Industry Wire

Geplaatst door Cisco

Cisco Talos tipt manieren om veilig te navigeren door de Metaverse

Het World Wide Web (Web) ondergaat momenteel de transitie naar “Web 3.0”, aangedreven door cryptocurrency, blockchain technologie, gedecentraliseerde applicaties en bestandsopslag. Een centraal onderdeel van deze transitie is de ontwikkeling van een 3D-ervaring die bekend staat als ‘Metaverse’, een virtuele omgeving waar mensen kunnen winkelen, spelletjes spelen, tijd doorbrengen met verre vrienden, een concert bijwonen of zelfs een zakelijke vergadering houden. Deze nieuwe wereld brengt een hele reeks aan unieke uitdagingen en veiligheidsrisico’s met zich mee.

Metaverse is de volgende stap in zowel social media als het internet, om te kunnen participeren in de nieuwe wereld is je identiteit direct gekoppeld aan de cryptocurrency wallet die je gebruikt. Cisco Talos, een van ’s werelds grootste private threat intelligence-teams, heeft onlangs onderzoek gedaan naar de mogelijke cyberdreigingen die de Metaverse met zich meebrengt. Aangezien cryptocurrency al meer dan ruim 300 miljoen gebruikers wereldwijd heeft is het dus geen wonder dat cybercriminelen zich inmiddels ook hebben gericht op de Metaverse.

“Recent beveiligingsonderzoek, uitgevoerd door Cisco Talos, heeft aangetoond dat de Metaverse een aantrekkelijk omgeving is voor cybercriminelen. Of cybercriminelen nu oude en bekende technieken toepassen (zoals phishing), of andere recente methodes toepassen op de technologie die Web 3.0 aandrijft (zoals de blockchain). Vast staat dat de komst van de Metaverse wereld het potentieel aan technieken en methodes, waarmee cybercriminelen geld kunnen verdienen, verder doet groeien.”, zegt Jan Heijdra, Cybersecurity Specialist bij Cisco Nederland.

Cisco Talos heeft de dreigingen van huidige Web 3.0 landschap onderzocht en heeft verschillende beveiligingskwesties in kaart gebracht.

ENS-domeinen

De groeiende populariteit van digitale valuta heeft geleid tot een hoger gebruik van Ethereum Name Service (ENS)-domeinen. ENS-domeinen zijn een gemakkelijk te onthouden naam die wordt gebruikt om het bijbehorende cryptocurrency-portemonnee-adres te vinden. Hoewel iedereen de inhoud van een wallet-adres kan opzoeken in de openbare ledger, is het zelden duidelijk aan wie die wallet toebehoort. Hierdoor is er een verhoogd risico dat ENS-domeinen worden gebruikt door cybercriminelen, die nietsvermoedende gebruikers laten geloven dat ze met legitieme organisaties te maken hebben.

Het klonen van wallets

Aanpassen aan een nieuwe technologie gaat vaak gepaard met de dreiging van social engineering en Web 3.0 is daarop geen uitzondering. De overgrote meerderheid van de beveiligingsincidenten die gebruikers van Web 3.0 treffen, zijn het gevolg van social engineering-aanvallen, zoals het klonen van portemonnees.

Veel cyberaanvallen kunnen daarom worden vermeden door het bekende motto te volgen; als iets te goed is om waar te zijn, dan is dat waarschijnlijk ook zo. Via winacties en aanlokkelijke aanbiedingen kunnen cybercriminelen crypto gebruikers verleiden om hun gegevens te delen. Gebruikers worden hierbij misleid om hun seed phrase op te geven. De veiligheid van een cryptocurrency berust op publiek-private sleutel cryptografie. In het geval dat een cryptocurrency wallet verloren gaat of vernietigd wordt, kan een gebruiker zijn wallet en de gehele inhoud ervan terughalen met behulp van een 12 tot 24 woorden tellende “seed phrase”. Dit is in feite hun privé sleutel. Iedereen met kennis van de seed phrase kan een cryptocurrency wallet klonen en als hun eigen gebruiken.

“Ik ben hier om je te helpen.”

Een andere methode die aanvallers gebruiken om de seed phrase van gebruikers te achterhalen is door zich voor te doen als een klantenservicemedewerker. Als een gebruiker een vraag heeft kunnen ze deze posten op Twitter of in het “help”-kanaal van een Discord-server. Aanvallers monitoren deze kanalen en nemen contact op met de gebruiker. Wanneer de gebruiker naar het gekoppelde ondersteuningsformulier gaat, wordt natuurlijk gevraagd om de 12-woordige seed phrase.

Oplichterij met whale wallets

In de wereld van cryptocurrency zijn er high-profile accounts met een grote hoeveelheid cryptocurrency of NFT’s die bekend staan als “whales”. Volgens sommige schattingen bezitten slechts ongeveer 40.000 whales ongeveer 80% van alle NFT-waarde, dit maakt ze een aantrekkelijk doelwit voor cybercriminelen. Oplichters weten dat kleine investeerders deze zogenoemde whale wallets in de gaten houden en verleiden deze investeerders om te investeren in hun eigen nepprojecten.

Aanvallers verleiden gebruikers tot het verlenen van toegang tot wallets

Soms is het nodig om een derde partij toestemming te geven om transacties uit te voeren met tokens in je cryptocurrency-wallet. Toepassingen zoals cryptocurrency swaps (ex. Uniswap) en NFT-marktplaatsen (OpenSea, enz.) vragen hun gebruikers meestal om toestemming om de inhoud van de cryptocurrency-portemonnee van de gebruiker te openen/wijzigen. Zodra de toegang van derden is goedgekeurd, kunnen gebruikers van de applicatie tokens ruilen of NFT’s te koop aanbieden zonder elke keer extra vergoedingen te betalen. Aanvallers hebben bedacht dat ze een slachtoffer kunnen verleiden om anderen toegang te geven tot de inhoud van hun crypto wallet. De ultieme les die we hier leren is dat het verliezen van je seed phrase niet de enige manier is waarop criminelen de inhoud van je crypto wallet kunnen stelen.

Tips om veilig te navigeren door de Metaverse

  • Een goede beveiliging: Het eenvoudigste advies is vaak het beste en door solide wachtwoorden te kiezen kunnen gebruikers een heel eind komen om hun veiligheid te waarborgen. Gebruik verder Multifactor Authenticatie (MFA), gebruik een wachtwoordmanager, segmenteer je netwerken, log netwerkactiviteit en onderzoek ENS domeinen en crypto wallet adressen op slim verborgen typefouten. Klik nooit op links die ongevraagd worden gestuurd via sociale media of e-mail.
  • Bescherm je seed phrase: Cisco Talos waarschuwt dat gebruikers hun seed-frase, die soms in de vorm van een QR-code komt, altijd moeten beschermen en deze nooit aan iemand moeten doorgeven. In toenemende mate worden cryptocurrency wallets gebruikt voor identificatie en personalisatie van Metaverse content, dus als je je seed phrase verliest, verlies je de controle over je digitale identiteit en persoonlijke bezittingen.
  • Denk aan het gebruik van een hardware wallet: De meest robuuste beveiligingssystemen gebruiken veel verschillende beveiligingslagen. Het gebruik van een hardwareportefeuille voegt een ander niveau van bescherming toe aan cryptocurrency of NFT-bezittingen, omdat je iets in het apparaat moet steken, een pin moet invoeren en transacties met je wallet-adres moet goedkeuren of weigeren.
  • Onderzoek je aankopen: overweeg je NFT’s te kopen? Zoek het smart contract adres en kijk of de source code is gepubliceerd. Een niet-gepubliceerde source code is een slecht teken! Zoek informatie op over de ontwikkelaars van het project; anonieme ontwikkelaars kunnen gemakkelijker oplichters zijn.

Met Web 3.0 zal een nieuw tijdperk worden ingeluid maar daarmee komen ook een groot aantal nieuwe bedreigingen. Door deze eenvoudige tips van Cisco Talos te volgen, kunnen gebruikers het meeste uit hun web 3.0-ervaring halen terwijl ze zich bewust zijn van de risico’s

Over Cisco 

Cisco (NASDAQ: CSCO) is de wereldwijde leider in technologie die het internet aandrijft. Cisco creëert nieuwe mogelijkheden door uw applicaties opnieuw uit te vinden, uw gegevens te beveiligen, uw infrastructuur te transformeren en uw teams in staat te stellen om een wereldwijde en inclusieve toekomst te creëren. Ontdek meer op The Network en volg ons op Twitter.

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht