Kullanıcılar, kuruluşlar, devletler ve işletmeler için yepisyeni fırsatların kapısını aralayan Web 3.0, artan güvenlik tehditlerini de …
Kullanıcılar, kuruluşlar, devletler ve işletmeler için yepisyeni fırsatların kapısını aralayan Web 3.0, artan güvenlik tehditlerini de beraberinde getiriyor. Cisco Talos da dünyada giderek daha da yaygın olarak kullanılan Web 3.0 ortamında ortaya çıkan en kıymetli 5 güvenlik riskini derledi
CISCO Talos, Web 3.0’daki en büyük 5 güvenlik riskini derledi. “Metaverse” olarak bilinen, insanı içine alan 3 boyutlu tecrübesi de içeren ağın bu son sürümü, insanların bir şeyler keşfedebileceği, alışveriş yapabileceği, oyun oynayabileceği, arkadaşlarıyla vakit geçirebileceği, konsere gidebileceği yahut iş toplantılarına katılabileceği bir sanal gerçeklik ortamı. Web 3.0’ın dünya çapında giderek yaygınlaşması, kimi riskleri de beraberinde getiriyor. Cisco Talos da bu ortamdaki en büyük 5 güvenlik riskini ortaya koydu:
ENS alanları
Dijital paranın artan popülaritesi sonucunda Ethereum Name Service (ENS) alanları daha çok kullanılmaya başlandı. ENS alanları, alakalı kripto para cüzdan adresini bulmak için kullanılan bir isim. Bu da tanınan alan isimlerinin üçüncü şahıslar tarafından ticari marka yapılması ve satışını sağlamakta. Sonuç olarak, bir ENS alanı sahibini, kullanıcıları yasal bir kuruluşla görüştüklerine inandıracak şekilde bu ismi kullanmaktan hiçbir şey alıkoyamaz. Ayrıyeten bu ENS alanları cüzdan adreslerini gösterir, hasebiyle herkes dilediği vakit bu isimle bağlantılı cüzdanın içeriğini inceleyebilir.
Toplumsal mühendislik
Yeni bir teknolojiye uyarlama çoklukla toplumsal mühendislik tehdidiyle gelmekte ve de bu durum Web 3.0’da da farklı değil. Web 3.0 kullanıcılarını etkileyen güvenlik olaylarının büyük çoğunluğu, cüzdanların kopyalanması üzere toplumsal mühendislik taarruzlarından kaynaklanmakta. Kullanıcılar “seed phrase”lerini (özel anahtarı) paylaşmaları konusunda son derece dikkatli olmalıdır. Bir kripto para cüzdanının kaybolması yahut ziyan görmesi durumunda bir kullanıcı, aslında özel anahtarları olan ve 12 – 24 sözcükten oluşan “seed phrase”i kullanarak cüzdanlarını ve içindeki her şeyi kurtarabilir. Seed phrase’i bilen herkes, kripto para cüzdanını kopyalayıp kendisine aitmiş üzere kullanabilir. Bu nedenle, kripto para yahut NFT (takas edilemeyen token) çalmak isteyen birçok siber hatalı bir kullanıcının asıl söz kümesini gaye alır.
Uydurma müşteri temsilcilerine dikkat
Kullanıcıları seed phrase’lerinden ayırmak için saldırganların kullandığı bir öteki usul de kullanıcıların Twitter yahut Discord sunucu isteklerine karşılık veren bir müşteri temsilcisi üzere davranmak. Saldırganlar, “yardım” sunma mazeretiyle kullanıcılarla bağlantıya geçerek, seed phrase’lerini paylaşmalarını sağlayabilir.
Whale hesaplar
Whale (Balina) hesaplar, yüksek fiyatta kripto para yahut NFT içeren, yüksek profilli kripto para hesaplarıdır. Birtakım varsayımlara nazaran 40.000 “whale” hesap tüm NFT’lerin 80’ine sahiptir ve bu sebeple siber güvenlik suçluları için ülkü bir maksattır. Dolandırıcılar, birçok küçük yatırımcının bu whale’lerin cüzdanlarını izlediğini bilir ve kendi düzmece projelerine yatırım yapmaları için toplumsal mühendislik uygulamasına başvurur. Birden fazla yasal NFT projesi, akıllı mukaveleleri için kaynak kodlarını serbestçe yayınlar. Bu proje kodunun yayınlanmamış olması, mümkün yatırımcılar için bir kırmızı bayrak olmalıdır.
Akıllı kontratlardaki açıklar
Birtakım saldırganlar yasal akıllı kontratlardaki açıkları kullanmaya odaklanırken kimileri da farklı bir yaklaşım benimseyerek makus niyetli akıllı mukavele kodu biçiminde blok zincire yerleştirilen kendi ziyanlı yazılımlarını muharrir. Makûs maksatlı akıllı mukaveleler, tüm standart akıllı mukavele işlevlerine sahiptir, lakin beklenmedik şekilde hareket eder.
Cisco’dan çevrimiçi güvenliğin ipuçları
Cisco Orta Doğu ve Afrika Siber Güvenlik Yöneticisi Fady Younes bu yeni devirle ilgili şunları söyledi: “İnternetin metaverse’e dönüşümüyle birlikte kullanıcılar, kuruluşlar, devletler ve işletmeler için orijinal fırsatlar ve özelliklerin kapıları aralanıyor. Tüm bu imkanlara karşılık Web 3.0, korsanların ve hatalıların kullanabileceği güvenlik tehditlerini de içeriyor. Cisco Talos araştırma takımı; kripto para, blok zincir teknolojisi, merkezi olmayan dağıtılmış uygulama ve evrak depolaması nedeniyle ortaya çıkan en yaygın güvenlik sıkıntılarını öne çıkarmak için detaylı bir çalışma yaptı. Araştırma, kullanıcıların çevrimiçiyken güvenliklerini sağlamak için nelere dikkat etmesi gerektiğine ait içgörüler de sunuyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı
