以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

以太坊交易所最好的以太坊交易所

首頁 > FTT > Info

多家交易所遭郵件釣魚攻擊 價值超40萬美元的BTC或失竊_ING:Magic Ethereum Money

Author:

Time:1900/1/1 0:00:00

據慢霧科技消息,近日,多家數字貨幣交易所向慢霧安全團隊反映,其收到了敲詐勒索信息。

敲詐者向交易所發送郵件或Telegram消息稱,交易所存在漏洞,一旦被攻擊,將導致平臺無法被打開。若要獲取漏洞報告,需向指定的地址支付BTC。然而,多家交易所表示其支付BTC后,對方只發送了初步的漏洞報告或沒有回應。

慢霧合伙人兼安全負責人海賊王向巴比特表示,

“目前已有5家交易所向我們反映了這種情況,敲詐者使用不同的郵箱或TelegramID,向交易所的相關負責人發送敲詐郵件,敲詐金額為0.1BTC至2BTC不等,并且使用的是不同的BTC地址。”截至發稿,據不完全統計,敲詐者的TelegramID有@zed1331、@bbz12、@samzzcyber,郵箱有,BTC地址有3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxy,該地址入賬約43.45個BTC,如下圖。

截圖自Blockchain.com

1

海賊王向巴比特提供了詐騙郵件原文,郵件稱,“交易所存在‘Web服務整型溢出’漏洞,一旦被攻擊,將導致Web服務器崩潰,最終無法訪問.....我們能解決此類漏洞問題......若要獲取漏洞報告,需支付2個BTC至指定地址。”

值得注意的是,該郵件還指出,“截至2019年3月1日,已獲得了約10萬美元的賞金,打賞機構包括KuCoin、CoinSwitch、Phantasma、PlatonFinance、VulnerabilityAnalysis、STEXExchange、XCOYNZProject等。”

海賊王向巴比特透露,在與KuCoin交易所的相關負責人取得聯系后,負責人表示確實有Telegram用戶反映漏洞問題,但KuCoin并未支付2BTC賞金,提醒大家不要相信騙子。

截圖由KuCoin相關負責人提供

還有一類與Linkedin相關的釣魚郵件,大致內容如下:

Hey,Wehavefoundaneftyintegeroverflowvulnerabilityon=>https://www.xxx.comAttackercouldalterwebserver.Ihaveexperienceworkingtoupgradesecurityforlargeexchanges,likexxx,andwouldliketoproposeaboutthis.

Maywegoontodemonstratethisvuln?

YoucanverifymeasansecurityresearcheronLinkedInasfollows:=>https://www.linkedin.com/in/xxxxx/

海賊王分析稱,

“郵件包含一個Linkedin鏈接,因為在Linkedin平臺上需要登錄個人賬號才能查看個人信息,所以當交易所工作人員登錄自己的Linkedin賬號,去查看提交漏洞人員的Linkedin賬號信息時,攻擊者也能查看到交易所工作人員的信息,從而獲取其社交平臺的其他信息。”2

近幾年,數字貨幣市場的資金量呈現井噴式爆發,以交易市場操縱風險、交易平臺風險、詐騙風險、錢包風險為主的安全風險屢見不鮮。

除了上述的郵件釣魚攻擊外,其他類型的釣魚攻擊包括域名釣魚、Twitter1for10、假APP和假工作人員等。

所謂“釣魚攻擊”,指的是攻擊者偽裝成可以信任的人或機構,通過電子郵件、通訊軟件、社交媒體等方式,以獲取收件人的用戶名、密碼、私鑰等私密信息。海賊王認為,此次郵件釣魚攻擊事件中,部分交易所之所以上當受騙,主要由于交易所缺少專業的安全漏洞判斷能力,信息孤立導致其無法對當前漏洞的整體情況作出準確判斷。他說,

“對于交易所來說,不管對方是不是真的發現了漏洞,只要價格合適,都愿意花錢賭一把。如果賭對了,那么交易所就能少一次被曝光漏洞的公關危機,或少一次平臺被攻擊的可能;如果賭虧了,虧的也不多,可以承受。騙子就是利用了交易所的這種心理。”對于初次遭遇釣魚攻擊的交易所,他建議,

“首先,不要一激動就打開攻擊者發送的內容里面的任何鏈接或者文件,可能有木馬病;其次,在攻擊者沒有確切告知漏洞細節之前,不要轉給攻擊者BTC;最后,如果有交易所無法準確判斷和獨自處理,可以聯系安全公司協助處理。”附:

It'smorelikeanvulnerabilitywhichallowsanattackertocrashthewebserverofthefollowingwebsite."Integer-overflow"related.Theattackvectoritselfholdsahugesecurityrisk,whenexploited,thewebservercouldcrashduetoit,andeventuallybeunreachable.Theflawhasbeendonethroughexploitablewebelementsonyourwebsite.

Ourproposalisbasedoninformation-security(infosec)regardingcybersecurity.

Confidentiality:assistinfosecwiselytoimplementfirewalls,intrusiondetectorsandpreventiontechnologiestoensurereliableprovidedservice.(notactualserveraccessrequired.)

Availability:InordertoensurethatIwouldhaveinfosecurityonredundancyandbackups,when/ifoneoftheserversisdown,thesecondserverwouldreplaceitandensurethattheservicesareupandrunningwithoutanydowntime.

Generalknowledge=>Thistypeofattackasdemonstradedarebasedonexploitingwebsiteelements:thesecanincludeforms,directwebserverexploit,orDNSleakingfortheactualbackendserver,whichgivesanmaliciousattackermultiplechancestoworkwith.

We'daddresstherequiredknowledgeneededtocounterthistypeofthreats.

Thesefollowingitemslistedbelowareourmainfocuseswhatwewillsendreportstoregarding,nexttoevery"tobeaddressed"phase;

Wehaveaddedinashortmeaningonwhatdoesitincludeascanbeseen.

?Theauditprocess1.1Auditplanning&preparation1.2Establishingauditobjectives1.3Performingthereview1.4Issuingthereviewreport

?TheauditSystem2.1NetworkingSecurity2.2BackendInstallation/Security2.3APIAudition2.4CDNAntimaliciousattacksprotection2.5CodeAudit:checkingvulnerabilityinanyPHP/ASP/JScode

Vouchesbycompanies:

1.KuCoin=>{https://i.imgur.com/y0AXMCn.jpg "/>]

2.CoinSwitch=>https://i.imgur.com/l8D8g9p.jpg "/>]

CoinSwitchContractexample=>https://i.imgur.com/P2hMNxD.jpg "/>

3.Phantasma=>https://i.imgur.com/y1QCOuL.jpg "/>]

4.PlatonFinance=>https://i.imgur.com/189Ejdz.jpg "/>]

5.VulnerabilityAnalysis(justanexample)

=>https://i.imgur.com/V0C19KZ.jpg "/>

andmanymore.

6.STEXExchangepaid3BTCforourinfosecandanalysis:=>https://m.imgur.com/18tAXah

7.ProofofKucoinPaymenttous:https://i.imgur.com/trBbVKP.jpg "/>

8.XCOYNZProject:https://i.imgur.com/UbUliaI.jpg "/>

Proofofcompensations:Differentcompanieswhichsomeincludedbeseeninmultiplevouchesabove,haverewardedmealmosttotalof[$102,783.91USDon01/03/2019rateforsecurityrelatedbounties,cybersecurity,demonstrations,anddifferentVAreports.

BlockchainURL:=>https://www.blockchain.com/btc/address/3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxy

PricingfortheInfosec/Auditoffered:=>2BTC

Tomakeitclearthepricewillbeone-timepaymentandafterwardstherewon'tbeanycharge.Youcanconsultusfurtheratanytime.

Tags:THESECINGCOMMagic Ethereum MoneyJSEcoinLots GamingCOM價格

FTT
火龍果財經:區塊鏈適合應用的8大場景_WEB3:加密貨幣

發現區塊鏈技術到底會給企業級的信息技術公司帶來什么好處。有一大部分讓我們幫忙的工程和區塊鏈半點關系都沒有。受到大家追捧的區塊鏈也不是萬能的,下面為大家介紹區塊鏈適合用在什么地方.

1900/1/1 0:00:00
所有比特幣被挖完后會發生什么?_比特幣:CHA

作為加密貨幣的鼻祖,比特幣總量上限為2100萬枚。截至目前,全世界挖出來的比特幣數量已達到總數的83%之多,而預計到2040年,超過99%的比特幣將會被挖出來.

1900/1/1 0:00:00
走出紐約 Coinsource 以及正在擴展的比特幣ATM網絡_比特幣:hungflowercoin

普通ATM機使用起來非常方便:插入銀行卡后,就可以取出現金。比特幣ATM機也應該遵循同樣的設計理念。科技會讓人們的生活變得更加便捷,但技術本身并不簡單.

1900/1/1 0:00:00
比特幣穩中有升,加密資產市場整體上漲_加密貨幣:比特幣

加密貨幣市值排名第1的Bitcoin據比推行情,當前價格為8154.81美元,總市值1447.97億美元,24小時內上漲1.96%。最高價格為8179.93美元,最低價格為8012.17美元.

1900/1/1 0:00:00
Binance服務協議審核_ANC:Opsya Insurance

親愛的用戶: 作為Binance合規工作的一部分,Binance將持續對用戶賬戶進行合規檢查,以使Binance能夠符合全球范圍內的合規需求.

1900/1/1 0:00:00
幣圈內外 遍地智商稅_比特幣:INB

你想成功對不對?你想暴富對不對?你想升職對不對?你想輕輕松松年薪百萬對不對?你想通過理財財務自由對不對?而且你還不想好好努力認真學習對不對?是的話,就來交智商稅吧!應該大家都知道智商稅這個詞.

1900/1/1 0:00:00
ads