index
index
Guia do iniciante
Comece aqui
Cursos
Artigos
TudoAltcoinBitcoinรายการบันทึกบล็อกเชนDeFiEthereumMetaverseNFTการเทรดบทแนะนำฟิวเจอร์สTrading BotBRC-20GameFiDAOMacro TrendsWalletsInscriptionเทคโนโลยีMemeAISocialFiDePinStablecoinLiquid StakingการเงินRWAบล็อกเชนแบบโมดูลาร์ บทพิสูจน์ความรู้เป็นศูนย์ Restakingเครื่องมือคริปโตAirdropผลิตภัณฑ์ Gateความปลอดภัยการวิเคราะห์โครงการCryptoPulseวิจัยTON EcosystemLayer 2SolanaPaymentsMiningหัวข้อยอดนิยมP2PSui EcosystemChain Abstractionออปชันอ่านสั้นๆวิดีโอรายงานประจำวัน
Glossário
Pesquisa
Meus favoritos
Creator Incentive
Atividades
Arena do criador
Embaixador do campus
Festival de criadores de vídeo
Desafio Diário de Estudo
Check-in no ponto de acesso
Learn
ความปลอดภัยของ Web3 อธิบาย: การสร้างความเสียหายเป็นล้านดอลลาร์จากส่วนขยาย Chrome ขนาดเล็กได้อย่างไร?

ความปลอดภัยของ Web3 อธิบาย: การสร้างความเสียหายเป็นล้านดอลลาร์จากส่วนขยาย Chrome ขนาดเล็กได้อย่างไร?

กลาง
SocialFi
6/28/2024, 2:07:17 AM
บทความนี้รายละเอียดเหตุการณ์ที่ผู้ใช้ Twitter ชื่อ @CryptoNakamao สูญเสีย $1 ล้านเนื่องจากการดาวน์โหลดส่วนขยาย Chrome ชื่อ Aggr ที่เป็นโปรแกรมที่ไม่ดี ซึ่งทำให้มีความกังวลในกลุ่มชุมชนคริปโตเกี่ยวกับความเสี่ยงของส่วนขยาย

พื้นหลัง

ในวันที่ 3 มิถุนายน 2024 ผู้ใช้ทวิตเตอร์@CryptoNakamao แบ่งปันประสบการณ์ของพวกเขาในการสูญเสีย $ 1 ล้านเนื่องจากการดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตราย Aggr จุดประกายความกังวลในหมู่ชุมชน crypto เกี่ยวกับความเสี่ยงของส่วนขยายและความปลอดภัยของสินทรัพย์ของตนเอง เมื่อวันที่ 31 พฤษภาคม ทีมรักษาความปลอดภัย SlowMist ได้เผยแพร่บทวิเคราะห์เรื่อง "หมาป่าในเสื้อผ้าแกะ | การวิเคราะห์การขโมยส่วนขยาย Chrome เท็จ" โดยมีรายละเอียดการกระทําที่เป็นอันตรายของส่วนขยาย Aggr เนื่องจากผู้ใช้ขาดความรู้พื้นฐานเกี่ยวกับส่วนขยายเบราว์เซอร์หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ SlowMist 23pds จึงใช้รูปแบบ Q&A ในบทความเพื่ออธิบายพื้นฐานและความเสี่ยงที่อาจเกิดขึ้นของส่วนขยาย พวกเขายังให้คําแนะนําเพื่อลดความเสี่ยงในการขยายโดยมีเป้าหมายเพื่อช่วยให้ผู้ใช้รายบุคคลและแพลตฟอร์มการซื้อขายเพิ่มความปลอดภัยของบัญชีและทรัพย์สินของพวกเขา


(https://x.com/im23pds/status/1797528115897626708)

Q&A

1. Chrome คือส่วนขยาย

ส่วนขยาย Chrome คือปลั๊กอินที่ออกแบบมาสำหรับ Google Chrome เพื่อขยายความสามารถและพฤติกรรมของเบราว์เซอร์ ส่วนขยายเหล่านี้สามารถปรับแต่งประสบการณ์การเรียกดูของผู้ใช้ เพิ่มคุณลักษณะหรือเนื้อหาใหม่ ๆ และทำงานร่วมกับเว็บไซต์ ส่วนขยาย Chrome 通常จะถูกสร้างขึ้นโดยใช้ HTML, CSS, JavaScript, และเทคโนโลยีเว็บอื่น ๆ โครงสร้างของส่วนขยาย Chrome มักจะประกอบด้วยส่วนประกอบต่อไปนี้:

  1. manifest.json: ไฟล์กำหนดค่าของส่วนขยาย ที่กำหนดข้อมูลพื้นฐาน เช่น ชื่อ เวอร์ชัน สิทธิ ฯลฯ
  2. สคริปต์พื้นหลัง: สคริปต์ที่ทำงานอยู่ในพื้นหลังของเบราว์เซอร์ จัดการเหตุการณ์และงานที่ใช้เวลานาน
  3. สคริปต์เนื้อหา: สคริปต์ที่ทำงานในบริบทของหน้าเว็บ ทำให้สามารถทำงานร่วมกับหน้าเว็บได้โดยตรง
  4. อินเตอร์เฟซผู้ใช้ (UI): รวมถึงองค์ประกอบเช่น ปุ่มแถบเครื่องมือบราวเซอร์, หน้าต่างป๊อปอัพ, หน้าเว็บตัวเลือก ฯลฯ

2. ส่วนขยาย Chrome ทำอะไร?

  1. Ad Blockers: โปรแกรมส่วนเสริมที่สามารถดักและบล็อกโฆษณาบนหน้าเว็บ ซึ่งจะช่วยปรับปรุงความเร็วในการโหลดหน้าเว็บและประสบการณ์ของผู้ใช้ ตัวอย่างเช่น AdBlock และ uBlock Origin
  2. ความเป็นส่วนตัวและความปลอดภัย: บางส่วนขยายพันธะเสริมความเป็นส่วนตัวและความปลอดภัยของผู้ใช้โดยป้องกันการติดตาม การเข้ารหัสการสื่อสาร การจัดการรหัสผ่าน ฯลฯ ตัวอย่างเช่น Privacy Badger และ LastPass
  3. เครื่องมือเพื่อเพิ่มผลิตภาพ: ส่วนขยายที่ช่วยให้ผู้ใช้เพิ่มผลิตภาพ เช่น การจัดการงาน การจดบันทึก การติดตามเวลา ฯลฯ ตัวอย่างเช่น Todoist และ Evernote Web Clipper
  4. เครื่องมือสำหรับนักพัฒนาเว็บที่ให้ความสามารถในการดีบักและพัฒนา เช่น การตรวจสอบโครงสร้างของหน้าเว็บ การดีบักโค้ด การวิเคราะห์คำขอเครือข่าย เป็นต้น ตัวอย่างเช่น React Developer Tools และ Postman
  5. สื่อสังคมและการสื่อสาร: ส่วนขยายที่ผสมผสานเครื่องมือสื่อสังคมและการสื่อสาร เพื่อให้ผู้ใช้สามารถจัดการการแจ้งเตือนสื่อสังคม ข้อความ ฯลฯ ขณะที่เรียกดู เช่น เช่น Grammarly และ Facebook Messenger
  6. การปรับแต่งเว็บ: ผู้ใช้สามารถปรับแต่งลักษณะและพฤติกรรมของหน้าเว็บโดยใช้ส่วนขยาย เช่น เปลี่ยนธีม จัดเรียงองค์ประกอบของหน้า การเพิ่มฟังก์ชันเพิ่มเติม ฯลฯ ตัวอย่างเช่น Stylish และ Tampermonkey
  7. งานอัตโนมัติ: ส่วนขยายที่ช่วยในการอัตโนมัติงานที่ซ้ำซาก เช่น การกรอกแบบฟอร์ม การดาวน์โหลดไฟล์เป็นกลุ่ม เป็นต้น ตัวอย่างเช่น iMacros และ DownThemAll
  8. การแปลภาษา: ส่วนขยายบางตัวสามารถแปลเนื้อหาของหน้าเว็บเรียลไทม์ ช่วยให้ผู้ใช้เข้าใจหน้าเว็บในภาษาต่าง ๆ เช่น Google Translate
  9. การช่วยเหลือด้านสกุลเงินดิจิตอล: ส่วนขยายที่ช่วยให้ประสบการณ์การซื้อขายสกุลเงินดิจิตอลของผู้ใช้ง่ายขึ้น เช่น MetaMask ฯลฯ

ความยืดหยุ่นและความหลากหลายของส่วนขยายของ Chrome ช่วยให้สามารถนำไปใช้ในสถานการณ์การเรียกดูเกือบทุกประการ ช่วยให้ผู้ใช้สามารถทำงานได้มีประสิทธิภาพมากขึ้น

3. สิทธิ์ที่ส่วนขยาย Chrome มีหลังจากติดตั้งแล้วคืออะไร?

หลังจากการติดตั้ง ส่วนขยายของ Chrome อาจขออนุญาตให้ใช้ฟังก์ชันที่ระบุไว้ การอนุญาตเหล่านี้ถูกกำหนดไว้ในไฟล์ manifest.json ของส่วนขยายและให้ผู้ใช้ยืนยันระหว่างการติดตั้ง การอนุญาตที่พบบ่อยรวมถึง:

  1. <all_urls>: อนุญาตให้ส่วนขยายเข้าถึงเนื้อหาจากเว็บไซต์ทั้งหมด การอนุญาตที่กว้างขวางนี้ทำให้ส่วนขยายสามารถอ่านและปรับเปลี่ยนข้อมูลบนเว็บไซต์ทั้งหมด
  2. tabs: ช่วยให้ส่วนขยายสามารถเข้าถึงข้อมูลเกี่ยวกับแท็บของเบราวเซอร์ รวมถึงการเข้าถึงแท็บที่เปิดอยู่ในปัจจุบัน การสร้างและปิดแท็บ ฯลฯ
  3. activeTab: ช่วยให้ส่วนขยายเข้าถึงแท็บที่กำลังใช้งานอยู่ชั่วคราวโดยทั่วไปใช้เพื่อดำเนินการเฉพาะเจาะจงเมื่อผู้ใช้คลิกที่ปุ่มส่วนขยาย
  4. storage: ช่วยให้ส่วนขยายสามารถใช้ Chrome's storage API เพื่อเก็บรักษาและดึงข้อมูล สามารถนำมาใช้สำหรับการบันทึกการตั้งค่าส่วนขยาย ข้อมูลผู้ใช้ ฯลฯ
  5. คุกกี้: ช่วยให้ส่วนขยายสามารถเข้าถึงและแก้ไขคุกกี้ในเบราว์เซอร์
  6. webRequest และ webRequestBlocking: อนุญาตให้ส่วนขยายสติปัญญาประมวลผลและแก้ไขคำขอเครือข่าย สิทธิเหล่านี้มักถูกใช้ในส่วนขยายการบล็อกโฆษณาและการป้องกันความเป็นส่วนตัว
  7. บุ๊คมาร์ก: อนุญาตให้ส่วนขยายสามารถเข้าถึงและปรับเปลี่ยนบุ๊คมาร์กของเบราว์เซอร์
  8. ประวัติศาสตร์: ช่วยให้สามารถเข้าถึงและแก้ไขประวัติของเบราว์เซอร์ได้
  9. การแจ้งเตือน: อนุญาตให้ส่วนขยายแสดงการแจ้งเตือนบนเดสก์ท็อป
  10. contextMenus: ช่วยให้ส่วนขยายสามารถเพิ่มรายการเมนูที่กำหนดเองไปยังเมนูบราวเซอร์ (เมนูคลิกขวา)
  11. geolocation: ช่วยให้ส่วนขยายสามารถเข้าถึงข้อมูลตำแหน่งทางภูมิศาสตร์ของผู้ใช้ได้
  12. clipboardRead และ clipboardWrite: อนุญาตให้ส่วนขยายอ่านจากและเขียนไปยังคลิปบอร์ด
  13. downloads: ช่วยให้ส่วนขยายสามารถจัดการดาวน์โหลด รวมถึงเริ่ม พัก และยกเลิกการดาวน์โหลด
  14. การจัดการ: ช่วยให้สามารถจัดการส่วนขยายอื่น ๆ และแอปพลิเคชันในเบราว์เซอร์ได้
  15. พื้นหลัง: ช่วยให้ส่วนขยายสามารถทำงานระยะยาวในพื้นหลัง
  16. การแจ้งเตือน: อนุญาตให้ส่วนขยายแสดงการแจ้งเตือนของระบบ
  17. webNavigation: ช่วยให้ส่วนขยายสามารถตรวจสอบและปรับเปลี่ยนพฤติกรรมการนำทางของเบราว์เซอร์

การอนุญาตเหล่านี้ช่วยให้ส่วนขยายของ Chrome สามารถดำเนินการฟังก์ชันที่มีพลังและหลากหลายมาก แต่ก็หมายความว่าส่วนขยายอาจเข้าถึงข้อมูลของผู้ใช้ที่เป็นข้อมูลที่อ่อนไหว เช่น คุกกี้ ข้อมูลการตรวจสอบสิทธิ์ และอื่น ๆ

4.ทำไมส่วนขยาย Chrome ที่ไม่ดีสามารถขโมยสิทธิ์ผู้ใช้ได้?

ส่วนขยาย Chrome ที่เจ้าชัดใช้สิทธิ์ที่ขอไว้เพื่อขโมยข้อมูลประจำตัวและข้อมูลการตรวจสอบของผู้ใช้ได้ เนื่องจากส่วนขยายเหล่านี้สามารถเข้าถึงโดยตรงและสามารถจัดการสภาพแวดล้อมและข้อมูลของเบราว์เซอร์ของผู้ใช้ได้

  1. การเข้าถึงที่หลากหลาย: ส่วนขยายที่ไม่ดีทั้งหมดมักขอสิทธิ์ที่กว้างขวาง เช่น เข้าถึงเว็บไซต์ทั้งหมด (), อ่านและแก้ไขแท็บของเบราว์เซอร์ (แท็บ), และเข้าถึงพื้นที่จัดเก็บของเบราว์เซอร์ (พื้นที่จัดเก็บ) สิทธิ์เหล่านี้ทำให้ส่วนขยายที่ไม่ดีสามารถเข้าถึงกิจกรรมการเรียกดูและข้อมูลการเรียกดูของผู้ใช้ได้อย่างกว้างขวาง
  2. การจัดการคำขอเครือข่าย: ส่วนขยายที่ไม่ดีอาจใช้สิทธิ webRequest และ webRequestBlocking เพื่อทำการดักและปรับเปลี่ยนคำขอเครือข่าย ซึ่งทำให้สามารถขโมยข้อมูลการตรวจสอบสิทธิและข้อมูลที่อ่อนไหวของผู้ใช้ได้ เช่น พวกเขาสามารถดักจับข้อมูลแบบฟอร์มเมื่อผู้ใช้เข้าสู่เว็บไซต์เพื่อรับชื่อผู้ใช้และรหัสผ่าน
  3. การอ่านและเขียนเนื้อหาของหน้า: ผ่านสคริปต์เนื้อหา ส่วนขยายที่เป็นอันตรายสามารถฝังรหัสลงในหน้าเว็บเพื่ออ่านและปรับเปลี่ยนเนื้อหาของหน้า ซึ่งหมายความว่าพวกเขาสามารถขโมยข้อมูลใด ๆ ที่ผู้ใช้ป้อนในหน้าเว็บ เช่น ข้อมูลแบบฟอร์มและคำค้นหา
  4. การเข้าถึงพื้นที่จัดเก็บข้อมูลของเบราว์เซอร์: ส่วนขยายที่เป็นอันตรายอาจใช้สิทธิ์การจัดเก็บข้อมูลเพื่อเข้าถึงและเก็บข้อมูลท้องถิ่นของผู้ใช้ รวมถึงพื้นที่จัดเก็บข้อมูลของเบราว์เซอร์ซึ่งอาจมีข้อมูลที่ละเอียดอ่อน (เช่น LocalStorage และ IndexedDB)
  5. การควบคุมคลิปบอร์ด: ด้วยการอนุญาตให้อ่านและเขียนคลิปบอร์ด ส่วนขยายที่ไม่เป็นที่ดีสามารถอ่านและเขียนเนื้อหาคลิปบอร์ดของผู้ใช้ ซึ่งอาจทำให้เกิดการโดนขโมยหรือแก้ไขข้อมูลที่ผู้ใช้คัดลอกและวาง
  6. การปลอมแอพเสริมอันตรายสามารถปลอมตัวเองให้เป็นเว็บไซต์ที่ถูกต้องโดยการแก้ไขเนื้อหาของเบราว์เซอร์หรือเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บปลอม หลอกผู้ใช้ให้ป้อนข้อมูลที่ละเอียด
  7. การทำงานในพื้นหลังเป็นเวลายาว: ส่วนขยายที่ไม่ดีที่มีสิทธิ์การทำงานในพื้นหลังสามารถทำงานอย่างต่อเนื่องในพื้นหลัง แม้กระทั้งผู้ใช้ไม่ได้ใช้งานอย่างมั่นใจ สิ่งนี้ช่วยให้พวกเขาสามารถติดตามกิจกรรมของผู้ใช้เป็นเวลายาวและเก็บข้อมูลจำนวนมาก
  8. การปรับแต่งการดาวน์โหลด: โดยใช้สิทธิ์การดาวน์โหลด ส่วนขยายที่เป็นอันตรายสามารถดาวน์โหลดและดำเนินการกับไฟล์ที่เป็นอันตรายต่อไป ซึ่งเสี่ยงทำให้ความปลอดภัยของระบบผู้ใช้ล้มเหลว

5.ทำไมเหยื่อของส่วนขยายที่อันตรายนี้ถูกขโมยสิทธิและเงินทุนของพวกเขาถูกละเมิด?

เนื่องจากส่วนขยาย Aggr ที่เติบโตนี้ได้รับข้อมูลพื้นหลังที่เราพึงพูดถึงเมื่อกี้ นี่คือข้อมูลย่อจากส่วนอนุญาตในไฟล์ manifest.json ของมัน:

  1. คุกกี้
  2. แท็บ
  4. การจัดเก็บ

6. หลังจากที่ขยายความชั่วร้ายของ Chrome ขโมยคุกกี้ของผู้ใช้ไปแล้ว มันสามารถทำอะไรได้บ้าง?

  1. การเข้าถึงบัญชี: ส่วนขยายที่ไม่ดีอาจใช้คุกกี้ที่ถูกขโมยเพื่อจำลองการเข้าสู่ระบบของผู้ใช้ในแพลตฟอร์มซื้อขายเหรียญดิจิทัล ซึ่งจะทำให้สามารถเข้าถึงข้อมูลบัญชีของผู้ใช้ได้รวมถึงยอดคงเหลือและประวัติธุรกรรม
  2. การดำเนินธุรกรรม: คุกกี้ที่ถูกขโมยอาจทำให้ส่วนขยายที่ไม่เป็นครอบครองกระทำการซื้อหรือขายสกุลเงินดิจิทัลหรือโอนสินทรัพย์ไปยังบัญชีอื่นๆโดยไม่ได้รับความยินยอมจากผู้ใช้
  3. เมื่อถอนเงิน: หากคุกกี้มีข้อมูลเซสชันและโทเค็นการตรวจสอบสิทธิ์อาจทำให้ส่วนขยายที่เกี่ยวกับการโจมตีข้ามสองขั้นตอนการตรวจสอบสิทธิ์ (2FA) และเริ่มการถอนเงินโอนเงินของผู้ใช้สู่กระเป๋าเงินที่ควบคุมโดยผู้โจมตี
  4. การเข้าถึงข้อมูลที่เป็นสารวัตร: ส่วนขยายที่เป็นอันตรายสามารถเข้าถึงและเก็บรวบรวมข้อมูลที่เป็นสารวัตรในบัญชีแพลตฟอร์มการซื้อขายของผู้ใช้ เช่น เอกสารการพิสูจน์สิทธิและที่อยู่ ซึ่งอาจถูกใช้สำหรับกิจกรรมการปลอมประมาทริหรือการฉ้อโกงเพิ่มเติม
  5. การปรับเปลี่ยนตั้งค่าบัญชี: ส่วนขยายที่เป็นอันตรายสามารถเปลี่ยนตั้งค่าบัญชีของผู้ใช้ เช่น ที่อยู่อีเมลที่ผูกและหมายเลขโทรศัพท์ โดยควบคุมบัญชีเพิ่มเติมและขโมยข้อมูลเพิ่มเติม
  6. การปลอมตัวเป็นผู้ใช้เพื่อการโจมตีด้านสังคม: การใช้บัญชีผู้ใช้เพื่อการโจมตีด้านสังคม เช่น การส่งข้อความที่เป็นปลอมไปยังผู้ติดต่อของผู้ใช้ หลงใหลให้เข้ามาทำการที่ไม่ปลอดภัย หรือให้ข้อมูลที่สำคัญมากขึ้น

