1. صفحه نخست
  2. وبلاگ ایدکو
  3. پنج نوع حمله به کیف‌پول‌های مجازی سخت‌افزاری

پنج نوع حمله به کیف‌پول‌های مجازی سخت‌افزاری

12 اردیبهشت 1402 پنج نوع حمله به کیف‌پول‌های مجازی سخت‌افزاری

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کیف‌پول‌های فیزیکی یا سخت‌افزاری مطمئن‌ترین راهکار ذخیره‌سازی رمزارز محسوب می‌شوند. در حقیقت یک کیف‌پول مجازی سخت‌افزاری دستگاهی خاص است که همه‌ی عملیات‌های بلاک‌چین دارنده را به طور آفلاین امضا کرده و بیش از ذخیره‌گاه‌های آنلاین یا اپ‌های کامپیوتری مطمئن است. از اینها گذشته، تقریباً هر ماه اخباری می‌شنویم از هک‌ها و ورشکستگی‌های صرافی‌های آنلاین رمزارز و این درحالیست که اپ‌ها واضحاً به تهدیدهای معمول کامپیوتری مانند بدافزار آسیب‌پذیر هستند. گرچه این ملاحظات معقول هستند اما سرمایه‌گذاری‌ها نمی‌توانند تنها با یک کیف‌پول مجازی فیزیکی محافظت شوند زیرا خود دارندگان آن‌ها نیز به هر حال به تعدادی حمله آسیب‌پذیرند. در ادامه قصد داریم 5 نوع حمله به کیف‌پول‌های مجازی فیزیکی خدمتتان ارائه دهیم. با ما همراه باشید.

کیف‌پول‌های گرم و سرد و کیف‌پول‌های سخت‌افزاری و نرم‌افزاری

قبل از اینکه برویم سراغ تحلیل ریسک‌ها، بگذارید مختصر نگاهی داشته باشیم بر فرق بین انواع مختلف کیف‌پول‌ها. برای افرادی که با این ایده تازه آشنا شدند بگوییم که هیچ کیف‌پولی به خودی خود دارایی کریپتو ذخیره نمی‌کند. اطلاعات دارایی‌ها در بلاک‌چین ذخیره می‌شود و این درحالیست که کیف‌پول تنها ذخیره‌گاه امنی است برای کلید خصوصی (رمز) مربوطه. دارنده برای ثبت تراکنش جدید در بلاک‌چین به این کلید نیاز دارد (یعنی برای انتقال رمزارز). جدا از کلید رمز، کیف‌پول‌های کریپتو معمولاً کلید عمومی غیر رمز را که برای دریافت انتقالات استفاده می‌شد ذخیره می‌کنند.

روش‌های مختلفی برای ذخیره کلید خصوصی وجود دارد:

  •         رمزگذاری‌شده روی سرور. اینها کیف‌پول‌های آنلاین یا حضانتی[1] هستند که صرافی‌های محبوب مانند  Binance و Coinbase ارائه‌اش می‌دهند.
  •         در اپ موبایل یا کامپیوتر یا اسمارت‌فون.
  •         روی دستگاه آنفلاین جداگانه.
  •         بعنوان توالی الفبایی از حروف و عدد نوشته‌شده روی یک برگه کاغذ.

در موارد یک و دو، ذخیره‌گاه کلید همیشه آنلاین است. کلید را نمی‌توان هیچ زمان برای امضای تراکنش در بلاک‌چین استفاده کرد. این‌ها کیف‌پول‌های گرم هستند. برای ارسال پول با استفاده از گزینه‌های سه و چهار، اقدامات دیگری نیز نیاز است: اتصال دستگاه به کامپیوتر یا گوشی یا وارد کردن اطلاعات از کاغذ. این‌ها کیف‌پول سرد هستند.

یک دستگاه ذخیره کلید که تنها مختص همین کار طراحی شده کیف‌پول فیزیکی یا مجازی نامیده می‌شود؛ اپ‌هایی که برای ذخیره کلیدها روی کامپیوترها و اسمارت‌فون‌های معمول طراحی می‌شوند کیف‌پول‌های نرم‌افزاری هستند. و ترکیب مورد دو و سه گزینه‌ پردوام سومی را رقم می‌زند: ذخیره کلید در اسمارت‌فونی جداگانه که همیشه به صورت آفلاین نگهداری می‌شود. این ترکیب کیف‌پول نر‌افزاری و البته سرد را تولید خواهد کرد.

بگذارید کمی هم از کیف‌پول‌های کاغذی بگوییم: یک کیف‌پول کاغذی چاپ کلیدهای شما و/یا عبارت بازیابی است و موارد کاربردش به دریافت پول یا خدمت در قالب بک‌آپ خلاصه می‌شود. برای خرج کردن پول‌تان باید کلید خصوصی را تسلیمِ راهکار نرم‌افزاری آنلاین کنید. این زمانی است که کیف‌پول سرد شما به کیف‌پول گرم تبدیل می‌شود.

انواع کیف‌پول‌های سخت‌افزاری

کیف‌پول‌های سخت‌افزاری بیشترشان شبیه استیک‌های حافظه یو‌اس‌بی یا سوئیچ ماشین هستند. آن‌ها معمولاً دارای یک نمایشگر برای بررسی تراکنش‌ها هستند. برای امضای تراکنش شما کیف‌پول را به کامپیوتر یا اسمارت‌فون می‌زنید، از کامپیوتر یا اسمارت‌فون انتقالی را شروع کرده، اطلاعات روی نمایشگر کیف‌پول را اعتبارسنجی نموده و با وارد کردن کد پین یا صرفاً فشار دادن دکمه این اقدام را تأیید می‌نمایید. مزیت اصلی این کیف‌پول‌های فیزیکی این است که آن‌ها بدون ارسال کلیدهای خصوصی شما به کامپیوتر عملیات‌ها را امضا می‌کنند- در نتیجه داده‌ها از گزند مکانیزم‌های سرقت براحتی مصون می‌ماند. افزون بر این، بسیاری از کیف‌پول‌ها حاوی کارایی‌های دیگر هم هستند و می‌توانند حکم کیدهای فیزیکی احراز دو عاملی داشته باشند. همچنین کیف‌پول‌هایی هم هستند که شبیه به کارت بانکی‌اند و نیز کیف‌پول‌هایی که فرمت گوشی آفلاین دارند اما کمتر رایج هستند. مورد دوم دارای نمایشگر تمام کاربرد است و اجازه می‌دهد تراکنش‌ها با اسکن کد کیوآر امضا شوند. بسیاری از این مدل‌ها هیچ پورتی غیر از پورت شارژر ندارند پس هیچ‌چیزی آن‌ها را به دنیای خارجی پیوند نمی‌زند به جز دوربین و اسکرین.

ریسک شماره 1: از دست دادن یا خراب‌شدگی

بدیهی‌ترین خطر صاحب کیف پول سخت افزاری ناشی از احتمال از دست دادن آن است. برای محافظت از کیف‌پول در برابر استفاده غیرمجاز - برای مثال، در صورت گم شدن - از یک کد پین یا بیومتریک استفاده کنید: این کدها باید در کیف پول شما فعال شوند. برخلاف تلفن‌ها و کارت‌های بانکی، می‌توان از پین‌های بلند استفاده کرد - تا 50 رقم برای برخی مدل‌ها. فقط به یاد داشته باشید: هر چه طولانی‌تر - بهتر.

تخریب فیزیکی کیف‌پول داده‌های ذخیره‌شده روی آن را نیز از بین می‌برد، بنابراین مهم است که یک نسخه پشتیبان از کلیدهای خصوصی خود داشته باشید. هنگامی که خود کیف پول رمزنگاری درست می‌گردد، یک نسخه بک‌آپ ایجاد می‌شود: عبارت به اصطلاح seed را خواهید دید که با رشته‌ای از 12 یا 24 کلمه انگلیسی نمایش داده می‌شود. با وارد کردن آنها به ترتیب صحیح می‌توانید کلیدهای عمومی و خصوصی خود را دوباره تولید کنید. تولید عبارت بازیابی در اکثر راهکارهای بلاک‌چین (الگوریتم BIP39)استاندارد شده است، بنابراین حتی اگر مثلاً یک کیف پول Ledger گم شود، می‌توانید اطلاعات خود را به یک کیف‌پول سخت‌افزاری از فروشنده دیگری مانند Trezor یا هر یک از کیف‌پول‌های نرم‌افزاری گرم  بازیابی کنید.

ضروری است که عبارت seed را در هر شکل دیجیتالی که به راحتی در دسترس است، مانند عکس روی تلفن خود، فایل متنی یا موارد مشابه نگه ندارید. در حالت ایده‌آل، باید روی کاغذ نوشته شود و در یک مکان بسیار امن مانند صندوق امانات یا یک جعبه محکم نگهداری شود. حتی مهم‌تر این است که هرگز عبارت بازیابی را برای کسی فاش نکنید، زیرا تنها عملکرد آن بازیابی کیف‌پول رمزنگاری گمشده شما است.

ریسک شماره 2: فیشینگ و اسکم

یک کیف‌پول سخت‌افزاری در مقابل مهندسی اجتماعی هیچ محافظتی (به هیچ‌وجه) ارائه نمی‌دهد. اگر قربانی داوطلبانه انتخاب کند انتقال وجه داشته باشد یا عبارت بازیابی خود را به متخصص پشتیبانی فنی کیف‌پول کریپتو که البته فیک است نشان دهد فرقی ندارد محافظت سخت‌افزاری در چه سطحی است، در هر صورت پول از کف خواهد رفت. کلاهبرداران وقتی حرف اسکم‌ها می‌شود نیز بسیار زیرک عمل می‌کنند:

طعمه‌ها همیشه در حال تغییر هستند. برخی از نمونه‌های درخشان عبارتند از ایمیل‌های نقض داده ارسال شده به صاحبان کیف پول‌های رمزنگاری سخت‌افزار، و وب‌سایت‌های جعلی که به‌عنوان کپی دقیق صرافی‌های معروف ارزهای دیجیتال یا ارائه‌دهندگان کیف پول‌های دیجیتال طراحی شده‌اند. برای جلوگیری از اتفاق افتادن بدترین‌ها، هوشیاری – و حتی بی اعتمادی پارانوئیدی (به معنای مثبت) نسبت به هر چیز غیرمنتظره‌ای لازم است. منبع بزرگ دیگر کمک، سیستم یکپارچه امنیت سایبری برای رایانه‌ها و تلفن‌های هوشمند است که خطر بازدید از یک سایت فیشینگ را تقریباً صفر می‌کند.

ریسک شماره 3: بدافزار

کامپیوتر یا اسمارت‌فون آلوده به ویروس یکی از دلایل رایج شکست در سرمایه‌گذاری در ارزهای دیجیتال است. اگر قربانی از یک کیف پول آنلاین (گرم) استفاده کند، مجرمان می‌توانند کلید خصوصی را بدزدند و به تنهایی هر تراکنشی را که برای خالی کردن کیف پول نیاز دارند انجام دهند. این ترفند با کیف پول سخت افزاری کار نمی‌کند، اما می‌توان از سایر بُردارهای حمله در این مورد استفاده کرد. به عنوان مثال، لحظه‌ای که قربانی انتقال قانونی انجام می‌دهد، بدافزار می‌تواند آدرس کیف پول مقصد را جایگزین نموده تا پول را به مجرمان هدایت کند. بدافزار برای از بین بردن آن، کلیپ‌بورد را رصد کرده و به محض اینکه آدرس کیف‌پول رمزنگاری شده در آنجا کپی می‌شود، آن را با آدرس کیف پول کلاهبرداران جایگزین می‌کند.

