Initial Coin Offerings (ICOs) waren für Gauner ebenso ein Segen wie für Investoren.

Wie angekündigt, schlüpfen Cyber-Kriminelle, nachdem eine hochkarätige ICO angekündigt wurde, ein Schema, um begeisterte Kleinanleger dazu zu bringen, ihren Äther oder Bitcoin an eine gefälschte Adresse zu schicken. Die Branche reagiert weitgehend auf Phishing-Attacken, indem sie soziale Medien dazu nutzt, ihre Frustration über den Verlust einer bestimmten Kryptowährung zu äußern.

Und weil die Industrie so neu und undurchsichtig ist und die Wahnideen der Individuen die Menschen kollektiv leichtgläubig machen, werden die Beispiele für erfolgreiche Betrügereien wahrscheinlich nicht abnehmen.

Da immer mehr Token-Verkäufe die Anzahl der Leute limitieren, die in den öffentlichen Verkauf investieren können, sind Supporter bestrebt, Backdoors in ICOs zu finden, was sie in Gefahr bringt, kein Angebot zu denken.

"Wenn Sie eine hochkarätige Kampagne erwarten, sollten Sie damit rechnen, ein Ziel zu sein", sagte Paul Walsh, CEO von Metacert, der eine kostenlose Chrome-Erweiterung anbietet, mit der sich ICO-Investoren schützen können.

Tatsächlich hat NuCypher, ein Proxy-Re-Encryption-Projekt, das kürzlich auch ein ICO ins Leben gerufen hat, das das Interesse vieler Investoren geweckt hat, sich mit wiederholten Phishing-Versuchen beschäftigt. Und jedes Mal, wenn das Unternehmen eine Phishing-Kampagne entdeckt, warnt es seine Community, wonach es über seine E-Mail-Liste suchen muss.

Der letzte Angriff kam über Slack in Nachrichten, die über slackbots geliefert wurden, und zeigte eine Ethereum-Adresse an, an die (angeblich) im Gegenzug für NuCypher-Token Ether-Mittel gesendet werden sollten. In seiner Antwort erinnerte NuCypher die Anleger daran, dass sie Slack niemals für Investitionen nutzen würde.

Dennoch wurden einige Leute verbrannt, und damit leidet die größere Kryptogemeinschaft jedes Mal, wenn ein Phishing-Betrug erfolgreich ist.

Walsh sagte zu All4Bitcoin:

"Sobald [die Investoren] sich die Finger verbrennen, erzählen sie eher den Leuten: Tun Sie das nicht. Dann werden weniger Leute in Kryptowährung investieren."

In einem Um dieses Problem zu beseitigen, hat NuCypher einen Ansatz gewählt, der sich auf Kommunikation und Bildung konzentriert, von dem viele andere ICO-Emittenten und die an diesen Runden interessierten Investoren lernen könnten.

Aber das ist nicht die einzige Möglichkeit, in solch einem wilden Markt sicher zu bleiben. Es gibt eine Menge Investoren, die sich schützen können, aber niemand kann so viel tun wie das Team, das die ICO leitet.

Straight talk

Die vielleicht wichtigste Strategie für Emittenten ist es, nur einen Kommunikationskanal zu betonen, auf dem Verkaufsnachrichten erscheinen.

Als der Messaging-App-Anbieter Kik Kin zum Beispiel auf den Markt brachte, machte das Unternehmen klar, dass alle Informationen über den Kauf seiner Tokens nur auf der Token-Verkaufsseite verfügbar sein würden. Selbst wenn Kik ein in einer E-Mail oder über einen sozialen Kanal gesendet hat, hat das die Leser immer wieder auf die Website gelenkt, um Maßnahmen zu ergreifen.

Dies ist ein besonders vorteilhafter Ansatz, denn wenn wichtige Informationen wie Brieftaschenadressen über die Website übertragen werden, ist es für einen Betrüger viel schwieriger, die Website zu ändern, als eine überzeugende E-Mail zu senden.

Nicht nur das, sondern Unternehmer und Unternehmen, die planen oder verkaufen sollen, sollten ihre Absichten so schnell wie möglich öffentlich bekannt geben.

Die Probleme beim Nicht-Öffnen werden mit dem Telegramm ICO angezeigt. Da die Mobile-Messaging-Firma kaum mit der Öffentlichkeit über die ICO kommuniziert hat, können Betrüger diese Wissenslücke ausnutzen und gefälschte Websites einrichten, die vorgeben, die Token anzubieten.

Fallbeispiel, Investoren haben sich bei Twitter beklagt, dass sie sich von gefälschten Telegramm-Token-Websites betrügen lassen; Eine verärgerte Person tweeted, dass er vier Äther in eine Seite gesetzt hatte, in der Hoffnung, Telegramm-Tokens zu kaufen.

Der CEO von Telegram hat auf einige Fragen zu bestimmten URLs geantwortet, und das Unternehmen hat einen Telegramm-Kanal für das Melden von Betrügereien eingerichtet, aber es wäre viel besser, nur im Voraus zu sagen, was vor sich geht.

Ein weiterer Bereich, in dem Emittenten die Chancen auf Betrug verringern können, ist ihr Marketing, indem sie die Dringlichkeit von Calls zum Kauf von Token abschwächt, obwohl dies für viele scheinbar kontraintuitiv ist.

Wenn ein Marketing-Team ankündigt, dass es kurze Zeiträume von Sonderrabatten geben wird, bringt es eine Gruppe potenzieller Investoren auf eine harte Probe. Sie wissen, dass diese Dinge schnell ausverkauft sind, also müssen sie schnell handeln, wenn sie einsteigen wollen. Auf diese Weise könnten Anleger dazu gebracht werden, gefälschten Links zu folgen, wenn sie handeln, bevor sie die Dinge durchdenken.

Zu ​​diesem Thema sagte Walsh:

"Es ist gut, sich für das zu begeistern, was auch immer Sie starten wollen, aber diese Teams müssen achtsamer sein."

Vor allem aber Unternehmen Laufende ICOs müssen eindeutig darüber sein, wie sie kommunizieren werden, damit die Follower wissen, dass alles, was diesem Format nicht folgt, falsch ist.

Personal aufrüsten

Heutzutage wird viel gehackt durch Social Engineering, nicht durch Umgehung von Dolch und Dolch.

Mitarbeiter dazu zu bringen, kritische Informationen preiszugeben oder herauszufinden, wie sie das tatsächliche Personal nachahmen können, sind zwei Möglichkeiten, wie Angreifer Erfolg mit ihren Betrügereien hatten.

Auf diese Weise müssen die Emittenten berücksichtigen, dass der Schutz des internen Teams vor Phishing von größter Bedeutung ist - insbesondere im Zusammenhang mit Social-Media-Kanälen, bei denen Betrüger bösartige Links mit dem Zugang zu authentischen Accounts tweeten können schaue den Investoren den wahren Deal an.

PhishMe-Mitbegründer Aaron Higbee sagte All4Bitcoin, dass Unternehmen "darauf achten sollten, wer innerhalb der Organisation von diesen Konten aus twittern kann" oder anderweitig von diesen Konten berichten und sicherstellen, dass sie darin geschult sind, mögliche Phishing-Versuche zu erkennen.

PhishMe bietet Unternehmen automatisierte Schulungen an, die ihnen helfen, das Bewusstsein für Techniken zu schärfen, mit denen Angreifer Mitarbeiter des Unternehmens austricksen. Das Training, das kostenlos für kleine und mittlere Unternehmen angeboten wird, funktioniert tatsächlich in den Postfächern des Personals, indem es ihnen E-Mails sendet, die rote Fahnen aufziehen sollten.

Und Metacert bietet ein Produkt, das die internen Kanäle eines Teams kontinuierlich überwacht und schädliche Nachrichten löscht, bevor irgendjemand sie sehen kann.

Darüber hinaus behauptet Walsh, Führungskräfte und andere hochkarätige Personen in einer Firma sollten keinen root-Zugang zu irgendwelchen Daten oder Systemen haben, da die meisten Angreifer nicht nur Informationen über diese Person finden, um sie zu sozialisieren, sondern auch diese execs gesehen werden als sehr hoher Wert für einen Angreifer.

Community-Management-Mitarbeiter sollten darüber hinaus geschult werden, wie Phishing-Versuche erkannt werden und welche Art von Fragen darauf hindeuten, dass Unterstützer möglicherweise auf einem anderen Kanal aufgegriffen werden. Zum Beispiel fand Kik, dass Angreifer sich selbst als Moderatoren in Slack-Kanälen darstellen würden. Daher sollten die echten Moderatoren auf dieses und andere verdächtige Verhalten achten.

Und zu guter Letzt muss ein ICO-Issuer sicherstellen, dass sein Web-Host Sicherheit vor Augen hat. Das liegt vor allem daran, dass ICO-Aussteller ihren Webhost vor der Live-Schaltung des Verkaufs auswählen und den Angreifern die gleiche Zeit geben, um das System zu infiltrieren, um eine gefälschte Titelseite mit ihrer eigenen Brieftaschenadresse auf der Website zu veröffentlichen.

Auch wenn solche digitalen Graffitis nur 20 Minuten lang bestehen bleiben, könnte mit dem Kaufrausch, den viele ICOs inspirieren, viel Geld verloren gehen.

Sicherheit im Rampenlicht

Bei all dem müssen ICO-Aussteller von Anfang an über interne Sicherheit nachdenken, denn während die Gründer der Projekte auf das Produkt fokussiert sind, wissen Betrüger, dass Millionen von Dollars letztendlich zu diesem Produkt fließen werden gehe früh und warte auf ihre Chance zuzuschlagen.

In diesem Sinne sollten Dokumente zerfetzt werden, damit Betrüger diese nicht verwenden können, um ihre Angriffe authentischer aussehen zu lassen.

Außerdem sollten alle Mitarbeiter die Zwei-Faktor-Authentifizierung (2FA) überall verwenden und sehr versuchen, keine SMS-basierte 2FA zu verwenden, da sie weniger sicher ist als Apps wie Authy, 1Password oder Google Authenticator. Darüber hinaus sollten bei jedem Mobilgerät, das für 2FA verwendet wird, zusätzliche Vorkehrungen getroffen werden, damit Änderungen größeren Sicherheitskontrollen unterzogen werden.

Zum Beispiel sagte Walsh, er kenne einige Projekte, die ein Brennertelefon in einer Schublade halten und nur für 2FA verwenden.

Nicht nur mobile Geräte, sondern auch E-Mail-Listen sollten korrekt geschützt sein.

Wenn es einem Angreifer gelingt, die Liste der Personen zu erfassen, die Interesse an einem ICO bekundet haben, ist der Betrug 90 Prozent der Erfolgsaussichten, da diese Gruppe am ehesten auf einen Phishing-Versuch stürzt interessiert und die Quelle scheint echt.

Wenn ein Unternehmen eine E-Mail- oder Newsletter-Drittpartei wie MailChimp oder ConstantContact verwendet, um solche Listen zu verwalten, sollte es die höchste Sicherheitsstufe für den Zugriff auf diese Konten wählen.

Walsh fügte sogar hinzu, dass die wohl durchdachtesten Unternehmen einen Schritt weiter gehen und HTML-E-Mails für reine Text-E-Mails vermeiden könnten. Während Text-E-Mails einige Marketing-Fähigkeiten verlieren können, sind sie sicherer für die Empfänger, da die Empfänger tatsächlich den Link sehen können, den die E-Mail zum Klicken auffordert, wohingegen HTML-Formate bösartige Links verbergen können.

Eine weitere Option für ICO-Projekte ist die Einstellung von "White Hat" -Hackern, um die Sicherheitssystem-Token-Aussteller zu überbieten, so dass Schwachstellen gefunden und behoben werden können, bevor ein echter Angreifer zuschlägt.

Darüber hinaus könnten die Emittenten offener gegenüber der Öffentlichkeit und potenziellen Anlegern hinsichtlich der Sicherheitsverfahren sein, die sie verwenden, so dass die Anleger fundierte Entscheidungen darüber treffen können, welche Projekte sie unterstützen möchten.

In diesem Zusammenhang sagte MacLane Wilkinson von NuCypher zu All4Bitcoin:

"Phishing-Attacken können letztendlich nicht verhindert werden, also ist das Wichtigste, was Sie tun können, Bildung. Sie müssen früh anfangen, indem Sie Ihrer Community erklären Phishing-Attacken sind und bereiten sie im Voraus vor. "

Tacklebox mit Köderbild über Shutterstock