การตอบ

เห็นแบบนี้ ผู้ใช้หลายคนอาจสงสัยว่า “ฉันควรทำอย่างไร? ควรตัดการเชื่อมต่ออินเทอร์เน็ตและหยุดใช้งานทั้งหมดหรือไม่? ควรใช้คอมพิวเตอร์แยกต่างหากสำหรับการทำงานหรือไม่? ควรหลีกเลี่ยงการเข้าสู่ระบบผ่านหน้าเว็บไซต์หรือไม่? มีคำแนะนำที่สุดขีดมากมายออนไลน์ แต่ในความเป็นจริง เราสามารถเรียนรู้วิธีป้องกันความเสี่ยงเช่นนี้อย่างมีเหตุผล:

มาตรการช่วยเหลือของผู้ใช้ส่วนบุคคล:

  1. เพิ่มความตั้งใจในการรักษาความปลอดภัยส่วนบุคคล: ข้อเสนอการป้องกันครั้งแรกคือการเพิ่มความตั้งใจในการรักษาความปลอดภัยส่วนบุคคลและรักษาท่าทางที่สงสัยตลอดเวลา
  2. ติดตั้งส่วนขยายเฉพาะจากแหล่งที่เชื่อถือได้: ติดตั้งส่วนขยายจาก Chrome Web Store หรือแหล่งที่เชื่อถือได้อื่น ๆ อ่านความคิดเห็นจากผู้ใช้และคำขอสิทธิ์ และหลีกเลี่ยงการให้สิทธิ์การเข้าถึงที่ไม่จำเป็นให้กับส่วนขยาย
  3. ใช้สภาพแวดล้อมการเรียกดูที่ปลอดภัย: หลีกเลี่ยงการติดตั้งส่วนขยายจากแหล่งที่ไม่รู้จัก ตรวจสอบและลบส่วนขยายที่ไม่จำเป็นอย่างสม่ำเสมอ พิจารณาที่จะใช้เบราว์เซอร์ที่แตกต่างกันสำหรับการเรียกดูปลั๊กอินแยกต่างหากและการเรียกดูธุรกรรมเงินทุน
  4. ตรวจสอบกิจกรรมบัญชีเป็นประจำ: ตรวจสอบกิจกรรมการเข้าสู่ระบบบัญชีและบันทึกรายการธุรกรรมเป็นประจำ และดำเนินการทันทีเมื่อตรวจพบพฤติกรรมที่น่าสงสัย
  5. โปรดจำไว้ที่จะออกจากระบบ: โปรดจำไว้ที่จะออกจากระบบหลังใช้แพลตฟอร์มบนเว็บ ผู้คนมักมองข้ามการคลิก "ออกจากระบบ" หลังจากทำการที่แพลตฟอร์มสำหรับความสะดวกสบาย ซึ่งอาจเป็นอันตรายต่อความปลอดภัย
  6. ใช้กระเป๋าสตางค์ฮาร์ดแวร์: สำหรับสินทรัพย์ขนาดใหญ่ ใช้กระเป๋าสตางค์ฮาร์ดแวร์เพื่อการเก็บรักษาเพื่อเพิ่มความปลอดภัย
  7. การตั้งค่าเบราว์เซอร์และเครื่องมือความปลอดภัย: ใช้การตั้งค่าเบราว์เซอร์ที่ปลอดภัยและส่วนขยาย (เช่นตัวบล็อกโฆษณาและเครื่องมือการป้องกันความเป็นส่วนตัว) เพื่อลดความเสี่ยงจากส่วนขยายที่เป็นอันตราย
  8. ใช้ซอฟต์แวร์รักษาความปลอดภัย: ติดตั้งและใช้ซอฟต์แวร์รักษาความปลอดภัยเพื่อตรวจจับและป้องกันส่วนขยายที่เป็นอันตรายและมัลแวร์อื่นๆ

คำแนะนำควบคุมความเสี่ยงสุดท้ายสำหรับแพลตฟอร์ม: โดยการใช้มาตรการเหล่านี้ แพลตฟอร์มการซื้อขายสามารถลดความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากส่วนขยาย Chrome ที่เป็นอันตรายต่อผู้ใช้ได้:

บังคับการใช้งานการตรวจสอบสองขั้นตอน (2FA):

การจัดการเซสชันและความปลอดภัย:

ปรับปรุงการตั้งค่าความปลอดภัยของบัญชี:

เสริมระบบการตรวจสอบและควบคุมความเสี่ยง:

ให้ความรู้ด้านความปลอดภัยและเครื่องมือสำหรับผู้ใช้:

สรุป

ตรงไปตรงมาจากมุมมองทางเทคนิคการใช้มาตรการควบคุมความเสี่ยงที่กล่าวถึงก่อนหน้านี้ไม่ใช่วิธีที่ดีที่สุดเสมอไป การสร้างสมดุลระหว่างความปลอดภัยและความต้องการทางธุรกิจเป็นสิ่งสําคัญ การให้ความสําคัญกับความปลอดภัยมากเกินไปอาจทําให้ประสบการณ์ของผู้ใช้ลดลง ตัวอย่างเช่น การกําหนดให้มีการตรวจสอบสิทธิ์แบบสองปัจจัยระหว่างการวางคําสั่งซื้ออาจทําให้ผู้ใช้จํานวนมากปิดใช้งานเพื่อการทําธุรกรรมที่รวดเร็วยิ่งขึ้น ความสะดวกสบายสําหรับผู้ใช้นี้ยังเป็นประโยชน์ต่อแฮกเกอร์เนื่องจากคุกกี้ที่ถูกขโมยอาจทําให้พวกเขาสามารถจัดการการซื้อขายและประนีประนอมทรัพย์สินของผู้ใช้ได้ ดังนั้นแพลตฟอร์มและผู้ใช้ที่แตกต่างกันอาจต้องใช้แนวทางที่หลากหลายในการบริหารความเสี่ยง การค้นหาความสมดุลระหว่างความปลอดภัยและเป้าหมายทางธุรกิจจะแตกต่างกันไปตามแพลตฟอร์ม และเป็นสิ่งสําคัญที่แพลตฟอร์มต้องจัดลําดับความสําคัญของทั้งประสบการณ์ของผู้ใช้และการปกป้องบัญชีผู้ใช้และทรัพย์สิน

คำประกาศ:

  1. บทความนี้ถูกพิมพ์อีกครั้งจาก [PANews]. ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [เทคโนโลยีฟ้าผ่า]. หากมีข้อบกพร่องใด ๆ เกี่ยวกับการพิมพ์ซ้ำนี้ กรุณาติดต่อGate เรียนทีม และพวกเขาจะดำเนินการให้โดยเร็ว
  2. ข้อความประกอบความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำเกี่ยวกับการลงทุนใด ๆ
  3. การแปลบทความเป็นภาษาอื่น ๆ ทำโดยทีม Gate Learn หากไม่ได้กล่าวถึง การคัดลอก การกระจาย หรือการลอกเลียนบทความที่ถูกแปล ถือเป็นการละเมิดกฎหมาย
* As informações não pretendem ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecida ou endossada pela Gate.io.
* Este artigo não pode ser reproduzido, transmitido ou copiado sem referência à Gate.io. A contravenção é uma violação da Lei de Direitos Autorais e pode estar sujeita a ação legal.

Compartilhar

Conteúdo

พื้นหลัง

คำถามและคำตอบ

การตอบ

สรุป

ความปลอดภัยของ Web3 อธิบาย: การสร้างความเสียหายเป็นล้านดอลลาร์จากส่วนขยาย Chrome ขนาดเล็กได้อย่างไร?

กลาง6/28/2024, 2:07:17 AM
บทความนี้รายละเอียดเหตุการณ์ที่ผู้ใช้ Twitter ชื่อ @CryptoNakamao สูญเสีย $1 ล้านเนื่องจากการดาวน์โหลดส่วนขยาย Chrome ชื่อ Aggr ที่เป็นโปรแกรมที่ไม่ดี ซึ่งทำให้มีความกังวลในกลุ่มชุมชนคริปโตเกี่ยวกับความเสี่ยงของส่วนขยาย
SocialFi

พื้นหลัง

คำถามและคำตอบ

การตอบ

สรุป

พื้นหลัง

ในวันที่ 3 มิถุนายน 2024 ผู้ใช้ทวิตเตอร์@CryptoNakamao แบ่งปันประสบการณ์ของพวกเขาในการสูญเสีย $ 1 ล้านเนื่องจากการดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตราย Aggr จุดประกายความกังวลในหมู่ชุมชน crypto เกี่ยวกับความเสี่ยงของส่วนขยายและความปลอดภัยของสินทรัพย์ของตนเอง เมื่อวันที่ 31 พฤษภาคม ทีมรักษาความปลอดภัย SlowMist ได้เผยแพร่บทวิเคราะห์เรื่อง "หมาป่าในเสื้อผ้าแกะ | การวิเคราะห์การขโมยส่วนขยาย Chrome เท็จ" โดยมีรายละเอียดการกระทําที่เป็นอันตรายของส่วนขยาย Aggr เนื่องจากผู้ใช้ขาดความรู้พื้นฐานเกี่ยวกับส่วนขยายเบราว์เซอร์หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ SlowMist 23pds จึงใช้รูปแบบ Q&A ในบทความเพื่ออธิบายพื้นฐานและความเสี่ยงที่อาจเกิดขึ้นของส่วนขยาย พวกเขายังให้คําแนะนําเพื่อลดความเสี่ยงในการขยายโดยมีเป้าหมายเพื่อช่วยให้ผู้ใช้รายบุคคลและแพลตฟอร์มการซื้อขายเพิ่มความปลอดภัยของบัญชีและทรัพย์สินของพวกเขา


(https://x.com/im23pds/status/1797528115897626708)

Q&A

1. Chrome คือส่วนขยาย

ส่วนขยาย Chrome คือปลั๊กอินที่ออกแบบมาสำหรับ Google Chrome เพื่อขยายความสามารถและพฤติกรรมของเบราว์เซอร์ ส่วนขยายเหล่านี้สามารถปรับแต่งประสบการณ์การเรียกดูของผู้ใช้ เพิ่มคุณลักษณะหรือเนื้อหาใหม่ ๆ และทำงานร่วมกับเว็บไซต์ ส่วนขยาย Chrome 通常จะถูกสร้างขึ้นโดยใช้ HTML, CSS, JavaScript, และเทคโนโลยีเว็บอื่น ๆ โครงสร้างของส่วนขยาย Chrome มักจะประกอบด้วยส่วนประกอบต่อไปนี้:

  1. manifest.json: ไฟล์กำหนดค่าของส่วนขยาย ที่กำหนดข้อมูลพื้นฐาน เช่น ชื่อ เวอร์ชัน สิทธิ ฯลฯ
  2. สคริปต์พื้นหลัง: สคริปต์ที่ทำงานอยู่ในพื้นหลังของเบราว์เซอร์ จัดการเหตุการณ์และงานที่ใช้เวลานาน
  3. สคริปต์เนื้อหา: สคริปต์ที่ทำงานในบริบทของหน้าเว็บ ทำให้สามารถทำงานร่วมกับหน้าเว็บได้โดยตรง
  4. อินเตอร์เฟซผู้ใช้ (UI): รวมถึงองค์ประกอบเช่น ปุ่มแถบเครื่องมือบราวเซอร์, หน้าต่างป๊อปอัพ, หน้าเว็บตัวเลือก ฯลฯ

2. ส่วนขยาย Chrome ทำอะไร?

  1. Ad Blockers: โปรแกรมส่วนเสริมที่สามารถดักและบล็อกโฆษณาบนหน้าเว็บ ซึ่งจะช่วยปรับปรุงความเร็วในการโหลดหน้าเว็บและประสบการณ์ของผู้ใช้ ตัวอย่างเช่น AdBlock และ uBlock Origin
  2. ความเป็นส่วนตัวและความปลอดภัย: บางส่วนขยายพันธะเสริมความเป็นส่วนตัวและความปลอดภัยของผู้ใช้โดยป้องกันการติดตาม การเข้ารหัสการสื่อสาร การจัดการรหัสผ่าน ฯลฯ ตัวอย่างเช่น Privacy Badger และ LastPass
  3. เครื่องมือเพื่อเพิ่มผลิตภาพ: ส่วนขยายที่ช่วยให้ผู้ใช้เพิ่มผลิตภาพ เช่น การจัดการงาน การจดบันทึก การติดตามเวลา ฯลฯ ตัวอย่างเช่น Todoist และ Evernote Web Clipper
  4. เครื่องมือสำหรับนักพัฒนาเว็บที่ให้ความสามารถในการดีบักและพัฒนา เช่น การตรวจสอบโครงสร้างของหน้าเว็บ การดีบักโค้ด การวิเคราะห์คำขอเครือข่าย เป็นต้น ตัวอย่างเช่น React Developer Tools และ Postman
  5. สื่อสังคมและการสื่อสาร: ส่วนขยายที่ผสมผสานเครื่องมือสื่อสังคมและการสื่อสาร เพื่อให้ผู้ใช้สามารถจัดการการแจ้งเตือนสื่อสังคม ข้อความ ฯลฯ ขณะที่เรียกดู เช่น เช่น Grammarly และ Facebook Messenger
  6. การปรับแต่งเว็บ: ผู้ใช้สามารถปรับแต่งลักษณะและพฤติกรรมของหน้าเว็บโดยใช้ส่วนขยาย เช่น เปลี่ยนธีม จัดเรียงองค์ประกอบของหน้า การเพิ่มฟังก์ชันเพิ่มเติม ฯลฯ ตัวอย่างเช่น Stylish และ Tampermonkey
  7. งานอัตโนมัติ: ส่วนขยายที่ช่วยในการอัตโนมัติงานที่ซ้ำซาก เช่น การกรอกแบบฟอร์ม การดาวน์โหลดไฟล์เป็นกลุ่ม เป็นต้น ตัวอย่างเช่น iMacros และ DownThemAll
  8. การแปลภาษา: ส่วนขยายบางตัวสามารถแปลเนื้อหาของหน้าเว็บเรียลไทม์ ช่วยให้ผู้ใช้เข้าใจหน้าเว็บในภาษาต่าง ๆ เช่น Google Translate
  9. การช่วยเหลือด้านสกุลเงินดิจิตอล: ส่วนขยายที่ช่วยให้ประสบการณ์การซื้อขายสกุลเงินดิจิตอลของผู้ใช้ง่ายขึ้น เช่น MetaMask ฯลฯ

