在維基百科定義中,網絡釣魚(Phishing)是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。
這些通信都聲稱(自己)來自于風行的社交網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網絡銀行、電子支付網站(PayPal)、或網絡管理者(雅虎、互聯網服務提供商、公司機關),以此來誘騙受害人的輕信。
網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例,它憑恃的是現行網絡安全技術的低親和度。
在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊(詳見維基百科:社會工程學),讓人防不勝防。
本文將揭露其中幾種web3世界里常見的釣魚方法,跟我們一起來看看吧。
慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]
Phishing
官方Discord被盜,發布釣魚信息
2022年5月23日,MEE6官方Discord遭受攻擊,導致賬號被盜,官方discord群里發布mint的釣魚網站信息。
2022年5月6日,NFT交易市場Opensea官方Discord遭受攻擊,黑客利用機器人賬號在頻道內發布虛假鏈接,并聲稱“OpenSea與YouTube達成合作,點擊鏈接可參與鑄造限量100枚的mint pass NFT”。
派盾:檢測到多個OpenSea相關釣魚網站竊取用戶錢包助記詞:4月26日消息,據派盾發推稱,已檢測到數十個OpenSea相關釣魚網站。這些網站插入虛假的MetaMask瀏覽器擴展程序,冒充OpenSea幫助中心以竊取用戶錢包助記詞。[2022/4/26 5:12:50]
近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:
項目方員工遭受釣魚攻擊,導致賬戶被盜;
項目方下載惡意軟件,導致賬戶被盜;
項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;
項目方遭受釣魚攻擊,添加惡意書簽從而繞過瀏覽器同源策略,導致項目方Discord token被盜。
防騙技巧
周杰倫遭遇釣魚攻擊,價值百萬NFT被盜
2022年4月1日愚人節,周杰倫在Instagram上發文稱持有的BAYC#3738 NFT已被盜。
動態 | 警惕釣魚網站eos-pay.vip 已有數百人被騙 被騙金額約14600個EOS:據降維安全實驗室報道,近期釣魚網站eos-pay.vip再度活躍,攻擊者(eospayairdrp)通過小額代幣轉賬群發釣魚網站推送給EOS用戶,誘導用戶下載APP領取10000枚EP空投,用戶一旦下載安裝使用該網站APP,則私鑰會遭到竊取,所有的數字資產將被盜。據統計,該賬戶(eospayairdrp)已盜取約14565個EOS,現價值約45萬人民幣。降維安全實驗室在此提醒廣大用戶對EOS交易轉賬備注內的推廣鏈接謹慎點擊,切忌安裝來歷不明的APK文件,以免遭受資產損失。[2019/9/19]
據了解,該 NFT 在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后,發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接,隨后在11點左右簽名了授權(approve)交易,將NFT的權限授予了0xe34f0開頭的攻擊者錢包,可能這時候杰倫還沒意識到自己的NFT,已經處于風險之中。
僅僅過去幾分鐘,攻擊者就在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中,隨后在LooksRare和OpenSea上將盜取的NFT賣掉,獲得約169.6 ETH。
動態 | OTC交易平臺LocalBitcoins遭黑客入侵 登陸頁面成釣魚網網站:據Reddit文章爆料,比特幣OTC交易平臺LocalBitcoins已被入侵,該網站的論壇登陸頁面已定向到釣魚站點。一旦進入釣魚網站,模仿實際的LocalBitcoins論壇將欺騙用戶,用戶被提示登錄并輸入敏感的雙重身份驗證代碼。一旦黑客獲得賬戶信息,比特幣隨即被清空。目前LocalBitcoins已暫停取款。[2019/1/27]
防騙技巧:
Google廣告漏洞置頂的釣魚網站
2022年5月10日,Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示,NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站,它利用 Google 廣告的漏洞,使真實網站和詐騙URL看起來完全相同,已經有約100 ETH被盜。
SmartMesh基金會稱有團隊開發釣魚網站欺詐用戶:據SmartMesh基金會稱,有欺詐網站模仿SmartMesh APP、團隊logo、項目介紹、進度更新等,并誘導用戶進入釣魚網站。SmartMesh項目是一個基于區塊鏈的物聯網底層協議。[2018/6/13]
假機器人偽裝成項目方私聊發送釣魚網站
最近,筆者在關注某一新項目時,從項目官網加入到了官方discord社群,加群后按照國際慣例先進行官方機器人身份驗證,然而這一條驗證消息卻是機器人私信發過來的,此時內心有些疑問,但是看到有“機器人”的提示標簽后,也沒多想。
但當我再打開鏈接的時候,發現它自動喚起了我的Metamask錢包,要求輸入密碼,此時基本確定網站有問題。后經過調試分析發現,該網站并非真正的Metamask彈出的,而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼,就會要求助記詞驗證,最后密碼和助記詞都會發送到攻擊者的后臺服務器,自此,你的錢包就已經被盜了。
高仿域名和內容的釣魚網站
目前筆者在市場上發現了各種各樣的假冒網站,它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的,其歸納分析,其主要有以下幾種形式:
(1)更換頂級域名,主名不變。例如下圖中官網頂級域名是.com,釣魚網站頂級域名為.fun。
(2)主名添加單詞或符號進行混淆,比如opensea-office,cyber-kongz等。
(3)添加二級域名進行混淆,進行釣魚欺騙。
上線了opensea的釣魚項目
筆者前段時間在opensea遨游的時候,發現了一個官網還未開售的項目,卻在opensea上掛牌了10k,接近5.4kowner。一時間警惕心大起,仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名,后在opensea上線了相似名字的項目,且加上free mint等字樣吸引眼球。
此外,還有些釣魚網站也會聯合釣魚twitter一起進行詐騙:
真假合約地址
在今年3月出現了一種新騙局,也是讓人開了眼界。APEcoin項目的合約地址為:
0x4d224452801ACEd8B2F0aebE155379bb5D594381
而攻擊者偽造了前后幾位均相同的假合約,聯合釣魚宣傳一起進行釣魚詐騙,假合約為:
0x4D221B9c0EE56604186a33F4f2433A3961C94381
這種攻擊方式不多見,但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常,卻幾乎不會有人全部記下來的。
馬上進行資產隔離,盡快將剩余資產轉移到安全位置,避免更大的損失;
主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;
盡可能保留證據,尋求項目方或機構進行后續處理;
可尋求專業的安全公司進行資金追蹤,如成都鏈安。
最后,建議記錄并分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。
過去一年,一些知名風險投資公司已經建立了加密貨幣部門。紅杉資本(Sequoia Capital)今年2月宣布成立5億美元以上的加密貨幣基金,主要投資于在第三方交易所交易的加密貨幣.
1900/1/1 0:00:00在這個困難時期給我們的投資組合家庭、投資者和加密貨幣領域的朋友的一封信,我們站在一起,我們一起相信明天會更好.
1900/1/1 0:00:00去中心化金融(DeFi)帶來了自治協議,其功能由(有時)不可更改的智能合約確保。它使來自世界各地的個人能夠使用金融服務,這些服務同時具有主權、可訪問性,并且比傳統金融中可用的服務更有效率和彈性.
1900/1/1 0:00:00去中心化金融 ( DeFi ) 是指區塊鏈應用程序,可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然 DeFi 帶來了高回報,但它也帶來了很多風險.
1900/1/1 0:00:00無聊猿母公司Yuga Labs最近動作不斷,先是宣布收購CryptoPunks和Meebits,緊接著推出代幣ApeCoin并進行空投.
1900/1/1 0:00:00目前Web3發展之快,以至于很難迅速消化,而困擾現實世界、原始互聯網和Web 2.0的問題也存在于Web3中;匆忙將“向好”與Web3聯系在一起忽略了其中的復雜性:在面對集中的控制權、固有的能源.
1900/1/1 0:00:00