Защита инвесторов от мошенников — задача эмитентов ICO

После объявления крупного ICO киберпреступники, как правило, придумывают схему, позволяющую обмануть воодушевлённых частных инвесторов, заставив их отправить собственные биткоины или эфиры на фальшивый адрес. В данной индустрии реакция на фишинговые атаки в основном заключается в том, что люди делятся рассказами о потерянных средствах в соцсетях.

Количество успешных афер вряд ли уменьшится, так как индустрия нова и непрозрачна, а некоторые люди склонны недооценивать смекалку мошенников, из-за чего становятся излишне доверчивыми.

Кроме того, участилась практика ограничения количества инвесторов, допускаемых к публичным продажам токенов, но некоторые стремятся найти «чёрный ход» в ICO, из-за чего недостаточно продумывают покупку, подвергая свои средства неоправданному риску.

Если вы хотите организовать довольно крупное и резонансное ICO, то должны понимать, что оно станет целью мошенников.

Существует множество методов, позволяющих инвесторам защититься от фишинга, но на самом деле никто не сделает это лучше, чем команда, занимающаяся ICO.

Откровенность

Возможно, наиболее важный шаг для эмитентов — выделение единственного канала связи, где будут публиковаться новости продаж.

Когда поставщик менеджера Kik запустил Kin, компания сразу пояснила, что вся информация о покупке токенов будет размещаться только на сайте продажи токенов. Даже если Kik отправлял обновление по электронной почте или каналу в соцсети, оно всегда переправляло получателей на сайт для получения дальнейших инструкций.

Это очень выгодный подход, ведь если важная информация, например, адрес кошелька, размещается на сайте, то мошеннику намного сложнее обмануть пользователей, создав фальшивый сайт, чем написать убедительное письмо.

А также предприниматели и компании, которые решат продавать токены, должны публично заявить о своих намерениях как можно быстрее.

Проблемы, возникшие из-за того, что компании чего-то недоговаривали, хорошо видны на примере ICO Телеграмм. Тот факт, что компания практически не давала официальной информации об ICO, позволил мошенникам организовать аферы, создавая поддельные сайты, на которых якобы можно купить токены мессенджера.

Яркий пример: инвесторы написали в Твиттере жалобу о том, что их ввели в заблуждение фальшивыми сайтами по продаже токенов Telegram; один пострадавший написал в своем твите, что отправил на сайт 4 монеты Эфира, надеясь купить токены Telegram.

Генеральный директор Telegram ответил на несколько вопросов по определённым URL-адресам. Компания также создала специализированный Telegram-канал, где будет публиковаться информация о мошеннических сайтах, но было бы гораздо лучше просто информировать общественность о том, что происходит с ICO.

Другая область, где эмитенты могут уменьшить вероятность мошенничества — торговля. Для этого им нужно увеличить период продажи токенов, хотя для многих это может показаться нелогичным.

Когда маркетинговая группа объявляет о специальных скидках, действующих ограниченное время, это действует на группу потенциальных инвесторов как спусковой механизм. Они знают, что токены быстро распродаются, поэтому нужно действовать быстро, если они хотят успеть поучаствовать. Таким образом, инвесторов могут обмануть, заставив кликнуть на фальшивую ссылку, поскольку в такие моменты они склонны действовать не думая.

Исходя из вышесказанного, компаниям, работающим с ICO, необходимо прямо говорить о том, как они будут передавать информацию, чтобы инвесторы понимали, что все, выходящее за рамки этого формата — обман.

Подкованный персонал

Большинство взломов в наши дни осуществляется с помощью социальной инженерии (психологических атак), а не тайного кодирования.

Сейчас мошенники добиваются успеха в своих аферах двумя способами: обманом заставляя сотрудников разглашать важную информацию или притворяясь настоящими сотрудниками.

Таким образом, эмитенты должны иметь в виду: защита команды от фишинга имеет первостепенное значение, особенно в том, что касается каналов соцсетей, где мошенники могут твитнуть вредоносные ссылки, которые предоставят им доступ к настоящим учетным записям, и инвесторам будет казаться, что ссылка надёжная.

Организаторам ICO необходимо чётко определить, кто из сотрудников организации может писать и отправлять сообщения с этих учетных записей, и следить за тем, чтобы они научились выявлять попытки фишинга.

Кроме того, руководители компаний не должны иметь корневой доступ к каким-либо данным или системам, поскольку большинство злоумышленников могут найти информацию о человеке и использовать её для психологической атаки. Не следует забывать и о том, что должностные лица сами по себе являются ценной добычей для мошенников.

Сотрудники, ответственные за регулирование сообществ, также должны уметь выявлять попытки мошеннических действий и знать, какие вопросы указывают на то, что инвесторы могут подвергаться фишингу на другом канале. Например, Kik узнали, что злоумышленники представляются админами на каналах Slack. Поэтому настоящие модераторы должны выявлять подозрительную активность.

И, наконец, последнее, но не менее важное: эмитент должен убедиться в безопасности хостинга. Это связано прежде всего с тем, что организаторы ICO выбирают хостинг до запуска сайта продаж, давая злоумышленникам достаточно времени, чтобы попытаться проникнуть в систему и установить фальшивую главную страницу с адресом собственного кошелька на сайте, когда он заработает.

Даже если такие «цифровые граффити» будут висеть на сайте всего в течение 20 минут, можно потерять много денег. Особенно при стратегии «ускоренных продаж», которую применяют многие ICO.

Безопасность прежде всего

Эмитентам ICO необходимо с первого дня думать о внутренней безопасности, потому что, пока основатели проектов сосредоточены на развитии и продвижении продукта, мошенники терпеливо ждут, когда в него потекут миллионы долларов и готовятся нанести удар.

Ввиду этого, ненужные документы необходимо полностью уничтожать, чтобы мошенники не могли использовать их против вас, сделав свои атаки более эффективными.

Кроме того, всем сотрудникам следует использовать двухфакторную аутентификацию (2FA) там, где это возможно, и стараться не использовать 2FA на базе SMS, поскольку она менее безопасна, чем приложения вроде Authy, 1Password или Google Authenticator. Плюс ко всему, необходимо предусмотреть дополнительные меры предосторожности для любого мобильного устройства, используемого для 2FA, чтобы все изменения максимально серьезно проверялись.

В некоторых проектах даже есть одноразовый телефон, который хранится закрытым в ящике и используется исключительно для 2FA.

Не только мобильные устройства, но и список электронных адресов должен быть правильно защищён.

Если злоумышленник смог заполучить список людей, которые проявили интерес к ICO, то афера на 90% удалась, так как эта группа, скорее всего, поведётся на попытку фишинга, поскольку она уже заинтересована, а источник кажется подлинным.

Если компания использует электронную почту или информационную рассылку сторонних сервисов, например, MailChimp или Constant Contact, то для ведения таких списков необходимо выбрать самый высокий уровень защиты для доступа к этим учетным записям.

Также, компании могут пойти на более серьезные меры и отказаться от электронных писем в формате HTML в пользу чисто текстовых сообщений. Несмотря на то что такие рассылки могут потерять некоторые маркетинговые свойства, они более безопасны, так как получатели видят ссылку, на которую их просят щелкнуть в письме, тогда как HTML-формат позволяет скрывать ссылки, включая вредоносные.

Еще один вариант для проектов ICO — нанять «белых хакеров», которые попытаются взломать системы безопасности эмитентов токенов, что позволит выявить и устранить таким образом уязвимости до того, как ими воспользуются злоумышленники.

Более того, эмитенты могут быть более открытыми, информируя общественность и потенциальных инвесторов об используемых ими процедурах безопасности, чтобы инвесторы могли принять обоснованное решение об оказании или неоказании поддержки тому или иному проекту.