ความยืดหยุ่นและความหลากหลายของส่วนขยายของ Chrome ช่วยให้สามารถนำไปใช้ในสถานการณ์การเรียกดูเกือบทุกประการ ช่วยให้ผู้ใช้สามารถทำงานได้มีประสิทธิภาพมากขึ้น

3. สิทธิ์ที่ส่วนขยาย Chrome มีหลังจากติดตั้งแล้วคืออะไร?

หลังจากการติดตั้ง ส่วนขยายของ Chrome อาจขออนุญาตให้ใช้ฟังก์ชันที่ระบุไว้ การอนุญาตเหล่านี้ถูกกำหนดไว้ในไฟล์ manifest.json ของส่วนขยายและให้ผู้ใช้ยืนยันระหว่างการติดตั้ง การอนุญาตที่พบบ่อยรวมถึง:

  1. <all_urls>: อนุญาตให้ส่วนขยายเข้าถึงเนื้อหาจากเว็บไซต์ทั้งหมด การอนุญาตที่กว้างขวางนี้ทำให้ส่วนขยายสามารถอ่านและปรับเปลี่ยนข้อมูลบนเว็บไซต์ทั้งหมด
  2. tabs: ช่วยให้ส่วนขยายสามารถเข้าถึงข้อมูลเกี่ยวกับแท็บของเบราวเซอร์ รวมถึงการเข้าถึงแท็บที่เปิดอยู่ในปัจจุบัน การสร้างและปิดแท็บ ฯลฯ
  3. activeTab: ช่วยให้ส่วนขยายเข้าถึงแท็บที่กำลังใช้งานอยู่ชั่วคราวโดยทั่วไปใช้เพื่อดำเนินการเฉพาะเจาะจงเมื่อผู้ใช้คลิกที่ปุ่มส่วนขยาย
  4. storage: ช่วยให้ส่วนขยายสามารถใช้ Chrome's storage API เพื่อเก็บรักษาและดึงข้อมูล สามารถนำมาใช้สำหรับการบันทึกการตั้งค่าส่วนขยาย ข้อมูลผู้ใช้ ฯลฯ
  5. คุกกี้: ช่วยให้ส่วนขยายสามารถเข้าถึงและแก้ไขคุกกี้ในเบราว์เซอร์
  6. webRequest และ webRequestBlocking: อนุญาตให้ส่วนขยายสติปัญญาประมวลผลและแก้ไขคำขอเครือข่าย สิทธิเหล่านี้มักถูกใช้ในส่วนขยายการบล็อกโฆษณาและการป้องกันความเป็นส่วนตัว
  7. บุ๊คมาร์ก: อนุญาตให้ส่วนขยายสามารถเข้าถึงและปรับเปลี่ยนบุ๊คมาร์กของเบราว์เซอร์
  8. ประวัติศาสตร์: ช่วยให้สามารถเข้าถึงและแก้ไขประวัติของเบราว์เซอร์ได้
  9. การแจ้งเตือน: อนุญาตให้ส่วนขยายแสดงการแจ้งเตือนบนเดสก์ท็อป
  10. contextMenus: ช่วยให้ส่วนขยายสามารถเพิ่มรายการเมนูที่กำหนดเองไปยังเมนูบราวเซอร์ (เมนูคลิกขวา)
  11. geolocation: ช่วยให้ส่วนขยายสามารถเข้าถึงข้อมูลตำแหน่งทางภูมิศาสตร์ของผู้ใช้ได้
  12. clipboardRead และ clipboardWrite: อนุญาตให้ส่วนขยายอ่านจากและเขียนไปยังคลิปบอร์ด
  13. downloads: ช่วยให้ส่วนขยายสามารถจัดการดาวน์โหลด รวมถึงเริ่ม พัก และยกเลิกการดาวน์โหลด
  14. การจัดการ: ช่วยให้สามารถจัดการส่วนขยายอื่น ๆ และแอปพลิเคชันในเบราว์เซอร์ได้
  15. พื้นหลัง: ช่วยให้ส่วนขยายสามารถทำงานระยะยาวในพื้นหลัง
  16. การแจ้งเตือน: อนุญาตให้ส่วนขยายแสดงการแจ้งเตือนของระบบ
  17. webNavigation: ช่วยให้ส่วนขยายสามารถตรวจสอบและปรับเปลี่ยนพฤติกรรมการนำทางของเบราว์เซอร์

การอนุญาตเหล่านี้ช่วยให้ส่วนขยายของ Chrome สามารถดำเนินการฟังก์ชันที่มีพลังและหลากหลายมาก แต่ก็หมายความว่าส่วนขยายอาจเข้าถึงข้อมูลของผู้ใช้ที่เป็นข้อมูลที่อ่อนไหว เช่น คุกกี้ ข้อมูลการตรวจสอบสิทธิ์ และอื่น ๆ

4.ทำไมส่วนขยาย Chrome ที่ไม่ดีสามารถขโมยสิทธิ์ผู้ใช้ได้?

ส่วนขยาย Chrome ที่เจ้าชัดใช้สิทธิ์ที่ขอไว้เพื่อขโมยข้อมูลประจำตัวและข้อมูลการตรวจสอบของผู้ใช้ได้ เนื่องจากส่วนขยายเหล่านี้สามารถเข้าถึงโดยตรงและสามารถจัดการสภาพแวดล้อมและข้อมูลของเบราว์เซอร์ของผู้ใช้ได้

  1. การเข้าถึงที่หลากหลาย: ส่วนขยายที่ไม่ดีทั้งหมดมักขอสิทธิ์ที่กว้างขวาง เช่น เข้าถึงเว็บไซต์ทั้งหมด (), อ่านและแก้ไขแท็บของเบราว์เซอร์ (แท็บ), และเข้าถึงพื้นที่จัดเก็บของเบราว์เซอร์ (พื้นที่จัดเก็บ) สิทธิ์เหล่านี้ทำให้ส่วนขยายที่ไม่ดีสามารถเข้าถึงกิจกรรมการเรียกดูและข้อมูลการเรียกดูของผู้ใช้ได้อย่างกว้างขวาง
  2. การจัดการคำขอเครือข่าย: ส่วนขยายที่ไม่ดีอาจใช้สิทธิ webRequest และ webRequestBlocking เพื่อทำการดักและปรับเปลี่ยนคำขอเครือข่าย ซึ่งทำให้สามารถขโมยข้อมูลการตรวจสอบสิทธิและข้อมูลที่อ่อนไหวของผู้ใช้ได้ เช่น พวกเขาสามารถดักจับข้อมูลแบบฟอร์มเมื่อผู้ใช้เข้าสู่เว็บไซต์เพื่อรับชื่อผู้ใช้และรหัสผ่าน
  3. การอ่านและเขียนเนื้อหาของหน้า: ผ่านสคริปต์เนื้อหา ส่วนขยายที่เป็นอันตรายสามารถฝังรหัสลงในหน้าเว็บเพื่ออ่านและปรับเปลี่ยนเนื้อหาของหน้า ซึ่งหมายความว่าพวกเขาสามารถขโมยข้อมูลใด ๆ ที่ผู้ใช้ป้อนในหน้าเว็บ เช่น ข้อมูลแบบฟอร์มและคำค้นหา
  4. การเข้าถึงพื้นที่จัดเก็บข้อมูลของเบราว์เซอร์: ส่วนขยายที่เป็นอันตรายอาจใช้สิทธิ์การจัดเก็บข้อมูลเพื่อเข้าถึงและเก็บข้อมูลท้องถิ่นของผู้ใช้ รวมถึงพื้นที่จัดเก็บข้อมูลของเบราว์เซอร์ซึ่งอาจมีข้อมูลที่ละเอียดอ่อน (เช่น LocalStorage และ IndexedDB)
  5. การควบคุมคลิปบอร์ด: ด้วยการอนุญาตให้อ่านและเขียนคลิปบอร์ด ส่วนขยายที่ไม่เป็นที่ดีสามารถอ่านและเขียนเนื้อหาคลิปบอร์ดของผู้ใช้ ซึ่งอาจทำให้เกิดการโดนขโมยหรือแก้ไขข้อมูลที่ผู้ใช้คัดลอกและวาง
  6. การปลอมแอพเสริมอันตรายสามารถปลอมตัวเองให้เป็นเว็บไซต์ที่ถูกต้องโดยการแก้ไขเนื้อหาของเบราว์เซอร์หรือเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บปลอม หลอกผู้ใช้ให้ป้อนข้อมูลที่ละเอียด
  7. การทำงานในพื้นหลังเป็นเวลายาว: ส่วนขยายที่ไม่ดีที่มีสิทธิ์การทำงานในพื้นหลังสามารถทำงานอย่างต่อเนื่องในพื้นหลัง แม้กระทั้งผู้ใช้ไม่ได้ใช้งานอย่างมั่นใจ สิ่งนี้ช่วยให้พวกเขาสามารถติดตามกิจกรรมของผู้ใช้เป็นเวลายาวและเก็บข้อมูลจำนวนมาก
  8. การปรับแต่งการดาวน์โหลด: โดยใช้สิทธิ์การดาวน์โหลด ส่วนขยายที่เป็นอันตรายสามารถดาวน์โหลดและดำเนินการกับไฟล์ที่เป็นอันตรายต่อไป ซึ่งเสี่ยงทำให้ความปลอดภัยของระบบผู้ใช้ล้มเหลว

5.ทำไมเหยื่อของส่วนขยายที่อันตรายนี้ถูกขโมยสิทธิและเงินทุนของพวกเขาถูกละเมิด?

เนื่องจากส่วนขยาย Aggr ที่เติบโตนี้ได้รับข้อมูลพื้นหลังที่เราพึงพูดถึงเมื่อกี้ นี่คือข้อมูลย่อจากส่วนอนุญาตในไฟล์ manifest.json ของมัน:

  1. คุกกี้
  2. แท็บ
  4. การจัดเก็บ

6. หลังจากที่ขยายความชั่วร้ายของ Chrome ขโมยคุกกี้ของผู้ใช้ไปแล้ว มันสามารถทำอะไรได้บ้าง?

  1. การเข้าถึงบัญชี: ส่วนขยายที่ไม่ดีอาจใช้คุกกี้ที่ถูกขโมยเพื่อจำลองการเข้าสู่ระบบของผู้ใช้ในแพลตฟอร์มซื้อขายเหรียญดิจิทัล ซึ่งจะทำให้สามารถเข้าถึงข้อมูลบัญชีของผู้ใช้ได้รวมถึงยอดคงเหลือและประวัติธุรกรรม
  2. การดำเนินธุรกรรม: คุกกี้ที่ถูกขโมยอาจทำให้ส่วนขยายที่ไม่เป็นครอบครองกระทำการซื้อหรือขายสกุลเงินดิจิทัลหรือโอนสินทรัพย์ไปยังบัญชีอื่นๆโดยไม่ได้รับความยินยอมจากผู้ใช้
  3. เมื่อถอนเงิน: หากคุกกี้มีข้อมูลเซสชันและโทเค็นการตรวจสอบสิทธิ์อาจทำให้ส่วนขยายที่เกี่ยวกับการโจมตีข้ามสองขั้นตอนการตรวจสอบสิทธิ์ (2FA) และเริ่มการถอนเงินโอนเงินของผู้ใช้สู่กระเป๋าเงินที่ควบคุมโดยผู้โจมตี
  4. การเข้าถึงข้อมูลที่เป็นสารวัตร: ส่วนขยายที่เป็นอันตรายสามารถเข้าถึงและเก็บรวบรวมข้อมูลที่เป็นสารวัตรในบัญชีแพลตฟอร์มการซื้อขายของผู้ใช้ เช่น เอกสารการพิสูจน์สิทธิและที่อยู่ ซึ่งอาจถูกใช้สำหรับกิจกรรมการปลอมประมาทริหรือการฉ้อโกงเพิ่มเติม
  5. การปรับเปลี่ยนตั้งค่าบัญชี: ส่วนขยายที่เป็นอันตรายสามารถเปลี่ยนตั้งค่าบัญชีของผู้ใช้ เช่น ที่อยู่อีเมลที่ผูกและหมายเลขโทรศัพท์ โดยควบคุมบัญชีเพิ่มเติมและขโมยข้อมูลเพิ่มเติม
  6. การปลอมตัวเป็นผู้ใช้เพื่อการโจมตีด้านสังคม: การใช้บัญชีผู้ใช้เพื่อการโจมตีด้านสังคม เช่น การส่งข้อความที่เป็นปลอมไปยังผู้ติดต่อของผู้ใช้ หลงใหลให้เข้ามาทำการที่ไม่ปลอดภัย หรือให้ข้อมูลที่สำคัญมากขึ้น

การตอบ

เห็นแบบนี้ ผู้ใช้หลายคนอาจสงสัยว่า “ฉันควรทำอย่างไร? ควรตัดการเชื่อมต่ออินเทอร์เน็ตและหยุดใช้งานทั้งหมดหรือไม่? ควรใช้คอมพิวเตอร์แยกต่างหากสำหรับการทำงานหรือไม่? ควรหลีกเลี่ยงการเข้าสู่ระบบผ่านหน้าเว็บไซต์หรือไม่? มีคำแนะนำที่สุดขีดมากมายออนไลน์ แต่ในความเป็นจริง เราสามารถเรียนรู้วิธีป้องกันความเสี่ยงเช่นนี้อย่างมีเหตุผล:

มาตรการช่วยเหลือของผู้ใช้ส่วนบุคคล:

  1. เพิ่มความตั้งใจในการรักษาความปลอดภัยส่วนบุคคล: ข้อเสนอการป้องกันครั้งแรกคือการเพิ่มความตั้งใจในการรักษาความปลอดภัยส่วนบุคคลและรักษาท่าทางที่สงสัยตลอดเวลา
  2. ติดตั้งส่วนขยายเฉพาะจากแหล่งที่เชื่อถือได้: ติดตั้งส่วนขยายจาก Chrome Web Store หรือแหล่งที่เชื่อถือได้อื่น ๆ อ่านความคิดเห็นจากผู้ใช้และคำขอสิทธิ์ และหลีกเลี่ยงการให้สิทธิ์การเข้าถึงที่ไม่จำเป็นให้กับส่วนขยาย
  3. ใช้สภาพแวดล้อมการเรียกดูที่ปลอดภัย: หลีกเลี่ยงการติดตั้งส่วนขยายจากแหล่งที่ไม่รู้จัก ตรวจสอบและลบส่วนขยายที่ไม่จำเป็นอย่างสม่ำเสมอ พิจารณาที่จะใช้เบราว์เซอร์ที่แตกต่างกันสำหรับการเรียกดูปลั๊กอินแยกต่างหากและการเรียกดูธุรกรรมเงินทุน
  4. ตรวจสอบกิจกรรมบัญชีเป็นประจำ: ตรวจสอบกิจกรรมการเข้าสู่ระบบบัญชีและบันทึกรายการธุรกรรมเป็นประจำ และดำเนินการทันทีเมื่อตรวจพบพฤติกรรมที่น่าสงสัย
  5. โปรดจำไว้ที่จะออกจากระบบ: โปรดจำไว้ที่จะออกจากระบบหลังใช้แพลตฟอร์มบนเว็บ ผู้คนมักมองข้ามการคลิก "ออกจากระบบ" หลังจากทำการที่แพลตฟอร์มสำหรับความสะดวกสบาย ซึ่งอาจเป็นอันตรายต่อความปลอดภัย
  6. ใช้กระเป๋าสตางค์ฮาร์ดแวร์: สำหรับสินทรัพย์ขนาดใหญ่ ใช้กระเป๋าสตางค์ฮาร์ดแวร์เพื่อการเก็บรักษาเพื่อเพิ่มความปลอดภัย
  7. การตั้งค่าเบราว์เซอร์และเครื่องมือความปลอดภัย: ใช้การตั้งค่าเบราว์เซอร์ที่ปลอดภัยและส่วนขยาย (เช่นตัวบล็อกโฆษณาและเครื่องมือการป้องกันความเป็นส่วนตัว) เพื่อลดความเสี่ยงจากส่วนขยายที่เป็นอันตราย
  8. ใช้ซอฟต์แวร์รักษาความปลอดภัย: ติดตั้งและใช้ซอฟต์แวร์รักษาความปลอดภัยเพื่อตรวจจับและป้องกันส่วนขยายที่เป็นอันตรายและมัลแวร์อื่นๆ

คำแนะนำควบคุมความเสี่ยงสุดท้ายสำหรับแพลตฟอร์ม: โดยการใช้มาตรการเหล่านี้ แพลตฟอร์มการซื้อขายสามารถลดความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นจากส่วนขยาย Chrome ที่เป็นอันตรายต่อผู้ใช้ได้:

บังคับการใช้งานการตรวจสอบสองขั้นตอน (2FA):

การจัดการเซสชันและความปลอดภัย:

ปรับปรุงการตั้งค่าความปลอดภัยของบัญชี:

เสริมระบบการตรวจสอบและควบคุมความเสี่ยง:

ให้ความรู้ด้านความปลอดภัยและเครื่องมือสำหรับผู้ใช้:

สรุป

ตรงไปตรงมาจากมุมมองทางเทคนิคการใช้มาตรการควบคุมความเสี่ยงที่กล่าวถึงก่อนหน้านี้ไม่ใช่วิธีที่ดีที่สุดเสมอไป การสร้างสมดุลระหว่างความปลอดภัยและความต้องการทางธุรกิจเป็นสิ่งสําคัญ การให้ความสําคัญกับความปลอดภัยมากเกินไปอาจทําให้ประสบการณ์ของผู้ใช้ลดลง ตัวอย่างเช่น การกําหนดให้มีการตรวจสอบสิทธิ์แบบสองปัจจัยระหว่างการวางคําสั่งซื้ออาจทําให้ผู้ใช้จํานวนมากปิดใช้งานเพื่อการทําธุรกรรมที่รวดเร็วยิ่งขึ้น ความสะดวกสบายสําหรับผู้ใช้นี้ยังเป็นประโยชน์ต่อแฮกเกอร์เนื่องจากคุกกี้ที่ถูกขโมยอาจทําให้พวกเขาสามารถจัดการการซื้อขายและประนีประนอมทรัพย์สินของผู้ใช้ได้ ดังนั้นแพลตฟอร์มและผู้ใช้ที่แตกต่างกันอาจต้องใช้แนวทางที่หลากหลายในการบริหารความเสี่ยง การค้นหาความสมดุลระหว่างความปลอดภัยและเป้าหมายทางธุรกิจจะแตกต่างกันไปตามแพลตฟอร์ม และเป็นสิ่งสําคัญที่แพลตฟอร์มต้องจัดลําดับความสําคัญของทั้งประสบการณ์ของผู้ใช้และการปกป้องบัญชีผู้ใช้และทรัพย์สิน

คำประกาศ:

  1. บทความนี้ถูกพิมพ์อีกครั้งจาก [PANews]. ลิขสิทธิ์ทั้งหมดเป็นของผู้เขียนต้นฉบับ [เทคโนโลยีฟ้าผ่า]. หากมีข้อบกพร่องใด ๆ เกี่ยวกับการพิมพ์ซ้ำนี้ กรุณาติดต่อGate เรียนทีม และพวกเขาจะดำเนินการให้โดยเร็ว
  2. ข้อความประกอบความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำเกี่ยวกับการลงทุนใด ๆ
  3. การแปลบทความเป็นภาษาอื่น ๆ ทำโดยทีม Gate Learn หากไม่ได้กล่าวถึง การคัดลอก การกระจาย หรือการลอกเลียนบทความที่ถูกแปล ถือเป็นการละเมิดกฎหมาย
* As informações não pretendem ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecida ou endossada pela Gate.io.
* Este artigo não pode ser reproduzido, transmitido ou copiado sem referência à Gate.io. A contravenção é uma violação da Lei de Direitos Autorais e pode estar sujeita a ação legal.
Comece agora
Inscreva-se e ganhe um cupom de
$100
!