این تهدید را می‌توان با تطبیق دقیق آدرس‌های نمایش داده شده در کیف پول داغ یا روی صفحه کیف پول سرد تا حدی کاهش داد، اما بسته به دستگاه ممکن است برخی از مسائل دیگر مطرح شود: بسیاری از کیف پول‌های سخت‌افزاری دارای صفحه نمایشی هستند که خواندن با آن‌ها بسیار مشکل است. آدرس‌های طولانی بلاک‌چین و علم به اینکه ادغام کیف پول سخت‌افزاری با برنامه کامپیوتری نیز می‌تواند در برابر حملات آسیب‌پذیر باشد، حتی آدرس نمایش داده شده روی صفحه کامپیوتر نیز می‌تواند جعل شود.

بهترین استراتژی این است که محافظت از کامپیوتر یا اسمارت‌فون خود را افزایش دهید تا از بدافزارها جلوگیری کنید.

ریسک شماره 4: کیف‌پول‌های تقلبی و دستکاری‌شده

خرید یک کیف‌پول سخت‌افزاری موضوع دیگری است که باید با دقت به آن پرداخت: حتی با خروج از کارخانه، این دستگاه‌ها از قبل در تیررس مجرمان قرار دارند. گزارش‌هایی مبنی بر فروش مموری USB به خریداران کیف پول کریپتو با محموله‌های تروجان، واحدهای جعلی با سیستم‌افزار اصلاح‌شده یا «تعویض رایگان دستگاه معیوب تحت گارانتی» وجود دارد.

برای جلوگیری از چنین تهدیداتی، هرگز کیف پول‌های سخت افزاری رمزنگاری را دست دوم، از تبلیغات طبقه‌بندی شده آنلاین یا در حراج‌های آنلاین خریداری نکنید. همیشه سعی کنید آنها را از فروشگاه های آنلاین رسمی فروشندگان سفارش دهید. وقتی بسته رسید، دستگاه را از نظر آسیب (رگه‌های چسب، خراش، نشانه‌های دستکاری) بررسی کنید و آن را با توضیحات ارائه شده در وب‌سایت رسمی مطابقت دهید، جایی که معمولاً ویژگی‌های اصلی اصالت را فهرست می‌کنند و توصیه‌هایی درباره نحوه تشخیص جعلی ارائه می‌کنند.

ریسک شماره 5: هک فیزیکی با تحلیل مموری

این از همه ریسک‌ها عجیب‌تر است (اما نه آنقدر که محتمل نباشد): بسیاری از حملات به مدل‌های محبوب کیف‌پول (یک، دو، سه و چهار) مبتنی بر این حقیقت هستند که قطعه به طور فیزیکی جدا شود و به مدار آن به تجهیزات ویژه‌ای مصل شود که می‌تواند سفت‌افزار را فریب دهد و دستکاری کند، از روی مموری بخواند یا در انتقال داده بین اجزای دستگاه اختلال بوجود آورد. در نتیجه تنها چند دقیقه طول می‌کشد که کلید خصوصی یا نسخه‌ای از آن که کمی رمزگذاری شده استخراج شود. محافظت در برابر این ریسم دو لبه است: ابتدا باید به امنیت فیزیکی کیف‌پول خود توجه داشته باشید و دوم اینکه نباید سایر اقدامات محافظتی مانند عبارت عبور در کیف‌پول های Trezor را نادیده بگیرید.

 

[1] کیف پول حضانتی نوعی کیف پول مبتنی بر اینترنت هستند که توسط یک کسب و کار متمرکز همچون صرافی‌های ارز دیجیتال مدیریت می‌شوند.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

مطالب کاربردی

هم اکنون شرکت تجارت الکترونیک ایرانیان افتخار دارد در زمینه ارائه راهکارهای امنیت اطلاعات و ارتباطات بیش از 750 سازمان و شرکت دولتی و خصوصی را در کنار خود داشته باشد. مهمترین هدف شرکت در کلیه فعالیت های خود، استفاده از آخرین دستاوردهای علمی و ایجاد رضایتمندی مشتریان است...

لینک های مفید

تماس با ما

عضویت در خبرنامه

تمامی حقوق این سایت برای شرکت گسترش خدمات تجارت الکترونیک ایرانیان محفوظ است.