Tiền điện tử Honeypot là gì và tại sao nó được sử dụng?
Các chương trình hợp đồng thông minh trên một mạng lưới các nút phi tập trung có thể được thực thi trên các blockchain hiện đại như Ethereum. Các hợp đồng thông minh ngày càng trở nên phổ biến và có giá trị, khiến chúng trở thành mục tiêu hấp dẫn hơn với những kẻ tấn công. Một số hợp đồng thông minh đã bị tin tặc nhắm mục tiêu trong những năm gần đây.
Tuy nhiên, một xu hướng mới dường như đang đạt được lực kéo; cụ thể là, những kẻ tấn công không còn tìm kiếm các hợp đồng nhạy cảm đang áp dụng một chiến lược chủ động hơn. Thay vào đó, họ nhằm mục đích lừa nạn nhân của họ rơi vào bẫy bằng cách gửi các hợp đồng ẩn chứa những cái bẫy. Honeypots là một thuật ngữ được sử dụng để mô tả loại hợp đồng độc đáo này. Nhưng, bẫy mật mã honeypot là gì?
Honeypots là hợp đồng thông minh có vẻ như có vấn đề về thiết kế cho phép người dùng tùy ý rút Ether (tiền tệ bản địa của Ethereum) khỏi hợp đồng nếu người dùng gửi trước một lượng Ether cụ thể vào hợp đồng. Tuy nhiên, khi người dùng cố gắng khai thác lỗ hổng này, một cửa sập sẽ mở ra lần thứ hai, chưa được biết đến, ngăn chặn việc rút ether thành công. Vì vậy, một honeypot làm gì?
Mục đích là người dùng tập trung hoàn toàn vào điểm yếu có thể nhìn thấy và bỏ qua bất kỳ dấu hiệu nào cho thấy hợp đồng có lỗ hổng thứ hai. Các cuộc tấn công của Honeypot hoạt động vì mọi người thường dễ dàng bị lừa, giống như các loại gian lận khác. Do đó, mọi người không phải lúc nào cũng có thể định lượng rủi ro khi đối mặt với sự hám lợi và các giả định của họ. Vì vậy, honeypots là bất hợp pháp?
Lừa đảo honeypot hoạt động như thế nào?
Trong các cuộc tấn công mạng bằng tiền điện tử như honeypots, tiền mặt của người dùng sẽ bị giam cầm và chỉ người tạo honeypot (kẻ tấn công) mới có thể khôi phục chúng. Một ấn mật ong thường hoạt động theo ba giai đoạn:
Để thiết lập honeypots trong hợp đồng thông minh Ethereum, kẻ tấn công không cần bất kỳ kỹ năng cụ thể nào. Trên thực tế, một kẻ tấn công có các kỹ năng tương tự như một người dùng Ethereum thông thường. Họ chỉ cần tiền để thiết lập hợp đồng thông minh và làm mồi cho nó. Nói chung, hoạt động honeypot bao gồm một máy tính, các chương trình và dữ liệu mô phỏng hành vi của một hệ thống thực, chẳng hạn như thiết bị Internet of Things, hệ thống ngân hàng, tiện ích công cộng hoặc mạng chuyển tiếp.
Mặc dù nó trông giống như một phần của mạng, nó vẫn bị cô lập và giám sát. Bởi vì người dùng hợp pháp không có động cơ để truy cập honeypot, mọi nỗ lực giao tiếp với nó đều bị coi là thù địch. Honeypots thường được triển khai trong khu phi quân sự (DMZ) của mạng. Chiến lược này tách nó ra khỏi mạng lưới sản xuất hàng đầu trong khi vẫn giữ cho nó kết nối. Một honeypot trong DMZ có thể được giám sát từ xa trong khi những kẻ tấn công truy cập nó, giảm nguy cơ một mạng chính bị xâm phạm.
Để phát hiện những nỗ lực xâm nhập vào mạng nội bộ, honeypots có thể được đặt bên ngoài tường lửa bên ngoài, đối diện với internet. Vị trí thực tế của honeypot phụ thuộc vào mức độ phức tạp của nó, loại lưu lượng truy cập mà nó muốn thu hút và mức độ gần với các nguồn lực kinh doanh quan trọng. Nó sẽ luôn được cách ly khỏi môi trường sản xuất, bất kể nó được đặt ở đâu.
Ghi nhật ký và xem hoạt động honeypot cung cấp thông tin chi tiết về mức độ và các loại mối đe dọa mà cơ sở hạ tầng mạng phải đối mặt trong khi chuyển hướng sự chú ý của những kẻ tấn công khỏi các tài sản trong thế giới thực. Honeypots có thể bị tội phạm mạng tiếp quản và sử dụng để chống lại công ty thiết lập chúng. Tội phạm mạng cũng đã sử dụng honeypots để lấy thông tin về các nhà nghiên cứu hoặc tổ chức, dùng làm mồi nhử và tuyên truyền thông tin sai lệch.
Honeypots thường được lưu trữ trên các máy ảo. Ví dụ: nếu honeypot bị xâm nhập bởi phần mềm độc hại, nó có thể được khôi phục nhanh chóng. Ví dụ: một mạng mật ong được tạo thành từ hai hoặc nhiều ổ cắm mật trên một mạng lưới, trong khi trang trại mật ong là một tập hợp các ổ mật ong và các công cụ phân tích tập trung.
Việc triển khai và quản trị Honeypot có thể được hỗ trợ bởi cả các giải pháp mã nguồn mở và thương mại. Các hệ thống Honeypot được bán riêng và honeypots được kết hợp với phần mềm bảo mật khác và được quảng cáo là công nghệ lừa gạt đều có sẵn. Phần mềm Honeypot có thể được tìm thấy trên GitHub, phần mềm này có thể hỗ trợ những người mới học cách sử dụng honeypots.
Các loại honeypots
Có hai loại honeypots dựa trên việc thiết kế và triển khai các hợp đồng thông minh: honeypots nghiên cứu và sản xuất. Honeypots để nghiên cứu thu thập thông tin về các cuộc tấn công và được sử dụng để phân tích hành vi thù địch trong tự nhiên.
Họ thu thập thông tin về xu hướng của kẻ tấn công, lỗ hổng bảo mật và các chủng phần mềm độc hại mà kẻ thù hiện đang nhắm mục tiêu bằng cách xem xét cả môi trường của bạn và thế giới bên ngoài. Thông tin này có thể giúp bạn quyết định các biện pháp phòng ngừa, các ưu tiên vá lỗi và các khoản đầu tư trong tương lai.
Mặt khác, honeypots sản xuất nhằm mục đích phát hiện sự xâm nhập mạng đang hoạt động và đánh lừa kẻ tấn công. Honeypots cung cấp thêm cơ hội giám sát và lấp đầy những khoảng trống phát hiện phổ biến xung quanh việc xác định quét mạng và chuyển động bên; do đó, việc lấy dữ liệu vẫn là trách nhiệm hàng đầu.
Sản xuất honeypots chạy các dịch vụ thường chạy trong môi trường của bạn cùng với phần còn lại của máy chủ sản xuất của bạn. Honeypots cho nghiên cứu phức tạp hơn và lưu trữ nhiều loại dữ liệu hơn honeypots để sản xuất.
Ngoài ra còn có nhiều cấp bên trong honeypots sản xuất và nghiên cứu, tùy thuộc vào mức độ tinh vi mà công ty của bạn yêu cầu:
- Honeypot tương tác cao: Loại này có thể so sánh với honeypot nguyên chất ở chỗ nó vận hành một số lượng lớn dịch vụ, nhưng kém phức tạp hơn và chứa ít dữ liệu hơn. Mặc dù honeypots có tính tương tác cao không nhằm tái tạo các hệ thống sản xuất quy mô đầy đủ, nhưng chúng chạy (hoặc có vẻ như chạy) tất cả các dịch vụ thường được liên kết với hệ thống sản xuất, bao gồm cả các hệ điều hành đang hoạt động.
Công ty triển khai có thể quan sát thói quen và chiến lược của kẻ tấn công bằng cách sử dụng biểu mẫu honeypot này. Honeypots có tính tương tác cao cần nhiều tài nguyên và khó bảo trì, nhưng kết quả có thể xứng đáng.
- Honeypot tương tác giữa: Những đặc điểm này bắt chước các đặc điểm của lớp ứng dụng nhưng thiếu hệ điều hành của chúng. Họ cố gắng can thiệp hoặc làm bối rối những kẻ tấn công để các doanh nghiệp có thêm thời gian tìm ra cách phản ứng phù hợp với một cuộc tấn công.
- Honeypot tương tác thấp: Đây là honeypot phổ biến nhất được sử dụng trong môi trường sản xuất. Mật ong tương tác thấp chạy một số dịch vụ và chủ yếu được sử dụng như một công cụ phát hiện cảnh báo sớm. Nhiều nhóm bảo mật cài đặt nhiều honeypots trên các phân đoạn khác nhau của mạng vì chúng dễ thiết lập và duy trì.
- Honeypot nguyên chất: Hệ thống sản xuất quy mô lớn này chạy trên nhiều máy chủ. Nó chứa đầy các cảm biến và bao gồm dữ liệu “bí mật” và thông tin người dùng. Thông tin họ cung cấp là vô giá, mặc dù việc quản lý có thể phức tạp và đầy thách thức.
Một số công nghệ honeypot
Sau đây là một số công nghệ honeypot đang được sử dụng:
- Các honeypots máy khách: Phần lớn các honeypots là các máy chủ đang lắng nghe các kết nối. Các honeypots của khách hàng chủ động tìm kiếm các máy chủ độc hại nhắm mục tiêu đến các khách hàng và họ theo dõi honeypot để biết bất kỳ thay đổi đáng ngờ hoặc không mong muốn nào. Các hệ thống này thường được ảo hóa và có kế hoạch ngăn chặn để giữ an toàn cho nhóm nghiên cứu.
- Mật ong phần mềm độc hại: Những phần mềm này xác định phần mềm độc hại bằng cách sử dụng các kênh sao chép và tấn công đã thiết lập. Honeypots (chẳng hạn như Ghost) đã được thiết kế để trông giống như thiết bị lưu trữ USB. Ví dụ: nếu một máy bị nhiễm phần mềm độc hại lây lan qua USB, honeypot sẽ đánh lừa phần mềm độc hại lây nhiễm sang thiết bị mô phỏng.
- Honeynet: Một honeynet là một mạng lưới gồm nhiều honeypots chứ không phải là một hệ thống duy nhất. Honeynet được thiết kế để theo dõi các hành động và động cơ của kẻ tấn công trong khi chứa tất cả các thông tin liên lạc đến và đi.
- Các chuyển tiếp thư mở và proxy mở được mô phỏng bằng cách sử dụng honeypots thư rác. Trước tiên, những kẻ gửi thư rác sẽ tự gửi cho mình một email để kiểm tra khả năng chuyển tiếp thư có sẵn. Nếu họ thành công, họ sẽ gửi đi một lượng lớn thư rác. Hình thức honeypot này có thể phát hiện và nhận dạng bài kiểm tra và chặn thành công lượng lớn thư rác sau đó.
- Honeypot cơ sở dữ liệu: Vì việc tiêm ngôn ngữ truy vấn có cấu trúc thường có thể không bị tường lửa phát hiện, một số tổ chức sẽ triển khai tường lửa cơ sở dữ liệu để xây dựng cơ sở dữ liệu mồi nhử và hỗ trợ honeypot.
Làm thế nào để phát hiện một honeypot tiền điện tử?
Kiểm tra lịch sử giao dịch là một kỹ thuật để nhận ra gian lận tiền điện tử honeypot. Nói chung, một loại tiền điện tử sẽ cho phép bạn mua và bán nó bất cứ khi nào bạn muốn. Sẽ có rất nhiều lần mua đồng xu trong một trò lừa đảo honeypot, nhưng mọi người sẽ gặp khó khăn khi bán nó. Điều này cho thấy rằng nó không phải là một đồng tiền hợp pháp và bạn nên tránh nó.
Hơn nữa, cách tiếp cận khoa học dữ liệu dựa trên hành vi giao dịch hợp đồng có thể được sử dụng để phân loại hợp đồng là honeypots hoặc non honeypots.
Có thể phát sinh ở đâu trong hợp đồng thông minh Ethereum?
Honeypots có thể xuất hiện trong ba lĩnh vực khác nhau của việc triển khai hợp đồng thông minh Ethereum. Đây là ba cấp độ:
- Máy ảo Etheruem (EVM) – Mặc dù EVM tuân theo một bộ tiêu chuẩn và quy tắc được thiết lập tốt, những người viết hợp đồng thông minh có thể trình bày mã của họ theo cách thoạt nhìn gây hiểu lầm hoặc không rõ ràng. Những chiến thuật này có thể gây tốn kém cho những kẻ tấn công không ngờ tới.
- Trình biên dịch solidity-Trình biên dịch là lĩnh vực thứ hai mà các nhà phát triển hợp đồng thông minh có thể tận dụng. Trong khi một số lỗi cấp trình biên dịch nhất định được ghi chép đầy đủ, những lỗi khác có thể không. Những vết mật ong này có thể khó phát hiện trừ khi hợp đồng đã được kiểm tra trong cài đặt thế giới thực.
- Trình khám phá blockchain Etherscan-Loại honeypot thứ ba dựa trên thực tế là dữ liệu được trình bày trên các trình khám phá blockchain là không đầy đủ. Trong khi nhiều người ngầm tin rằng dữ liệu của Etherscan, nó không nhất thiết cho thấy bức tranh toàn cảnh. Mặt khác, các nhà phát triển hợp đồng thông minh khôn ngoan có thể tận dụng một số điều kỳ quặc của nhà thám hiểm.
Làm thế nào để bảo vệ khỏi lừa đảo hợp đồng honeypot?
Phần này hướng dẫn cách thoát khỏi những trò lừa đảo mật ong để tránh mất tiền của bạn. Có các công cụ có sẵn để hỗ trợ bạn nhìn thấy các tín hiệu màu đỏ và tránh các loại tiền tệ này. Ví dụ: sử dụng Etherscan nếu đồng tiền bạn đang mua trên mạng Ethereum hoặc sử dụng BscScan nếu đồng tiền đang được xem xét nằm trên Chuỗi thông minh Binance .
Tìm ID Token của đồng xu của bạn và nhập mã đó trên trang web thích hợp. Đi tới “Trình theo dõi mã thông báo” trên trang tiếp theo. Một tab có nhãn “Người nắm giữ ” sẽ xuất hiện. Bạn có thể thấy tất cả các ví chứa mã thông báo và nhóm thanh khoản ở đó. Thật không may, có rất nhiều tổ hợp các mục cần lưu ý. Sau đây là một số dấu hiệu cho thấy bạn nên biết để bảo vệ khỏi những trò gian lận tiền điện tử của honeypot:
- Không có đồng nào chết: Nếu hơn 50% số tiền nằm trong ví chết, thì dự án được bảo vệ tương đối khỏi các lần kéo thảm (nhưng không phải là honeypot) (thường được xác định là 0x0000000000000000000000000000000000dead). Nếu ít hơn một nửa số đồng xu đã chết hoặc không có đồng nào chết, hãy thận trọng.
- Không có kiểm toán: Cơ hội có một honeypot gần như luôn bị loại bỏ nếu một công ty đáng tin cậy kiểm tra chúng.
- Chủ sở hữu ví lớn: Tránh tiền điện tử chỉ có một hoặc một vài ví.
- Xem xét kỹ lưỡng trang web của họ: Điều này sẽ khá đơn giản; Tuy nhiên, nếu trang web xuất hiện vội vã và phát triển kém, đây là một dấu hiệu cảnh báo! Một mẹo nhỏ là truy cập whois.domaintools.com và nhập tên miền vào để xem thời điểm nó được đăng ký cho một trang web. Bạn có thể chắc chắn đó là một gian lận nếu miền được đăng ký trong vòng 24 giờ hoặc ít hơn kể từ khi bắt đầu dự án.
- Kiểm tra phương tiện truyền thông xã hội của họ: Các dự án lừa đảo thường có ảnh bị đánh cắp và chất lượng thấp, các vấn đề về ngữ pháp và “tin nhắn rác” không hấp dẫn (chẳng hạn như “bỏ địa chỉ ETH của bạn bên dưới!”), Không có liên kết đến thông tin dự án có liên quan, v.v.
Token Sniffer là một tài nguyên tuyệt vời khác để phát hiện tiền điện tử honeypot. Tìm kiếm kết quả “Kiểm tra hợp đồng tự động” bằng cách nhập ID mã thông báo ở góc trên cùng bên phải. Tránh xa dự án nếu có bất kỳ cảnh báo nào. Bởi vì nhiều dự án hiện sử dụng các mẫu hợp đồng, dấu hiệu “Không có hợp đồng mã thông báo tương tự trước đây” có thể là một dương tính giả.
Nếu đồng xu của bạn được liệt kê trên Chuỗi thông minh Binance, hãy truy cập PooCoin , nhập lại ID Token và theo dõi các biểu đồ. Tránh xa nếu không có ví nào đang bán hoặc nếu chỉ có một hoặc hai ví đang bán đồng tiền bạn đã chọn. Rất có thể, đó là một cái ấm đựng mật ong. Nó không phải là một honeypot nếu nhiều ví đang bán đồng tiền đã chọn. Cuối cùng, bạn nên tiến hành nghiên cứu kỹ lưỡng trước khi chia tay với số tiền khó kiếm được khi mua tiền điện tử.
Honeypot khác với honeynet như thế nào?
Honeynet là một mạng được tạo thành từ hai hoặc nhiều honeypots. Có thể có lợi khi có một mạng honeypot được kết nối. Nó cho phép các doanh nghiệp theo dõi cách kẻ tấn công tương tác với một tài nguyên hoặc điểm mạng và cách kẻ xâm lược di chuyển giữa các điểm mạng và tương tác với nhiều điểm cùng một lúc.
Mục đích là thuyết phục tin tặc rằng họ đã xâm nhập mạng thành công; do đó, việc thêm nhiều vị trí mạng sai lệch vào tính hiện thực của sự sắp xếp. Honeypots và honeynet với các triển khai nâng cao hơn, chẳng hạn như tường lửa thế hệ tiếp theo , hệ thống phát hiện xâm nhập (IDSes) và cổng web an toàn , được gọi là công nghệ lừa dối. Hệ thống phát hiện xâm nhập đề cập đến một thiết bị hoặc chương trình phần mềm theo dõi hoạt động thù địch hoặc vi phạm chính sách trên mạng. Các khả năng tự động của công nghệ đánh lừa cho phép một honeypot phản hồi những kẻ tấn công tiềm năng trong thời gian thực.
Honeypots có thể hỗ trợ các công ty theo kịp bối cảnh rủi ro luôn thay đổi khi các mối đe dọa mạng xuất hiện. Honeypots cung cấp thông tin quan trọng để đảm bảo tổ chức được chuẩn bị sẵn sàng và có thể là phương tiện tốt nhất để bắt kẻ tấn công đang hành động, mặc dù không thể dự báo và ngăn chặn mọi cuộc tấn công. Họ cũng là một nguồn kiến thức tốt cho các chuyên gia an ninh mạng.
Ưu và nhược điểm của honeypots là gì?
Honeypots thu thập dữ liệu từ các cuộc tấn công chính hãng và các hoạt động bất hợp pháp khác, cung cấp cho các nhà phân tích nhiều kiến thức. Hơn nữa, có ít dương tính giả hơn. Ví dụ: các hệ thống phát hiện an ninh mạng thông thường có thể tạo ra nhiều kết quả dương tính giả, nhưng một honeypot giảm thiểu số lượng các kết quả dương tính giả vì người dùng chính hãng không có động cơ để liên hệ với honeypot.
Ngoài ra, honeypots là khoản đầu tư đáng giá vì chúng chỉ tương tác với các hành động có hại và không yêu cầu tài nguyên hiệu suất cao để xử lý khối lượng dữ liệu mạng khổng lồ nhằm tìm kiếm các cuộc tấn công. Cuối cùng, ngay cả khi kẻ tấn công đang sử dụng mã hóa, honeypots có thể phát hiện ra các hoạt động độc hại.
Mặc dù honeypots mang lại nhiều ưu điểm nhưng chúng cũng có rất nhiều nhược điểm và rủi ro. Ví dụ, honeypots chỉ thu thập dữ liệu trong trường hợp bị tấn công. Không có nỗ lực nào để truy cập vào honeypot; do đó, không tồn tại dữ liệu để kiểm tra cuộc tấn công.
Hơn nữa, lưu lượng độc hại do mạng honeypot thu được chỉ được thu thập khi một cuộc tấn công được thực hiện chống lại nó; nếu kẻ tấn công nghi ngờ mạng là một honeypot, họ sẽ tránh nó.
Honeypots thường có thể nhận biết được từ các hệ thống sản xuất hợp pháp, điều này ngụ ý rằng các tin tặc lành nghề có thể dễ dàng phân biệt hệ thống sản xuất với hệ thống honeypot bằng kỹ thuật lấy dấu vân tay của hệ thống.
Mặc dù thực tế là honeypots được cách ly khỏi mạng thực, nhưng cuối cùng chúng vẫn kết nối theo một cách nào đó để cho phép quản trị viên truy cập vào dữ liệu mà họ nắm giữ. Bởi vì nó tìm cách dụ tin tặc truy cập root, một honeypot tương tác cao thường được coi là rủi ro hơn so với một honeypot tương tác thấp.
Nhìn chung, honeypots hỗ trợ các nhà nghiên cứu hiểu được rủi ro trong hệ thống mạng, nhưng chúng không nên được sử dụng thay cho IDS tiêu chuẩn. Ví dụ: nếu một honeypot không được thiết lập đúng cách, nó có thể bị lợi dụng để truy cập vào các hệ thống trong thế giới thực hoặc một bệ phóng để tấn công các hệ thống khác.