Kullanıcılar, kuruluşlar, devletler ve işletmeler için yepisyeni fırsatların kapısını aralayan Web 3.0, artan güvenlik tehditlerini de beraberinde getiriyor. Cisco Talos da dünyada giderek daha da yaygın olarak kullanılan Web 3.0 ortamında ortaya çıkan en değerli 5 güvenlik riskini derledi
CISCO Talos, Web 3.0’daki en büyük 5 güvenlik riskini derledi. “Metaverse” olarak bilinen, insanı içine alan 3 boyutlu tecrübesi de içeren ağın bu son sürümü, insanların bir şeyler keşfedebileceği, alışveriş yapabileceği, oyun oynayabileceği, arkadaşlarıyla vakit geçirebileceği, konsere gidebileceği yahut iş toplantılarına katılabileceği bir sanal gerçeklik ortamı. Web 3.0’ın dünya çapında giderek yaygınlaşması, birtakım riskleri de beraberinde getiriyor. Cisco Talos da bu ortamdaki en büyük 5 güvenlik riskini ortaya koydu:
ENS alanları
Dijital paranın artan popülaritesi sonucunda Ethereum Name Service (ENS) alanları daha çok kullanılmaya başlandı. ENS alanları, bağlantılı kripto para cüzdan adresini bulmak için kullanılan bir isim. Bu da tanınan alan isimlerinin üçüncü bireyler tarafından ticari marka yapılması ve satışını sağlamakta. Sonuç olarak, bir ENS alanı sahibini, kullanıcıları yasal bir kuruluşla görüştüklerine inandıracak biçimde bu ismi kullanmaktan hiçbir şey alıkoyamaz. Ayrıyeten bu ENS alanları cüzdan adreslerini gösterir, münasebetiyle herkes dilediği vakit bu isimle alakalı cüzdanın içeriğini inceleyebilir.
Toplumsal mühendislik
Yeni bir teknolojiye uyarlama ekseriyetle toplumsal mühendislik tehdidiyle gelmekte ve de bu durum Web 3.0’da da farklı değil. Web 3.0 kullanıcılarını etkileyen güvenlik olaylarının büyük çoğunluğu, cüzdanların kopyalanması üzere toplumsal mühendislik hücumlarından kaynaklanmakta. Kullanıcılar “seed phrase”lerini (özel anahtarı) paylaşmaları konusunda son derece dikkatli olmalıdır. Bir kripto para cüzdanının kaybolması yahut ziyan görmesi durumunda bir kullanıcı, aslında özel anahtarları olan ve 12 – 24 sözcükten oluşan “seed phrase”i kullanarak cüzdanlarını ve içindeki her şeyi kurtarabilir. Seed phrase’i bilen herkes, kripto para cüzdanını kopyalayıp kendisine aitmiş üzere kullanabilir. Bu nedenle, kripto para yahut NFT (takas edilemeyen token) çalmak isteyen birçok siber hatalı bir kullanıcının asıl söz kümesini gaye alır.
Düzmece müşteri temsilcilerine dikkat
Kullanıcıları seed phrase’lerinden ayırmak için saldırganların kullandığı bir öbür sistem de kullanıcıların Twitter yahut Discord sunucu isteklerine karşılık veren bir müşteri temsilcisi üzere davranmak. Saldırganlar, “yardım” sunma mazeretiyle kullanıcılarla bağlantıya geçerek, seed phrase’lerini paylaşmalarını sağlayabilir.
Whale hesaplar
Whale (Balina) hesaplar, yüksek fiyatta kripto para yahut NFT içeren, yüksek profilli kripto para hesaplarıdır. Birtakım iddialara nazaran 40.000 “whale” hesap tüm NFT’lerin 80’ine sahiptir ve bu sebeple siber güvenlik suçluları için ülkü bir gayedir. Dolandırıcılar, birçok küçük yatırımcının bu whale’lerin cüzdanlarını izlediğini bilir ve kendi uydurma projelerine yatırım yapmaları için toplumsal mühendislik uygulamasına başvurur. Birçok yasal NFT projesi, akıllı mukaveleleri için kaynak kodlarını serbestçe yayınlar. Bu proje kodunun yayınlanmamış olması, muhtemel yatırımcılar için bir kırmızı bayrak olmalıdır.
Akıllı kontratlardaki açıklar
Kimi saldırganlar yasal akıllı kontratlardaki açıkları kullanmaya odaklanırken kimileri da farklı bir yaklaşım benimseyerek makus niyetli akıllı kontrat kodu biçiminde blok zincire yerleştirilen kendi ziyanlı yazılımlarını müellif. Berbat emelli akıllı kontratlar, tüm standart akıllı kontrat işlevlerine sahiptir, lakin beklenmedik biçimde hareket eder.
Cisco’dan çevrimiçi güvenliğin ipuçları
Cisco Orta Doğu ve Afrika Siber Güvenlik Yöneticisi Fady Younes bu yeni periyotla ilgili şunları söyledi: “İnternetin metaverse’e dönüşümüyle birlikte kullanıcılar, kuruluşlar, devletler ve işletmeler için yesyeni fırsatlar ve özelliklerin kapıları aralanıyor. Tüm bu imkanlara karşılık Web 3.0, korsanların ve hatalıların kullanabileceği güvenlik tehditlerini de içeriyor. Cisco Talos araştırma grubu; kripto para, blok zincir teknolojisi, merkezi olmayan dağıtılmış uygulama ve belge depolaması nedeniyle ortaya çıkan en yaygın güvenlik sıkıntılarını öne çıkarmak için detaylı bir çalışma yaptı. Araştırma, kullanıcıların çevrimiçiyken güvenliklerini sağlamak için nelere dikkat etmesi gerektiğine ait içgörüler de sunuyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı