以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > ICP > Info

釣魚網站“入侵”Web3 這些防騙技巧必須學會

Author:

Time:

在維基百科定義中,網絡釣魚(Phishing)是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

這些通信都聲稱(自己)來自于風行的社交網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網絡銀行、電子支付網站(PayPal)、或網絡管理者(雅虎、互聯網服務提供商、公司機關),以此來誘騙受害人的輕信。

網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例,它憑恃的是現行網絡安全技術的低親和度。

在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊(詳見維基百科:社會工程學),讓人防不勝防。

本文將揭露其中幾種web3世界里常見的釣魚方法,跟我們一起來看看吧。

Phishing

官方Discord被盜,發布釣魚信息

2022年5月23日,MEE6官方Discord遭受攻擊,導致賬號被盜,官方discord群里發布mint的釣魚網站信息。

2022年5月6日,NFT交易市場Opensea官方Discord遭受攻擊,黑客利用機器人賬號在頻道內發布虛假鏈接,并聲稱“OpenSea與YouTube達成合作,點擊鏈接可參與鑄造限量100枚的mint pass NFT”。

中興多個元宇宙英文商標注冊成功:金色財經消息,知識產權信息顯示,3月21日,中興通訊股份有限公司申請注冊的多個元宇宙相關商標“ZTE META”“METARAN”狀態變更為“已注冊”,國際分類涉及科學儀器、通訊服務等。以上商標均申請于2021年10月。(金融界)[2022/3/23 14:13:52]

近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:

項目方員工遭受釣魚攻擊,導致賬戶被盜;

項目方下載惡意軟件,導致賬戶被盜;

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;

項目方遭受釣魚攻擊,添加惡意書簽從而繞過瀏覽器同源策略,導致項目方Discord token被盜。

防騙技巧

周杰倫遭遇釣魚攻擊,價值百萬NFT被盜

2022年4月1日愚人節,周杰倫在Instagram上發文稱持有的BAYC#3738 NFT已被盜。

據了解,該 NFT 在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后,發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接,隨后在11點左右簽名了授權(approve)交易,將NFT的權限授予了0xe34f0開頭的攻擊者錢包,可能這時候杰倫還沒意識到自己的NFT,已經處于風險之中。

僅僅過去幾分鐘,攻擊者就在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中,隨后在LooksRare和OpenSea上將盜取的NFT賣掉,獲得約169.6 ETH。

數據:MDX短線突破3.68USDT,上線MXC抹茶最高漲幅750%:MXC抹茶交易數據,MDX短線突破3.68USDT,24小時漲60.64%,現報3.26USDT。1月19日,MDX登錄MXC抹茶考核區,相較0.5USDT開盤價,上線后最高漲幅750%。1月24日14:00-29日14:00,從外部交易所或錢包充值MDX到MXC抹茶,凈充值量不低于50 MDX的用戶,可贏牛年金條,瓜分1.5萬USDT獎勵;MDX/USDT交易額不低于500 USDT,可贏iPhone 12Pro,瓜分1.5萬USDT獎勵,通過API交易MDX/USDT,享獎勵額翻倍加成。注:數字資產是一種高風險的投資方式,請謹慎參與。[2021/1/25 13:22:32]

防騙技巧:

Google廣告漏洞置頂的釣魚網站

2022年5月10日,Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示,NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站,它利用 Google 廣告的漏洞,使真實網站和詐騙URL看起來完全相同,已經有約100 ETH被盜。

假機器人偽裝成項目方私聊發送釣魚網站

最近,筆者在關注某一新項目時,從項目官網加入到了官方discord社群,加群后按照國際慣例先進行官方機器人身份驗證,然而這一條驗證消息卻是機器人私信發過來的,此時內心有些疑問,但是看到有“機器人”的提示標簽后,也沒多想。

但當我再打開鏈接的時候,發現它自動喚起了我的Metamask錢包,要求輸入密碼,此時基本確定網站有問題。后經過調試分析發現,該網站并非真正的Metamask彈出的,而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼,就會要求助記詞驗證,最后密碼和助記詞都會發送到攻擊者的后臺服務器,自此,你的錢包就已經被盜了。

