За останні кілька місяців використання NFT стає все популярнішим у всьому світі. Зокрема під час війни в Україні почали з’являтись різноманітні благодійні артпроєкти та колекції для підтримки українців. Наприклад, спільнота NFT-художників разом із Міністерством цифрової трансформації запустили NFT-музей війни, ціль якого фіксувати злочини росії та збирати кошти на гуманітарні потреби України.
Проте швидка популярність NFT привабила і кіберзлочинців, які швидко адаптували свої схеми до нового тренду в цифровому світі. У зв’язку з цим спеціалісти ESET вирішили розповісти про переваги та недоліки нового інструменту, а також способи захисту від поширених NFT-шахрайств в Інтернеті.
Що таке NFT та які його особливості?
NFT (невзаємозамінний токен) ― це унікальний фрагмент цифрових даних, вбудований у файл, який не має аналогів. Це робить NFT цифровим сертифікатом, який засвідчує ексклюзивне право власності на певний віртуальний актив ― фото, відео або аудіо. Токен містить всю інформацію про цифровий товар, зокрема дані про власника та історію операцій, яка зберігається у відкритому блокчейні та не може бути заміненою чи видаленою.
NFT-твори продаються на цифрових торгових платформах, які працюють як Інтернет-магазини. Однак часто вони мають уразливості, які спричинені недостатніми заходами безпеки на етапах розробки. Ці помилки використовуються кіберзлочинцями, які можуть завантажити ілюстрацію зі шкідливим кодом, викрасти акаунти жертв або виманити їх гроші.
Крім цього, відсутність регулювання ринку NFT створює умови для різних афер. Зокрема нещодавно було виявлено шахрайський проєкт ZelenskiyNFT, який продавав зображення президента України нібито з ціллю підтримки благодійних фондів, а насправді всі зібрані кошти переводив на рахунки власників.
Які схеми NFT-шахрайств найпоширеніші?
1. Створення підробних вебсайтів
Одним із поширених методів NFT-шахрайства є копіювання вебсайтів та додатків відомих брендів. Копії NFT-маркетплейсів або фальшивих криптогаманців поширюються у соціальних мережах та на спеціальних форумах, а також електронною поштою. Рівень подібності з реальними компаніями вражає, тому треба бути уважним, щоб помітити відмінності, зокрема в URL-адресі.
Важливо перевіряти адресу посилання перед натисканням, особливо у разі запиту вебсайту на доступ до особистих даних. Пам’ятайте головне правило ― у будь якому випадку нікому не передавати паролі до NFT-гаманців.
Після підтвердження легітимності вебсайту варто переконатися у достовірності NFT. Перевірте історію та попередні продажі, оригінальність NFT та його відсутність на інших ринках, особливо при купівлі коштовного криптоарту, на який є великий попит. У разі потрапляння на дорогий проєкт за низькою ціною будьте обережні, оскільки саме шахраї, як правило, продають копії дешево.
2. Підробка NFT-проєктів
У цих схемах зловмисники перекидають NFT на гаманці інфлюенсерів, вводячи в оману щодо його авторства. Це пов’язано з тим, що багато покупців відстежують конкретні гаманці, щоб передбачити масовий інтерес та збільшення вартості NFT. За даними найбільшого маркетплейсу OpenSea, понад 80% NFT, створених безкоштовно на цій платформі, були підробкою, плагіатом інших виконавців або спамом.
Крім цього, існує досить багато випадків, коли шахраї використовували імена відомих художників та продавали копії їх робіт на NFT-платформах без їх відома.
3. Фальшиве підвищення попиту
Цей вид NFT-шахрайства передбачає, що користувачі купують велику кількість NFT (або криптовалюти) і продають їх собі для штучного створення великого попиту. Щоб заманити покупця, зловмисники можуть використовувати інфлюенсерів для поширення NFT у їх профілях. Однак після покупки перепродати NFT за вищою ціною у покупців, звичайно, не виходить, оскільки зловмисники після отримання грошей зникають.
4. Шахрайство на аукціонах
Фальшиві ставки на аукціонах є одним з найпоширеніших NFT-шахрайств. Зокрема для продажу NFT-проєкту на аукціоні вказується певна ціна, яку погоджується сплатити покупець, але під час оплати зловмисники змінюють її на більшу. Крім цього, подібна ситуація може бути і у випадку з продавцем. Тоді шахрай, який купує проєкт, може заплатити меншу ціну від заявленої спочатку.
5. Фальшиві профілі у соцмережах
Для здійснення NFT-шахрайства зловмисники використовують фальшиві профілі у соцмережах. Часто це копії справжніх акаунтів з невеличкими змінами. Тому варто бути уважним до нових профілів в соцмережах, іноді одна буква у назві дає зрозуміти, що акаунт шахрайський.
У той же час боти, які спонукають користувачів реагувати на повідомлення, або шахраї під виглядом технічної підтримки використовують соцмережі для виманювання у користувачів даних для доступу до криптогаманців.
Крім того, зловмисники можуть намагатися зв’язатися з користувачами, надсилаючи повідомлення під приводом поспілкуватися чи отримати пораду. Виявити аферистів допоможуть типові ознаки їх схем, зокрема кількість підписників, публікацій, а також відсутність справжнього контенту в обліковому записі.
6. Повідомлення у Discord
Discord ― це платформа для обміну повідомленнями, яка поділена на спільноти, де можна спілкуватися, транслювати та грати в ігри. Зокрема нею активно користуються власники NFT.
Однак ця платформа також застосовується кіберзлочинцями у шахрайських схемах. Тільки в грудні минулого року 373 учасники сервера Discord, яким управляє платформа для ігор під назвою NFT Fractal, втратили 150 000 доларів через компрометацію їх цифрових гаманців.
В інших випадках шахраї використовують повідомлення у Discord, надсилаючи їх під виглядом відомого бренду чи популярного інфлюенсера. Тому чим більша мережа Discord, тим вищі шанси отримати шахрайські повідомлення. Тому слід остерігатися переходу за посиланнями від незнайомців та надсилання будь-яких фінансових даних. Також варто ретельно перевіряти всі нові NFT-проєкти, щоб не потрапити у пастку шахраїв.
7. Викрадення акаунта в соцмережах
Поширеним серед шахраїв способом привернути увагу користувачів також є розіграші та інші привабливі пропозиції. Іноді вони можуть організовуватися на сторінках акаунтів користувачів, які були зламані. Щойно жертва намагається отримати доступ до фальшивої пропозиції, її просять ввести свої паролі або особисту інформацію.
Поради для захисту користувачів від NFT-шахрайств
Занурюючись у світ NFT, користувачі мають пам’ятати про шахраїв, які ніколи не пропускають можливість заробити. Щоб залишатися в безпеці під час використання NFT, спеціалісти ESET рекомендують:
- Нікому не повідомляти свою фразу чи пароль для входу.
- Використовувати надійні та унікальні паролі, а також багатофакторну автентифікацію при можливості.
- Бути обачним під час отримання повідомлень від нових чи незнайомих користувачів.
- Не натискати на підозрілі посилання у повідомленнях, які пропонують безкоштовні послуги або вимагають швидкої відповіді.
- Зберігати свої токени у фізичному гаманці, який забезпечує кращий захист цифрової валюти на відміну від онлайн-гаманця.