नकली लेजर धोखाधड़ी ने क्रिप्टो सेल्फ कस्टडी चिंताएँ बढ़ाईं

एक ब्राज़ीलियाई सुरक्षा शोधकर्ता ने डिजिटल संपत्ति चुराने के विशेष उद्देश्य से डिज़ाइन किए गए नकली लेजर हार्डवेयर वॉलेट की अनजाने में खरीद के बाद क्रिप्टोकरेंसी उपयोगकर्ताओं को लक्षित करने वाले घोटालों की बढ़ती संख्या के बारे में नई चिंताएं व्यक्त की हैं। यह घोटाला Reddit पर ऑनलाइन पोस्ट किया गया था, और यह धोखेबाजों द्वारा स्व-कस्टडी क्रिप्टोकरेंसी उपयोगकर्ताओं को प्रतिष्ठित हार्डवेयर वॉलेट और अन्य स्रोतों की नकल करके अपने घोटाले को अंजाम देने की प्रवृत्ति पर अलार्म बजाता है। यह चेतावनी ऐसे समय में जारी की गई है जब कई लेजर-प्रकार के हार्डवेयर वॉलेट को ऑफ़लाइन क्रिप्टो संपत्ति संग्रहीत करने के सबसे सुरक्षित तरीकों में से एक के रूप में भारी रूप से विज्ञापित किया जाता है; हालांकि, हार्डवेयर वॉलेट को अपनाने में वृद्धि ने उन लोगों की रचनात्मकता में भी वृद्धि की है जो धोखाधड़ी से बनाए गए नकली उपकरणों, नकली सॉफ्टवेयर अनुप्रयोगों और सोशल इंजीनियरिंग तरीकों का उपयोग करके उपयोगकर्ताओं से चोरी करने का प्रयास कर रहे हैं। नकली लेजर डिवाइस की खोज कैसे हुई "ledgerwallet" सबरेडिट पर "Past_Computer2901" हैंडल का उपयोग करने वाले एक सुरक्षा शोधकर्ता ने साझा किया है कि उन्होंने व्यक्तिगत उपयोग के लिए एक (कथित तौर पर) वैध लेजर हार्डवेयर वॉलेट खरीदा था। जब वॉलेट आया, तो यह पैकेजिंग के तरीके के आधार पर एक वैध स्रोत से आया हुआ प्रतीत हुआ; इसलिए, शोधकर्ता को शुरू में किसी भी समस्या के बारे में पता नहीं था। हालांकि, डिवाइस की बारीकी से जांच और परीक्षण करने पर, शोधकर्ता ने निर्धारित किया कि डिवाइस एक वैध उत्पाद नहीं था, बल्कि उपयोगकर्ता के धन से समझौता करने की एक विस्तृत नकली योजना का हिस्सा था, जैसे ही डिवाइस चालू या उपयोग किया गया था। शोधकर्ता ने कहा कि इस घोटाले से जुड़े विवरण का स्तर असाधारण था। हमलावरों ने वैध पैकेजिंग, वास्तविक हार्डवेयर के हार्डवेयर डिज़ाइन और एक प्रामाणिक लेजर हार्डवेयर वॉलेट का उपयोग करने से जुड़े उपयोगकर्ता अनुभव की नकल करने में जबरदस्त प्रयास किया होगा। शोधकर्ता ने यह भी बताया कि वे इस ऑपरेशन के आकार के कारण अभी भी सदमे में थे, लेकिन इस जानकारी को क्रिप्टोकरेंसी समुदाय के साथ साझा करना चाहते थे ताकि वे इस बढ़ते खतरे से सुरक्षित रह सकें। नकली हार्डवेयर वॉलेट विशेष रूप से खतरनाक क्यों होते हैं लेजर हार्डवेयर वॉलेट निजी कुंजियों को ऑफ़लाइन संग्रहीत करते हैं ताकि उन्हें ऑनलाइन हैक होने से बचाया जा सके। अधिकांश लोग अपनी क्रिप्टोकरेंसी के दीर्घकालिक भंडारण के लिए हार्डवेयर वॉलेट का उपयोग करते हैं क्योंकि यह मैलवेयर से संक्रमित होने या फ़िशिंग हमलों का शिकार होने के जोखिम को भी कम करता है। इसके बावजूद, नकली डिवाइस इस सुरक्षा मॉडल को पूरी तरह से रद्द कर देते हैं। निजी कुंजियों की सुरक्षा के बजाय, नकली डिवाइस को डिज़ाइन किया गया हो सकता है: - एक समझौता किया गया सीड फ़्रेज़ बनाना - डिवाइस सेटअप के दौरान निजी कुंजियों को लीक करना - धन को हमलावर के पते पर पुनर्निर्देशित करना - एक दुर्भावनापूर्ण फ़र्मवेयर अपडेट स्थापित करना - उपयोगकर्ताओं को उनकी रिकवरी फ़्रेज़ बताने के लिए छल करना उपयोगकर्ताओं द्वारा हार्डवेयर वॉलेट पर दिए गए अंतर्निहित विश्वास के कारण, अधिकांश उपयोगकर्ताओं को यह पता नहीं चलेगा कि डिवाइस के साथ छेड़छाड़ की गई है या नहीं, जब तक कि वे अपने धन को खो नहीं देते। नकली उपकरणों से उत्पन्न खतरा इस तथ्य से और बढ़ जाता है कि वे भौतिक छेड़छाड़ के जोखिम को उस अंतर्निहित विश्वास के साथ जोड़ते हैं जो कई उपयोगकर्ता प्रसिद्ध ब्रांडों पर रखते हैं। आपूर्ति श्रृंखला क्रिप्टो हमलों का बढ़ता रुझान यह घटना स्व-अभिरक्षा समाधानों का उपयोग करके अपनी क्रिप्टोकरेंसी का नियंत्रण लेने वाले व्यक्तियों पर हमलों की बढ़ती परिष्कार की समग्र प्रवृत्ति का हिस्सा है। पिछले कई वर्षों में, हमलावरों ने साधारण फ़िशिंग योजनाओं से कहीं अधिक परिष्कृत आपूर्ति श्रृंखला रणनीति जैसे: गैर-आधिकारिक पुनर्विक्रेताओं के माध्यम से बेचे गए नकली हार्डवेयर वॉलेट एक द्वितीयक बाज़ार में बेचे गए हार्डवेयर के साथ छेड़छाड़ वैध निर्माता के उत्पादों को नकली के रूप में पुनः पैकेजिंग और नाम बदलना शिपिंग सिस्टम के माध्यम से चलते हुए पैकेजों की चोरी करना ताकि नकली उत्पादों को वैध लोगों के लिए प्रतिस्थापित किया जा सके किसी और के पहले से लोड किए गए सीड फ़्रेज़ या फ़र्मवेयर का उपयोग करके पहले से लोड किए गए नकली हार्डवेयर वॉलेट ये क्रियाएं पीड़ितों (उपयोगकर्ताओं) के लिए वास्तविक और नकली उत्पाद के बीच अंतर करने में असमर्थ होने का अवसर पैदा करती हैं, खासकर जब वे तीसरे पक्ष के स्रोतों / कई स्तरों के दूरस्थ विक्रेताओं से अपना उत्पाद खरीद रहे हों जो विक्रेता को सत्यापित नहीं करते हैं। क्षेत्र के विशेषज्ञों का संकेत है कि स्व-अभिरक्षा मॉडल कई लोगों के लिए क्रिप्टोकरेंसी संग्रहीत करने का पसंदीदा तरीका है, क्योंकि वे किसी भी केंद्रीकृत कस्टडी समाधान का उपयोग करने की संभावना कम रखते हैं और इसलिए क्रिप्टोकरेंसी में उच्च स्तर का मूल्य संग्रहीत होता है। नकली लेजर लाइव ऐप से जुड़ी संबंधित घटना नकली उपकरणों की यह सूचना इस महीने कई अन्य गंभीर सुरक्षा घटनाओं के बाद जारी की गई थी जो लेजर लाइव होने के बहाने नकली ऐप्स के साथ हुई हैं, जो लेजर वॉलेट को प्रबंधित करने के लिए उपयोग किया जाने वाला अधिकृत एप्लिकेशन है। 50 से अधिक पीड़ितों ने अपनी 'सीड फ़्रेज़' (मुख्य शब्द या वाक्यांश) को लेजर लाइव के एक धोखाधड़ी वाले ऐप में दर्ज करने की सूचना दी है जो एप्पल ऐप स्टोर में एक अनधिकृत, पुनर्निर्देशित लिंक ("एक प्रलोभन-और-स्विच" योजना) के रूप में उपलब्ध था। जब पीड़ितों ने अपनी रिकवरी फ़्रेज़ दर्ज की, तो हमलावरों ने पीड़ित के वॉलेट से पैसे निकालने की प्रक्रिया की। इस घटना से कुल नुकसान लगभग $9.5 मिलियन होने का अनुमान है, इससे पहले कि एप्पल द्वारा दुर्भावनापूर्ण एप्लिकेशन को हटा दिया