tästä johtuen perinteiset valvontatyökalut eivät yleensä onnistu havaitsemaan näitä hyökkäyksiä niiden tapahtuaessa.

Manipuloimalla henkilöä psykologisesti uhka-tekijä harhauttaa käyttäjiä suorittamaan tiettyjä toimia, kuten paljastamaan yksityisiä tietoja, klikkaamaan haitallisia linkkejä, avaamaan liitteitä tai lataamaan haittaohjelmia.

Saadakseen pääsyn niihin, hyökkääjä esittää itsensä laillisena henkilönä, organisaationa tai lähteenä. Kun hyökkääjä on saanut uhrin luottamuksen, hän käyttää kerättyä tietoa varojen varastamiseen.

IBM:n Cost of a Data Breach -raportin mukaan phishing on itse asiassa yleisin alkuperäinen tietomurtovektori.

Ne ovat myös kallein hyökkäysvektori kryptoteollisuudelle, CertiK:n vuotuisen Web3-turvallisuusraportin mukaan. Vuonna 2024 tapahtui lähes 300 phishing-hyökkäystä, ja vähintään kolme niistä johti yli $100 miljoonan menetyksiin uhreille.

Phishing-hyökkäykset ovat tuottaneet hyökkääjille yli $1 miljardi varastettuja kryptovarantoja. Nämä luvut ovat itse asiassa “konservatiivisia”, sillä todellinen määrä odotetaan olevan paljon suurempi raportoimattomien tapausten vuoksi.

Näiden hyökkäysten kohteina eivät ole vain tavalliset ihmiset, vaan myös suuret yritykset ja valtion virastot. Kryptossa näiden hyökkäysten kohteita ovat lompakot, pörssit ja jopa token-myynti, mikä tekee tärkeäksi, että kryptokäyttäjät ovat tietoisia keinoista suojata varansa.

Joitakin yleisiä kryptophishing-hyökkäyksiä ovat:

  • Spear phishing – Hyökkääjä tietäen kohteensa etukäteen räätälöi sähköpostinsa näyttämään lailliselta. 
  • Whaling – Tämä kohdistuu organisaation korkean profiilin henkilöihin, eli “valaisiin”, saadakseen paljon suuremman vaikutuksen. 
  • Clone phishing – Hyökkääjä luo kopion viestistä, jonka kohde on aiemmin saanut.
  • Deceptive phishing – Teknologian avulla esitetään todellinen yritys ja kerrotaan kohteille, että he kokevat kyberhyökkäyksen, jotta he klikkaavat haitallista linkkiä.
  • Pharming – Uhraan ohjaaminen vääriin verkkosivustoihin, vaikka oikea URL syötetään.
  • Evil twin – Julkisten Wi‑Fi-verkkojen kohdistaminen luomalla väärennetty verkko, jonka nimi on sama kuin laillisella.
  • Angler phishing – Väärennettyjen sosiaalisen median julkaisujen käyttö uhrien huijaamiseen.
  • Smishing tai SMS‑phishing – Näennäisesti laillisten yritysviestien lähettäminen, joissa on haitallisia linkkejä.
  • Vishing tai Voice phishing – Soittajan ID:n väärennetty näyttäminen, että puhelu tulee lailliselta organisaatiolta. 
  • DNS hijacking – Ohjaaminen vääriin verkkosivuihin muuttamalla laillisen sivuston DNS-tietueita.
  • Fake browser extensions – Haitalliset lisäosat, jotka näyttävät laillisilta.
  • Search engine phishing – Hakkerit pyrkivät nousemaan hakutulosten kärkeen linkin kautta omalle verkkosivustolleen.
  • Ice phishing – Uhreille lähetetään väärennetty tapahtuma, jonka heitä pyydetään allekirjoittamaan yksityisavaimellaan. 
  • Phishing bots – Tietokoneohjelmia, jotka automatisoivat phishing-hyökkäyksiä ja lähettävät massiivisesti phishing-sähköposteja.

Kryptossa phishing-hyökkäys alkaa yleensä siitä, että hyökkääjä lähettää sähköpostin tai viestin mahdollisille uhreille, vaikuttaen lailliselta lähteeltä. 

Viestissä on linkki, joka johtaa väärennetylle verkkosivustolle, joka näyttää aidolta. Kun klikkaat linkkiä ja syötät kirjautumistietosi, hyökkääjä käyttää niitä päästäkseen tilillesi.

Vaikka väärennettyjen sähköpostien ja verkkosivujen tunnistaminen on vaikeaa, voit tutustua käyttämääsi tuotteeseen tai palveluun havaitaksesi huijarin. Voit myös etsiä kirjoitus- tai kielioppivirheitä. Julkisen sähköpostin käyttö yrityssähköpostin sijaan saattaa herättää epäilyksiä. 

Suojautuaksesi näiltä phishing-hyökkäyksiltä, sinun tulee olla aina varovainen sähköpostien suhteen etkä saa koskaan klikata linkkejä lähteistä, joihin et luota. Käytä aina vain luotettavia alustoja sovellusten lataamiseen ja vältä julkisia Wi‑Fi-verkkoja. Pidä järjestelmäsi ajan tasalla, käytä vahvoja salasanoja ja ota kaksivaiheinen tunnistautuminen (2FA) käyttöön. Älä myöskään kerskaa kryptovarojasi kenellekään, äläkä anna yksityisiä tietojasi kenellekään.

Phishingin ulkopuolella: Kryptorikollisuuden kasvava arsenaali

Phishing-hyökkäys on vain yksi yleisistä hyökkäysvektoreista kryptossa. Väärennettyjen verkkosivustojen, sähköpostien tai viestien lisäksi, joilla huijataan käyttäjiä luovuttamaan yksityisavaimia tai siemenlauseita, kyberrikolliset käyttävät myös monia muita keinoja saadakseen käsiinsä kryptovarasi tai -rahasi.

Rug pull -tilanteessa tiimi kerää rahaa yleisöltä projektinsa rakentamista varten, mutta pakenee sitten varat mukanaan. Sitten on pump and dump -tilanteet, joissa sisäpiiriläiset koordinoivat hintamanipulaatiota keinotekoisesti nostamalla hintaa houkutellakseen sijoittajia, ennen kuin myyvät nopeasti.

Petos kryptossa on itse asiassa melko yleistä.

Yhdysvaltain liittovaltion FBI:n Internet Crime Complaint Center (IC3) -raportin mukaan amerikkalaiset menettivät “hämmästyttävät $16.6 billion” vuonna 2024, joista suurin osa oli petoksia. Virasto arvioi kryptoon liittyvän petoksen aiheuttaneen $9.3 billion menetyksiä.

Yli 60‑vuotiaat olivat eniten kärsineet, kun virasto kirjasi noin 33 000 valitusta ja $2.8 billion menetyksiä.

Hyökkäykset jatkavat teollisuuden ahdistamista, mikä tarkoittaa, että hyökkääjät saavat luvattoman pääsyn järjestelmään. Nämä teot rekisteröivät 17 % vuotuista kasvua vuonna 2024, lohkoketjujen turvallisuusyrityksen TRM Labsin mukaan. Pohjoiskoreaan yhteydessä olevat ryhmät olivat vastuussa lähes $800 million varastamisesta.

Smart contract -hyödyntäminen on toinen suosittu hyökkäysvektori, jossa koodin virheitä tai haavoittuvuuksia käytetään varojen varastamiseen. Ristiketju-sillat ovat erityisen alttiita varkauksille, ja rikolliset hyödyntävät niitä suurten kryptomäärien siirtämiseen.

Yksityisavainten ja siemenlauseiden kompromissit pysyvät myös ensisijaisina hyökkäysvektoreina. Yksityisavainten varastamiseksi rikolliset eivät ainoastaan käytä phishing-hyökkäyksiä, vaan myös haittaohjelmia, leikepöydän kaappausta, näppäinpainallusten tallentajia (keyloggereita) ja epävarmoja tallennusmenetelmiä.

TRM Labsin Crypto Crime -raportin mukaan, vaikka laiton kryptotoiminta väheni 24 % viime vuonna, kiristysohjelmien maksut nousivat ennätyskorkeuksiin. Kiristysohjelma on haittaohjelmatyyppi, jota kyberrikolliset käyttävät saadakseen pääsyn uhrin järjestelmään, salatakseen henkilökohtaiset tiedot ja estääkseen niiden käytön, kunnes kiristysraha maksetaan.

FBI:n 2024‑raportti totesi myös, että kiristysohjelmat ovat “taas merkittävin uhka kriittiselle infrastruktuurille, valitusten määrä kasvoi 9 % vuodesta 2023”.

Kaiken lisäksi transnationaaliset järjestäytyneet rikollisryhmät käyttävät yhä enemmän kryptoa rahanpesuun sekä ihmisten, huumeiden ja villieläinten salakuljetukseen. Lähes $11 billion laittoman kryptovolyymin vastaanotti lompakot, jotka olivat mukana “hakkeroinnissa, kiristyksessä, salakuljetuksessa tai huijauksissa”.

Nämä luvut raportoitiin lohkoketjuan analysointiyritys Chainalysisin toimesta, joka totesi, että kokonaislaiton kryptovolyymin määrä ylitti $51 billion vuonna 2024. Kuitenkin krypton käyttö laittomiin tarkoituksiin verrattuna koko markkinaan on pudonnut kolmen vuoden alhaisimmalle tasolle. Chainalysis kirjoitti:

“2024 oli todennäköisesti ennätysvuosi laittomien toimijoiden varojen sisäänvirtaamisessa, sillä nämä luvut ovat alarajaarvioita perustuen sisäänvirtaaviin varoihin laittomiin osoitteisiin, jotka olemme tähän mennessä tunnistaneet.”

Jos tarkastelemme tätä vuotta, rikolliset ovat jo varastaneet $2.17 billion kryptopalveluista pelkästään vuoden 2025 ensimmäisellä puoliskolla, Chainalysisin raportin mukaan. Tämän luvun odotetaan nousevan $4 billioniin vuoden loppuun mennessä.

Suurin osa näistä varoista varastettiin kryptopörssistä Bybit. Pohjoiskoreaan yhteydessä olevien hakkerien $1.5 billion ryöstö arvioitiin olevan suurin kryptohistoriassa.

Yksilöiltä ja alustoilta varastetun krypton yhteenlaskettu arvo on kuitenkin jo saavuttanut lähes $3 billion tämän vuoden ensimmäisen kuuden kuukauden aikana. Tämä tapahtuu, kun yksittäisten kryptolompakoiden hyökkäykset lisääntyvät.

Kaikista varkauksista henkilökohtaiset lompakot muodostivat yli 23 %. “Henkilökohtaisia lompakoita kohdistuvat varkaudet sisältävät tällä hetkellä $8.5 billion kryptoa ketjussa,” raportti totesi. Hyökkääjät ovat käyttäneet fyysistä väkivaltaa ja pakottamista saadakseen pääsyn varoihin.

Tämän synkän taustan edessä on tärkeää, että kryptokäyttäjät ryhtyvät tiukkoihin toimenpiteisiin suojellakseen varallisuuttaan. Tärkein askel on kouluttaa itseäsi, pysyä ajan tasalla yleisistä huijauksista ja uhilta. Käytä sitten laitteistolompakoita yksityisavainten offline‑säilyttämiseen, äläkä missään tapauksessa jaa siemenlausettasi kenellekään.

Kryptorikkauden kaksiteräinen miekka

Kuten olemme nähneet, kryptokäyttäjät ovat menettäneet miljardeja dollareita vuosittain. Kyberrikolliset käyttävät kaikenlaisia taktiikoita huijatakseen tietämättömiä käyttäjiä luovuttamaan yksityisiä, arkaluonteisia tietojaan tai varojaan.

Toisaalta kryptot vaikuttavat rikollisten rikastuttavan, mutta toisaalta ne antavat ihmisille ympäri maailmaa taloudellista vapautta.

Jakautuneen, läpinäkyvän ja muuttumattoman lohkoketjun pohjalta rakennettu kryptovaluutta tarjoaa hajautetun vaihtoehdon perinteisille rahoitusjärjestelmille.

Täällä ei yksinkertaisesti tarvita välikäsiä, kuten pankkeja tai rahansiirtopalveluita, mikä voi merkittävästi alentaa kustannuksia ja aikaa. Tämä vaikuttaa merkittävästi globaaliin kauppaan. Koska ei ole keskitettyä valtaa tai yhteyksiä hallituksiin tai rahoituslaitoksiin, se ei ainoastaan poista yksittäisiä heikkoutta, vaan tekee kryptoverkoista arvokkaan vaihtoehdon yrityksille ja maille.