高仿域名和內容的釣魚網站

目前筆者在市場上發現了各種各樣的假冒網站,它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的,其歸納分析,其主要有以下幾種形式:

(1)更換頂級域名,主名不變。例如下圖中官網頂級域名是.com,釣魚網站頂級域名為.fun。

(2)主名添加單詞或符號進行混淆,比如opensea-office,cyber-kongz等。

(3)添加二級域名進行混淆,進行釣魚欺騙。

上線了opensea的釣魚項目

筆者前段時間在opensea遨游的時候,發現了一個官網還未開售的項目,卻在opensea上掛牌了10k,接近5.4kowner。一時間警惕心大起,仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名,后在opensea上線了相似名字的項目,且加上free mint等字樣吸引眼球。

此外,還有些釣魚網站也會聯合釣魚twitter一起進行詐騙:

真假合約地址

在今年3月出現了一種新騙局,也是讓人開了眼界。APEcoin項目的合約地址為:

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻擊者偽造了前后幾位均相同的假合約,聯合釣魚宣傳一起進行釣魚詐騙,假合約為:

0x4D221B9c0EE56604186a33F4f2433A3961C94381

這種攻擊方式不多見,但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常,卻幾乎不會有人全部記下來的。

馬上進行資產隔離,盡快將剩余資產轉移到安全位置,避免更大的損失;

主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;

盡可能保留證據,尋求項目方或機構進行后續處理;

可尋求專業的安全公司進行資金追蹤,如成都鏈安。

最后,建議記錄并分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。

Tags:

ICP
DeFi 成朝鮮黑客的「提款機」

區塊鏈數據分析機構Chainalysis的最新報告顯示,2022年,DeFi成為洗錢和黑客攻擊這兩大犯罪活動的主要目標。

如何在 DAO 中找到個人自由并實現自我價值?

從傳統公司到去中心化自治組織(DAO),組織形式的變化伴隨著權力結構的調整。如果你在公司的工作中感到自己像個機器,沒有自我亦沒有自由,或許你該給自己和DAO一個機會。  權力動態是每個組織內含的一部分,它影響著我們共同工作的方式。最初,組織就是為創造新產品和解決有趣問題而建立的,但協作往往是困難的。早期的組織經常使用強權去控制和操縱他人。

公鏈 Aptos 創始人面臨 10 億美元訴訟?梳理案件始末

揭秘 Aptos 創始人 Mo Shaikh 面臨 Glazer 家族成員 Shari Glazer 10億美元訴訟案的背后故事。 公鏈 Aptos 正在如火如荼地進行著開發者測試網,創始人 Mo Shaikh 卻面臨 Glazer 家族成員 Shari Glazer 和她的公司 Swoon Capital 高達近 10 億美元的訴訟事件。

釣魚網站“入侵”Web3 這些防騙技巧必須學會

在維基百科定義中,網絡釣魚(Phishing)是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

“無聊猿”之后 下一個明星團寵是誰?

引言:據歐科云鏈鏈上大師發布的《2021年度數據報告》,2021年NFT全年交易總額達到171.75億美元,與2020年的1.30億美元相比,環比增長131倍。 進入2022年,NFT市場依然延續著去年的熱度。

Web3 成功的關鍵:抽離復雜性

早在 90 年代,加密專家 Nick Szabo 就創造了術語“智能合約”。在一篇 1997 年發表的論文中,他寫道,智能合約“將協議與用戶界面結合,使計算機網絡中的關系更正式與安全。” 簡而言之,智能合約可自我執行,其買賣雙方間的協議條款直接嵌于代碼行中。

隨著加密貨幣資金外流 穩定幣供應和現金儲備受到質疑

加密貨幣投資者和交易員從穩定幣Tether (USDT)中兌現了77億美元,導致其市值在過去7天內下降了7.8%,至760億美元。 根據Tether在2021年12月發布的最新儲備報告,從該頂級穩定幣中提取的金額幾乎是其在2021年底所持現金儲備41億美元的兩倍。

ads