Kriptodenarnice so priljubljena tarča kiberkriminalcev, saj omogočajo takojšnjo monetizacijo vdora, napadalcem zagotavljajo veliko mero anonimnosti pred organi pregona, poleg tega pa so transakcije dokončne in nepovratne. Verjetnost povrnitve ukradenih sredstev iz kriptodenarnice je izredno majhna. Zato je zelo pomembno, da se dostop do kriptodenarnic zaščiti v največji možni meri, za kar pa je potrebno dobro poznavanje tehnologije, na podlagi katere delujejo kriptovalute. Varnost sredstev v kriptodenarnicah je v največji meri odvisna zgolj od samih uporabnikov.
Kiberkriminalci do kriptodenarnic dostopajo na različne načine, največkrat pa preko phishing napadov in preko okužbe računalnika z vohunskim virusom (information stealer). V nadaljevanju sledi opis najpogostejših načinov kraje sredstev iz kripodenarnic, ki smo jih obravnavali na SI-CERT.
Kraja datoteke z zasebnim ključem (wallet.dat)
Originalni Bitcoin klient in nekateri altcoin klienti podatke o kriptodenarnici, vključno z zasebnim ključem, shranjujejo v posebni datoteki. Za Bitcoin je to datoteka wallet.dat, ki se Windows sistemih običajno nahaja v mapi %APPDATA%\Bitcoin. Nekateri virusi po okužbi na sistemu poiščejo datoteke z imenom wallet.dat in jih pošljejo napadalcem. V primeru, da je datoteka zaščitena z geslom, tega pridobijo s pomočjo keyloggerja.
Manipulacija z odložiščem
Nekateri virusi vsebujejo modul za manipulacijo z vsebino na odložišču (angl. clipboard). Del programa neprestano nadzoruje vsebino odložišča, in če v njem preko predefiniranih regularnih izrazov zazna naslov kriptodenarnice (npr. ko želi uporabnik prenakazati sredstva), spremeni vsebino na tak način, da namesto originalnega naslova kriptodenarnice vstavi naslov kriptodenarnice napadalca. Naslovi kriptodenarnic so praviloma sestavljeni iz nizov številk in črk, ki so nam dokaj neberljivi in zaradi česar jih težko razlikujemo med seboj na pogled. Žrtev spremembo dostikrat opazi šele po potrditvi transakcije, kar praviloma pomeni dokončno izgubo sredstev.
![Slika prikazuje .net kodo. Izsek iz kode:
function p() {
Param(
[Parameter(Mandatory = $True, Position = 0)]
[string] $t
)[Regex] $n = '^(bc1)(?:[a-z0-9]{39}|[a-z0-9]{59})$'
$j = $t - match[Regex] $n
return $j
}
function g() {
Add - Type - AssemblyName System.Windows.Forms
$k = '17Rg2JfAamMfGAaihhhqBxZX3Lz9YVGy17'](https://www.cert.si/wp-content/uploads/2021/09/kripto-clipboard.png)
Kraje gesel za spletne denarnice
Praktično vsak vohunski virus vsebuje funkcionalnost kraje shranjenih gesel v brskalniku in drugih spletnih odjemalcih. Če ima potencialna žrtev sredstva na kateri od kripto borz ali v spletni denarnici, geslo za uporabniški račun pa shranjeno v brskalniku, lahko napadalci že takoj po začetni okužbi vdrejo v uporabniški račun in sredstva prenakažejo drugam. Zaščita pred tako zlorabo je uporaba večfaktorske avtentikacije, pri kateri je poleg gesla za prijavo potrebno vpisati še dodatno kodo, ki se jo običajno zgenerira z aplikacijo na pametnem telefonu.
Nekaj primerov analiz zlonamerne kode, ki vsebujejo funkcionalnost kraje shranjenih gesel:
- SI-CERT 2021-03 / Širjenje okužb s trojanskim konjem QBot
- SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB
- SI-CERT TZ008 / Vektor okužbe: nelegalna programska oprema
- SI-CERT 2019-06 / Okužena sporočila s preteklo korespondenco (Emotet trojanec)
- SI-CERT TZ005 / Analiza trojanca za prikriti oddaljeni dostop (RAT)
Kje vse se lahko skrivajo virusi?
– v priponkah elektronske pošte (ali v datotekah, do katerih vodijo povezave v sporočilu)
– v lažnih botih za trgovanje
– v piratskih igrah in programih
– v programih za manipuliranje iger (goljufanje)
– v lažnih aplikacijah za povečanje varnosti ali izboljšanje (pohitritev) delovanja sistema
– v lažnih razširitvah brskalnikov za upravljanje s kriptdenarnicami
– …
Phishing napadi
Spletne denarnice in kripto borze so pogosto tarča phishing napadov. Cilj napadalcev so avtentikacijski podatki za dostop do računov ali pa zasebni ključi denarnic (npr. MyEtherWallet). Če na phishing spletni strani žrtev pošlje zasebni ključ (lahko tudi v obliki večbesedne fraze ali datoteke s ključem), pridobijo napadalci dostop do vseh sredstev na denarnici.
Phishing stran za kripto borzo. Domena vsebuje poseben unicode znak 
Vnos zasebnega ključa pod krinko prejema ICO kovancev 
Phishing sporočilo kot posledica vdora v bazo uporabnikov kupcev strojne kripto denarnice
Družbeni inženiring in goljufije
Podvojite svoj denar!
Podvojite svoj denar (ang. Double your money) je oblika prevare, pri kateri kiberkriminalci obljubljajo podvojitev nakazanih kriptokovancev ali kriptožetonov. Take napade pogosto izvajajo preko zlorabljenih profilov znanih osebnosti ali organizacij, kar lahko žrtve preslepi, da nasedejo obljubam.
Investicijske prevare
Rast vrednosti kriptovalut je razlog, ki ga kiberkriminalci izrabljajo za novačenje žrtev v goljufive investicijske sheme, za katerimi pa dejansko ni nobenih kriptovalut, so le lažne obljube po velikem zaslužku ob minimalnem tveganju. Bolj podrobno so investicijske prevare opisane na naši spletni strani Varni na internetu:
Varni na internetu: Investicijske prevare s kriptovalutami