Kullanıcılar, kuruluşlar, devletler ve işletmeler için yepyeni fırsatların kapısını aralayan Web 3.0, artan güvenlik tehditlerini de beraberinde getiriyor. Yaşanan tehditler beraberinde tedbirleri de getirdi. Cisco Talos da dünyada giderek daha da yaygın olarak kullanılmaya başlanan Web 3.0 ortamında ortaya çıkan en önemli 5 güvenlik riskini derledi.
CISCO Talos, Web 3.0’daki en büyük 5 güvenlik riskini derledi. “Metaverse” olarak bilinen, insanı içine alan 3 boyutlu deneyimi de içeren ağın bu son sürümü, insanların bir şeyler keşfedebileceği, alışveriş yapabileceği, oyun oynayabileceği, arkadaşlarıyla vakit geçirebileceği, konsere gidebileceği veya iş toplantılarına katılabileceği bir sanal gerçeklik ortamı sunmaktadır. Web 3.0’ın dünya çapında giderek çapını genişletmesi, bazı riskleri de beraberinde getiriyor. Cisco Talos da bu ortamdaki en büyük 5 güvenlik riskini ortaya koydu:
ENS alanları
Dijital paranın giderek artan popülaritesi sonucunda Ethereum Name Service (ENS) alanları öncesiyle kıyasla daha çok kullanılmaya başlandı. ENS alanları, ilişkili kripto para cüzdan adresini bulmak için kullanılan bir ad olarak karşımıza çıkmaktadır. Bu da popüler alan adlarının üçüncü kişiler tarafından ticari marka yapılması ve satışını sağlamakta. Sonuç olarak, bir ENS alanı sahibini, kullanıcıları yasal bir kuruluşla görüştüklerine inandıracak şekilde bu adı kullanmaktan hiçbir şey alıkoyamaz. Ayrıca bu ENS alanları cüzdan adreslerini gösterir, dolayısıyla herkes tarafından dilediği zaman bu adla ilişkili cüzdanın içeriğini inceleyebilir.
Sosyal mühendislik
Yeni bir teknolojiye uyarlama olan ve genellikle sosyal mühendislik tehdidiylekarşı karşıya gelmekte ve de bu durum Web 3.0’da da farklı değil. Web 3.0 kullanıcılarını etkileyen güvenlik olaylarının büyük çoğunluğu, cüzdanların kopyalanması gibi sosyal mühendislik saldırılarından kaynaklanmakta. Kullanıcılar “seed phrase”lerini (özel anahtarı) paylaşmaları konusunda son derece dikkatli olmalıdır. Bir kripto para cüzdanının kaybolmasından doğan sorun veya zarar görmesi durumunda bir kullanıcı, aslında özel anahtarları olan ve 12 – 24 sözcükten oluşan “seed phrase”i kullanarak cüzdanlarını ve içindeki her şeyi kurtarabilir. Seed phrase’i bilen herkes, kripto para cüzdanını kopyalayıp kendisine aitmiş gibi kullanabilir. Bu nedenle, kripto para veya NFT (takas edilemeyen token) çalmak isteyen birçok siber suçlu bir kullanıcının asıl kelime grubunu hedef alır.
Sahte müşteri temsilcilerine dikkat
Kullanıcıları seed phrase’lerinden ayrışımını yapmak için saldırganların kullandığı bir diğer yöntem de kullanıcıların Twitter veya Discord sunucu isteklerine yanıt veren bir müşteri temsilcisi gibi davranmak. Saldırganlar, “yardım” sunma bahanesiyle kullanıcılarla iletişime geçerek, seed phrase’lerini paylaşmalarını sağlayabilir.
Whale hesaplar
Whale (Balina) hesaplar, yüksek tutarda kripto para veya NFT içeren, yüksek profilli kripto para hesaplarıdır. Bazı tahminlere göre 40.000 “whale” hesap tüm NFT’lerin %80’ine sahiptir ve bu sebeple siber güvenlik suçluları için ideal bir hedef olarak görülmektedir. Dolandırıcılar, birçok küçük yatırımcının bu whale’lerin cüzdanlarını izlediğini bilir ve kendi sahte projelerine yatırım yapmaları için sosyal mühendislik uygulamasına başvurur. Çoğu yasal NFT projesi, akıllı sözleşmeleri için kaynak kodlarını serbestçe yayınlar. Bu proje kodunun yayınlanmamış olması, olası yatırımcılar için bir kırmızı bayrak olmalıdır.
Akıllı sözleşmelerdeki açıklar
Bazı saldırganlar yasal akıllı sözleşmelerdeki açıkları kullanmaya odaklanırken bazıları da farklı bir yaklaşım benimseyerek kötü niyetli akıllı sözleşme kodu biçiminde blok zincire yerleştirilen kendi zararlı yazılımlarını yazar. Kötü amaçlı kullanılan akıllı sözleşmeler, tüm standart akıllı sözleşme fonksiyonlarına sahiptir, ancak beklenmedik şekilde hareket eder.
Cisco’dan çevrimiçi güvenliğin ipuçları
Cisco Orta Doğu ve Afrika Siber Güvenlik Direktörü Fady Younes bu yeni dönemle ilgili şunları söyledi: “İnternetin metaverse’e dönüşümüyle birlikte kullanıcılar, kuruluşlar, devletler ve işletmeler için yepyeni fırsatlar sunuyor ve özelliklerin kapıları aralanıyor. Tüm bu olanaklara karşılık Web 3.0, korsanların ve suçluların kullanabileceği güvenlik tehditlerini de içeriyor. Cisco Talos araştırma ekibi; kripto para, blok zincir teknolojisi, merkezi olmayan dağıtılmış uygulama ve dosya depolaması nedeniyle ortaya çıkan en yaygın güvenlik sorunlarını öne çıkarmak için ayrıntılı bir çalışma yaptı. Araştırma, kullanıcıların çevrimiçiyken güvenliklerini sağlamak için nelere dikkat etmesi gerektiğine ilişkin içgörüler de sunuyor
Daha fazla bilgi için The Network sayfasını ziyaret edebilir ve Twitter’da bizi daha yakından takip edebilirsiniz.