Samaan aikaan ihmiset ympäri maailmaa voivat hyödyntää kryptovaluuttojen avointa ja rajatonta luonnetta.

Jo tänäkin päivänä maailmassa on 1.4 billion aikuista, joilla ei ole pääsyä perinteiseen pankkitoimintaan. Jo Yhdysvalloissa 4.2 % kotitalouksista on pankkivapaana, ja marginalisoituneilla ryhmillä tämä luku on vielä korkeampi. Kaikki nämä ihmiset voivat helposti käyttää laajaa kryptosektoria älypuhelimillaan ja internetillä ilman rajoituksia.

Alhaiset sisäänpääsyn esteet mahdollistavat kenelle tahansa maailmanlaajuisesti, sukupuolesta, uskonnosta tai poliittisesta vakaumuksesta riippumatta, käyttää digitaalisia varoja arvon lähettämiseen ja vastaanottamiseen ilman pankkia.

Toinen käyttötapa kryptolle on arvon säilyttäminen, erityisesti maissa, joissa on korkea inflaatio tai epävakaa talous.

Reutersin raportti osoitti, että bolivialaiset kääntyvät yhä enemmän kryptoon suojautuakseen paikallisen bolivian valuutan arvon heikkenemistä vastaan. Jopa maan keskuspankki korosti dramaattista digitaalisten varojen transaktioiden nousua, jotka kasvivat yli 530 % vuonna 2025 edellisvuoteen verrattuna.

“Nämä työkalut ovat helpottaneet pääsyä ulkomaanvaluuttatransaktioihin, mukaan lukien rahansiirrot, pienet ostokset ja maksut, hyödyttäen mikro- ja pienyritysten omistajia eri sektoreilla sekä perheitä koko maassa.”

– Pankki totesi lausunnossaan

Samaan aikaan kehittyvissä talouksissa Keniassa, Venezuelassa ja Nigeriassa krypton omaksuminen on merkittävästi lisännyt taloudellista osallisuutta ja taloudellista kestävyyttä. 

Kryptot ovat selvästi nousseet mullistavaksi voimaksi, haastamalla perinteiset pankkijärjestelmät ja tarjoten täysin uuden lähestymistavan rahoituspalveluihin. Avoimella ja hajautetulla pohjallaan kryptot poistavat maantieteelliset esteet ja perinteisen rahoituksen korkeat kustannukset, jotka ovat rajoittaneet taloudellista osallisuutta.

Mutta vaikka digitaaliset valuutat ovat muuttaneet rahan käsitettä ja antaneet yksilöille taloudellista itsemääräämisoikeutta, ne ovat myös tuoneet mukanaan uusia haasteita, kuten petoksia, huijauksia ja turvallisuusriskejä, tehden niistä kaksiteräisen miekan.

Maailmassa, jossa rahoitusjärjestelmiä hajautetaan ja demokratisoidaan, valvonnan siirtyminen instituutioilta yksilöille on voimaannuttavaa, mutta samalla vaarallista. Koska krypton avulla saat suoran hallinnan rahallesi, pidät omat avaimet hallussasi ja sen myötä myös kohtalosi.

Kuten sanonta kuuluu, suureen valtaan liittyy suuri vastuu, ja kryptossa se kuuluu täysin sinulle, käyttäjälle.

Tämä tarkoittaa, että pelkkä taloudellinen voimaannuttaminen ei riitä, ja tietoisuus on yhtä tärkeää. Joten kryptokäyttäjänä ole aina valppaana ja ajan tasalla. Ja mikä tärkeintä, älä koskaan luota, vaan varmista aina!

Klikkaa tästä saadaksesi luettelon huijauksista, joihin kannattaa kiinnittää huomiota krypton osalta.

mm

Gaurav aloitti kryptovaluuttojen kaupankäynnin vuonna 2017 ja on sen jälkeen rakastunut kryptovaluuttojen maailmaan. Hänen kiinnostuksensa kaikkeen kryptovaluuttoja koskien teki hänestä kirjailijan, joka on erikoistunut kryptovaluuttoihin ja blockchainiin. Pian hän löysi itsensä työskentelemästä kryptovaluutta-yritysten ja median kanssa. Hän on myös suuri Batman-fani.