गया। यह हमला "ऐप स्टोर" से डाउनलोड किए गए विश्वसनीय अनुप्रयोगों की भेद्यता को भी दर्शाता है, क्योंकि वे हमलावर की ऐप स्टोर की एप्लिकेशन समीक्षा प्रक्रियाओं से बचने या उन्हें दरकिनार करने की क्षमता और/या प्रारंभिक अनुमोदन दिए जाने के बाद अपने एप्लिकेशन में दुर्भावनापूर्ण अपडेट अपलोड करने की क्षमता से आसानी से समझौता कर सकते हैं। सीड फ़्रेज़ की चोरी सबसे महत्वपूर्ण जोखिम क्यों बनी हुई है क्रिप्टोकरेंसी के क्षेत्र में सभी आधुनिक घोटालों में, वही विषय उभरता है क्योंकि धोखेबाज आपकी सीड फ़्रेज़ तक पहुंच प्राप्त करने की कोशिश करते हैं। सीड फ़्रेज़ आपके करेंसी वॉलेट का मास्टर पासवर्ड है और इसमें आमतौर पर बारह से चौबीस शब्द होते हैं। जिस किसी के पास आपकी सीड फ़्रेज़ तक पहुंच होती है, उसके पास आपके वॉलेट में मौजूद धन तक पूरी पहुंच होती है। धोखेबाज मुख्य रूप से सोशल इंजीनियरिंग रणनीति का उपयोग उपयोगकर्ताओं को अपनी सीड फ़्रेज़ बताने के लिए प्रेरित करने के लिए करते हैं। इसके कुछ उदाहरण हैं: नकली वॉलेट रिकवरी अनुरोध ग्राहक सहायता कर्मियों का प्रतिरूपण दुर्भावनापूर्ण अनुप्रयोग जो उपयोगकर्ता की पुष्टि मांगते हैं नकली डिवाइस उपयोगकर्ताओं को इंटरनेट पर अपने डिवाइस को "सत्यापित" करने के लिए कहते हैं नकली सुरक्षा अलर्ट यह दर्शाते हैं कि उपयोगकर्ता के खाते में कुछ गड़बड़ है एक बार उजागर होने के बाद चोरी हुई सीड फ़्रेज़ से उबरना आमतौर पर संभव नहीं है क्योंकि अधिकांश ब्लॉकचेन ऐप कैसे काम करते हैं, अधिकांश मामलों में सभी लेनदेन अपरिवर्तनीय होते हैं। सुरक्षा विशेषज्ञ बढ़ती परिष्कार के प्रति आगाह करते हैं एक ब्राज़ीलियाई वैज्ञानिक ने साइबर सुरक्षा में एक परेशान करने वाले विकास के बारे में चिंता व्यक्त की - क्रिप्टो घोटाले कुछ साल पहले की तुलना में अधिक संरचित, परिष्कृत और पता लगाने में मुश्किल होते जा रहे हैं। जबकि अतीत में, घोटालों में आमतौर पर स्पष्ट फ़िशिंग ईमेल या खराब ढंग से निर्मित वेबसाइटें शामिल होती थीं, धोखेबाजों द्वारा की गई प्रगति में इनका संयोजन शामिल हो सकता है: उच्च गुणवत्ता वाली ब्रांडिंग और पैकेजिंग कार्यात्मक रूप से नकली उत्पाद जो वास्तविक चीज़ की तरह ही कार्य करते हैं मोबाइल ऐप जो लगभग समान उपयोगकर्ता इंटरफ़ेस के साथ क्लोन किए गए हैं ग्राहक सहायता जो वास्तविक दिखती है बहुराष्ट्रीय वितरण नेटवर्क इन उत्पादों की परिष्कार के कारण, औसत लोग यह पहचानने में सक्षम नहीं हो सकते हैं कि वे जिस उत्पाद का उपयोग कर रहे हैं वह धोखाधड़ी वाला है या नहीं, जब तक बहुत देर न हो जाए। विशेषज्ञ कहते हैं कि धोखेबाज अब यादृच्छिक अवसरवादी नहीं हैं; वे संगठित सिंडिकेट बन गए हैं जो उन्नत, बहु-वर्षीय, जटिल धोखाधड़ी संचालन में संलग्न हैं। स्व-अभिरक्षा समाधानों में विश्वास पर प्रभाव क्रिप्टो समुदाय स्व-अभिरक्षा को उपयोगकर्ताओं के लिए केंद्रीकृत एक्सचेंजों पर भरोसा किए बिना अपनी निजी कुंजियों का नियंत्रण बनाए रखने के तरीके के रूप में प्रोत्साहित करता है। क्रिप्टो