比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 幣贏 > Info

NFT:釣魚網站“入侵”Web3 這些防騙技巧必須學會

Author:

Time:1900/1/1 0:00:00

在維基百科定義中,網絡釣魚是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

這些通信都聲稱來自于風行的社交網站、拍賣網站、網絡銀行、電子支付網站、或網絡管理者,以此來誘騙受害人的輕信。

網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例,它憑恃的是現行網絡安全技術的低親和度。

在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊,讓人防不勝防。

本文將揭露其中幾種web3世界里常見的釣魚方法,跟我們一起來看看吧。

Phishing

官方Discord被盜,發布釣魚信息

2022年5月23日,MEE6官方Discord遭受攻擊,導致賬號被盜,官方discord群里發布mint的釣魚網站信息。

推特用戶稱監測到黑客通過釣魚網站盜走29枚MoonbirdsNFT:5月26日消息,推特用戶Andeh#OnChain稱監測到ID為@Dvincent_(該賬戶目前已被注銷)的用戶通過釣魚網站p2peers.io盜走了29枚Moonbirds系列NFT,價值超70萬美元,該網站目前已無法訪問。該用戶表示,sarek.fi和p2peers.io都曾在過去的黑客事件中被使用,推特ID為@just1n_eth的BAYC系列NFT持有者也表示@Dvincent_曾與其聯系交易BAYCNFT,但由于對方堅持使用p2peers.io,所以最后并未進行交易。[2022/5/26 3:42:45]

2022年5月6日,NFT交易市場Opensea官方Discord遭受攻擊,黑客利用機器人賬號在頻道內發布虛假鏈接,并聲稱“OpenSea與YouTube達成合作,點擊鏈接可參與鑄造限量100枚的mintpassNFT”。

近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:

LBank藍貝殼官方聲明:謹防釣魚網站,警惕虛假信息:據LBank藍貝殼官方消息,今日有人假冒LBank藍貝殼官方網站,偽造了釣魚網站進行不法活動,請用戶警惕虛假信息。

對此,LBank藍貝殼鄭重聲明:LBank藍貝殼官方網站為LBK.la和LBank.me,請廣大用戶務必通過正規渠道下載和使用LBank藍貝殼APP,謹防上當受騙。同時,LBank藍貝殼嚴重警告相關不法分子立即停止此類違法犯罪行為,并保留對其追究法律責任的權利。[2021/5/1 21:16:12]

項目方員工遭受釣魚攻擊,導致賬戶被盜;

項目方下載惡意軟件,導致賬戶被盜;

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;

項目方遭受釣魚攻擊,添加惡意書簽從而繞過瀏覽器同源策略,導致項目方Discordtoken被盜。

防騙技巧

Phishing

周杰倫遭遇釣魚攻擊,價值百萬NFT被盜

2022年4月1日愚人節,周杰倫在Instagram上發文稱持有的BAYC#3738NFT已被盜。

動態 | 警惕釣魚網站omg-token.com空投詐騙,大量用戶私鑰遭竊取:據降維安全實驗室報道,近期發生多起因OMG釣魚網站(omg-token.com)以及Telegram假冒OMG空投導致用戶資產被竊案件。詐騙者聲稱持有ETH或者OMG即可免費領取OMG空投,誘導用戶點擊釣魚網站鏈接,用戶一旦輸入私鑰,資產就會被竊。降維安全實驗室建議用戶保持警惕,不要通過點擊鏈接到達的網站上輸入憑據或私鑰,謹防上當受騙。[2020/1/3]

據了解,該NFT在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后,發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接,隨后在11點左右簽名了授權交易,將NFT的權限授予了0xe34f0開頭的攻擊者錢包,可能這時候杰倫還沒意識到自己的NFT,已經處于風險之中。

僅僅過去幾分鐘,攻擊者就在11:07將無聊猿BAYC#3738NFT轉移到自己的錢包地址中,隨后在LooksRare和OpenSea上將盜取的NFT賣掉,獲得約169.6ETH。

動態 | 安全研究員成功關閉針對幣安用戶的釣魚網站:據CoinDesk報道,6月3日,安全研究員Harry Denley用了6個小時成功重構并關閉了一個針對幣安用戶的釣魚網站(logins-binance.com12754825.ml)。由于該釣魚網站的服務器是完全開放的,Denley從而能夠找到黑客的工具、日志甚至電子郵件地址。[2019/6/4]

防騙技巧:

Phishing

Google廣告漏洞置頂的釣魚網站

2022年5月10日,Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示,NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站,它利用Google廣告的漏洞,使真實網站和詐騙URL看起來完全相同,已經有約100ETH被盜。

防騙技巧

現已出現假冒虛擬貨幣交易所網站的釣魚網站: 隨著人們對于虛擬貨幣投資的狂熱,現已有很多虛擬貨幣交易所上線,但是最近出現了一些跟虛擬貨幣交易所網站地址相似的釣魚網站。根據調查,虛擬貨幣交易所Coinexchange的網上地址為‘www.coinexchange.io’,但類似釣魚網址的地址為‘www.coInexchanger.io’。[2018/2/19]

Phishing

假機器人偽裝成項目方私聊發送釣魚網站

最近,筆者在關注某一新項目時,從項目官網加入到了官方discord社群,加群后按照國際慣例先進行官方機器人身份驗證,然而這一條驗證消息卻是機器人私信發過來的,此時內心有些疑問,但是看到有“機器人”的提示標簽后,也沒多想。

但當我再打開鏈接的時候,發現它自動喚起了我的Metamask錢包,要求輸入密碼,此時基本確定網站有問題。后經過調試分析發現,該網站并非真正的Metamask彈出的,而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼,就會要求助記詞驗證,最后密碼和助記詞都會發送到攻擊者的后臺服務器,自此,你的錢包就已經被盜了。

防騙技巧

高仿域名和內容的釣魚網站

Phishing

目前筆者在市場上發現了各種各樣的假冒網站,它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的,其歸納分析,其主要有以下幾種形式:

更換頂級域名,主名不變。例如下圖中官網頂級域名是.com,釣魚網站頂級域名為.fun。

主名添加單詞或符號進行混淆,比如opensea-office,cyber-kongz等。

添加二級域名進行混淆,進行釣魚欺騙。

防騙技巧

上線了opensea的釣魚項目

Phishing

筆者前段時間在opensea遨游的時候,發現了一個官網還未開售的項目,卻在opensea上掛牌了10k,接近5.4kowner。一時間警惕心大起,仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名,后在opensea上線了相似名字的項目,且加上freemint等字樣吸引眼球。

此外,還有些釣魚網站也會聯合釣魚twitter一起進行詐騙:

防騙技巧

Phishing

真假合約地址

在今年3月出現了一種新騙局,也是讓人開了眼界。APEcoin項目的合約地址為:

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻擊者偽造了前后幾位均相同的假合約,聯合釣魚宣傳一起進行釣魚詐騙,假合約為:

0x4D221B9c0EE56604186a33F4f2433A3961C94381

這種攻擊方式不多見,但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常,卻幾乎不會有人全部記下來的。

防騙技巧

上述只列舉了釣魚詐騙界常見的手段,而如今在web3持續火爆的情況下,釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧,盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙,則可以采取下列措施盡可能補救:

補救措施

馬上進行資產隔離,盡快將剩余資產轉移到安全位置,避免更大的損失;

主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;

盡可能保留證據,尋求項目方或機構進行后續處理;

可尋求專業的安全公司進行資金追蹤,如成都鏈安。

最后,建議記錄并分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。

Tags:NFTISCCORDSCOxNFT價格Biscuit Farm FinanceCORD價格IjasCoin

幣贏
區塊鏈:兩會聚焦數字經濟 區塊鏈推動社保體系共治共享

今年3月,2022年全國兩會在北京召開,各代表委員積極建言獻策。會上,全國政協委員孫潔關于聚焦利用區塊鏈技術推動新就業形態勞務人員社保共治共享的議案引發人們關注.

1900/1/1 0:00:00
區塊鏈:NFT技術有望成為媒體和娛樂領域的一股變革性力量

區塊鏈技術因其顛覆性的潛力經常被比作互聯網,盡管區塊鏈最初是用于金融交易的杠桿,但它已迅速蔓延到幾乎所有行業——包括媒體和娛樂行業.

1900/1/1 0:00:00
WEB:硅谷跳槽熱潮:一場Web3的人才遷徙

中國有句古話叫:良禽擇木而棲。今年1月,YouTube游戲負責人RyanWyatt離職,加入PolygonStudios.

1900/1/1 0:00:00
FTX:愛優騰虧損、電影院倒閉 電影的出路在元宇宙?

今年的戛納電影節將在5月下旬如期而至,其中的VR電影你期待嗎?2022戛納XR沉浸影像單元入圍影片已在戛納官方網站公布,觀眾可在5月17日-28日期間.

1900/1/1 0:00:00
DID:DID:web3.0最重要的一塊拼圖

所有的勝利,都是來自對信仰的堅持。相信相信的力量,這里從未讓你我失望。歡迎關注星空價值投資,總要有人,仰望星空。有時候看得太遠似乎不太好.

1900/1/1 0:00:00
ROL:金色觀察|速覽Immutable將推出的跨Rollup NFT流動性解決方案

2022年5月25日,Immutable宣布和StarkNet合作推出鏈接多個L2/L3zk-rollup的跨Rollup流動性解決方案,為web3游戲帶來未來的十億玩家.

1900/1/1 0:00:00
ads