Ваша электронная почта была слита на Opensea. Что это значит для вас, как пользователя этой площадки?

Данная статья является переводом свежего Twitter-треда от 4lteredBeast.eth и подойдет в целом всем, кто находится в крипте.

Ваша электронная почта была слита на Opensea. Что это значит для вас, как пользователя этой площадки?

В первую очередь этот банк email адресов будет продаваться на черных рынках, и скорее всего он будет подписан как банк держателей NFT. Учитывая потенциальную ценность, которая может стоять за этими почтами, существует несколько способов атак:

Способ №1: e-mail

Наиболее очевидными будут фишинговые атаки на почту. Приготовьтесь получать МНОГО электронных писем не только от поддельных сайтов OpenSea, но и скорее всего от других NFT маркетплейсов. Никогда не переходите по ссылке из письма - всегда переходите на сайт вручную.

Далее будут попытки зафишить и другие ваши аккаунты, не связанные с тематикой NFT. Скорее всего ваша слитая почта используется вами в Twitter, Discord, Binance или других CEX. Все ваши аккаунты потенциально очень ценны для них, и они хотят заполучить их.

Основной посыл здесь - не доверять письмам из электронной почты. Даже если пришло письмо от opensea.io - эти адреса очень легко подделать. НИКОГДА не доверяйте ссылке в электронном письме, всегда проверяйте правильность URL-адреса.

Также вы можете получать электронные письма с вредоносными вложениями - эта атака особенно опасна для тех из вас, кто совершает транзакции и хранит NFT в программном кошельке. НИКОГДА не открывайте вложения из почты, если это не то письмо, которое вы ждете. Но даже если ждете, будьте бдительны. Злоумышленники могут даже использовать социальную инженерию, чтобы некоторое время общаться с вами, получая доверие, а затем отправляя запрошенное электронное письмо + вложение.

Способ №2: Сопоставление слитых баз

Следующим способом атаки будет сопоставление вашего адреса электронной почты с множеством других слитых баз данных. Целью здесь является поиск паролей и другой идентификационной информации.

Далее конечно странно: автор, который учит ничему не доверять, предлагает использовать неизвестный сайт и вводить туда свои данные;D

Зайдите на https://haveibeenpwned.com и проверьте свой адрес электронной почты. На этом сайте будут показаны все известные утечки данных, связанные с вашей электронной почтой.

Любые взломанные пароли должны быть НЕМЕДЛЕННО изменены. Ключевое слово - НИКОГДА не используйте одинаковые пароли на разных аккаунтах. Это намного важнее, чем вы можете считать. Это значительно важнее, чем надежность вашего одного пароля на всех аккаунтах.

Если вы юзаете везде одинаковые пароли, достаточно одной утечки данных, и все ваши аккаунты перестают быть вашими. Скачайте менеджер паролей, рандомизируйте каждый пароль и сохраните его в своем менеджере паролей. Ваш master passphrase должен состоять как минимум из 4 случайных слов. Длина имеет ключевое значение.

Одни из самых важных данных, которые могут быть слиты - ваш физический адрес. Это конечно не так просто, и понятно, что вы не можете просто изменить свой физ. адрес. Хотя если ваш портфель достаточно большой и возможности это позволяют - стоит изменить и физ. адрес. Возможно стоит задуматься о безопасности домашнего хранения сид фраз от ваших аппаратных кошельков.

Стоит осознать, на что могут пойти некоторые, имея ваши данные и зная чем вы занимаетесь. Некоторые люди были похищены из-за этого:

Ваша электронная почта была слита на Opensea. Что это значит для вас, как пользователя этой площадки?

Способ №3: Номер телефона

Следующий способ - ваш номер телефона. Это может быть использовано вместе с другими вашими данными для социальной инженерии оператора мобильной связи для подмены SIM-карты. Это позволит мошеннику использовать номер вашего мобильного телефона для изменения доступа к любой учетной записи с помощью SMS 2FA.

В связи с этим удалите SMS 2FA со всех аккаунтов. Это очень уязвимый фактор аутентификации, и в этом плане ваша двухфакторка настолько же защищает вас, насколько и может сдать. Лучшими двухфакторками являются приложения для аутентификации, такие как Authy, Microsoft/Google Authenticators.

Также убедитесь, что у вас стоит 2FA на каждом аккаунте, где это возможно.

Да, навел я тут страха. Тут стоит понимать, что наиболее вероятными из всех этих атак будут фишинговые атаки по электронной почте. На данном этапе на этом все.

Спасибо за внимание и оставайтесь с нами ❤

Больше полезного и интересного в нашем Telegram канале

44
3 комментария

Не понимаю, зачем для NFT-маркета моя электронная почта и прочая информация.
Разве недостаточно просто адреса моего крипто кошелька?
На NFT-маркете SignumArt https://www.signumart.io/ru достаточно только адреса кошелька и можно покупать, продавать, создавать, передавать NFT.
Очень рад, что мне именно SignumArt попался, на не эти кидаловы с Opensea.

2
Ответить

За тем же зачем и для любого другого маркета. Наличие блокчейна под капотом (который к тому же не является источником истины) ничего не меняет.

1
Ответить

Далее конечно странно: автор, который учит ничему не доверять, предлагает использовать неизвестный сайт и вводить туда свои данные;D

Сайт вполне себе известный. И для паролей у них есть хитрая схема с хешами для проверки что пароль в базе но при этом не сливая пароля - https://haveibeenpwned.com/Passwords + есть плагины к разным joomla. Всякие 1Password'ы тоже умеют и логины и пароли искать там.


А вообще чтобы не страдать если e-mail утечет - используем например SimpleLogin(и да, SimpleLogin можно поставить и себе на сервер если есть куда, а можно и просто catchall на своем домене(чем это хуже SimpleLogin - вопрос отдельный, если кратко - SimpleLogin удобнее))


В связи с этим удалите SMS 2FA со всех аккаунтов. Это очень уязвимый фактор аутентификации, и в этом плане ваша двухфакторка настолько же защищает вас, насколько и может сдать. Лучшими двухфакторками являются приложения для аутентификации, такие как Authy, Microsoft/Google Authenticators.

Я же правильно понимаю что все повально российские банки и госуслуги уже поддерживают что то кроме SMS?
И даже в гугле уже обычный пользователь может сделать так что по привязанному номеру нельзя сбросить пароль?

1
Ответить