डिजिटल संपत्ति के पूर्ण स्वामित्व में शामिल जोखिमों का एक अच्छा उदाहरण नकली लेजर घोटाले से संबंधित हालिया खबर है। स्व-अभिरक्षा उपयोगकर्ता को लेनदेन से प्रतिपक्ष को हटाकर जोखिम से बचाता है। हालांकि, यह अपने क्रिप्टो को सुरक्षित करने की 100% जिम्मेदारी व्यक्तिगत उपयोगकर्ता पर भी डालता है। उपयोगकर्ताओं को अब उन उपकरणों की प्रामाणिकता के संबंध में अत्यधिक सावधानी बरतनी चाहिए जिनका वे उपयोग करते हैं, उन उपकरणों पर लोड किए गए सॉफ़्टवेयर की अखंडता, और उपयोगकर्ता की अच्छी परिचालन सुरक्षा प्रथाओं का पालन करने की क्षमता। नकली लेजर घोटाले जैसी हाल की घटनाएं कई उपयोगकर्ताओं को अपनी डिजिटल संपत्तियों के भंडारण के तरीके का पुनर्मूल्यांकन करने के लिए प्रेरित कर सकती हैं, खासकर यदि वे धोखाधड़ी के परिष्कृत प्रयासों की पहचान करने और/या पता लगाने की अपनी क्षमता में पर्याप्त आत्मविश्वास नहीं रखते हैं। क्रिप्टो उपयोगकर्ताओं के लिए मुख्य सबक ऐसे कई संकेत हैं जो आपको धोखाधड़ी से खुद को बचाने के तरीके पहचानने में मदद करते हैं: 1. अपने हार्डवेयर वॉलेट हमेशा एक अधिकृत रिटेलर के माध्यम से या निर्माता की आधिकारिक साइट से खरीदें। 2. सुनिश्चित करें कि आप पैकेजिंग की जांच करते हैं और छेड़छाड़ की तलाश करते हैं और उपयोग से पहले डिवाइस की कार्यक्षमता की पुष्टि करते हैं। 3. अपने वॉलेट के लिए अपनी सीड फ़्रेज़ दर्ज करना केवल हार्डवेयर वॉलेट के प्रारंभिक सेटअप के दौरान ही होना चाहिए। 4. अपना सॉफ़्टवेयर केवल एक वैध स्रोत से डाउनलोड करें; या तो एक अधिकृत ऐप स्टोर के माध्यम से या निर्माता द्वारा प्रदान किए गए लिंक के माध्यम से। 5. यदि आप तीसरे पक्ष के स्रोतों से अपना हार्डवेयर वॉलेट खरीद रहे हैं और कीमत निर्माता की सुझाई गई कीमत से काफी कम है, तो सावधानी से आगे बढ़ें। 6. फ़र्मवेयर के निर्माता के आधिकारिक सत्यापन की हमेशा पुष्टि करें। हालांकि इनमें से कोई भी कदम धोखाधड़ी या छेड़छाड़ वाले उपकरणों के जोखिम को पूरी तरह से नहीं हटाता है, प्रत्येक ने नकली या छेड़छाड़ वाले डिवाइस का शिकार होने के जोखिम को कम करने में एक प्रमुख भूमिका निभाई है। निष्कर्ष एक ब्राज़ीलियाई सुरक्षा शोधकर्ता द्वारा नकली लेजर हार्डवेयर वॉलेट की खोज क्रिप्टोकरेंसी में तेजी से विकसित हो रहे और अत्यधिक परिष्कृत खतरे के परिदृश्य को दर्शाती है। आपूर्ति-श्रृंखला हमलों और सोशल इंजीनियरिंग रणनीति का निरंतर विकास का मतलब है कि स्व-अभिरक्षा पर निर्भर उपयोगकर्ताओं को हमेशा सतर्क रहने की आवश्यकता होगी। नकली लेजर लाइव ऐप का हालिया उद्भव, जिसके कारण लाखों डॉलर का नुकसान हुआ, दर्शाता है कि क्रिप्टो घोटाले बुनियादी फ़िशिंग से कहीं अधिक जटिल ऑपरेशनों में विकसित हो रहे हैं जो सच्चे और झूठे उत्पादों के बीच की रेखाओं को धुंधला करते हैं। उपयोगकर्ताओं के लिए संदेश स्पष्ट है। एक ऐसे परिदृश्य में जहां नियंत्रण का अर्थ जिम्मेदारी है, सुरक्षा शिक्षा अब वैकल्पिक नहीं है; यह किसी की डिजिटल संपत्ति की सुरक्षा के लिए अनिवार्य है।