背景
近期,慢霧(SlowMist)受邀參加DeFiHackLabs舉辦的EthereumWeb3SecurityBootCamp。作為演講嘉賓,慢霧安全審計(jì)負(fù)責(zé)人Thinking從“偽、餌、誘、攻、隱、技、辨、御”八個(gè)章節(jié),結(jié)合實(shí)際案例,帶領(lǐng)學(xué)員深入了解釣魚(yú)黑客的作惡方式及隱匿手段,并提出了相關(guān)防范措施。釣魚(yú)是行業(yè)重災(zāi)區(qū)之一,知己知彼,才好做好防御工作。本文將提取分享會(huì)中的關(guān)鍵內(nèi)容,幫助用戶了解釣魚(yú)攻擊的現(xiàn)狀和有效規(guī)避釣魚(yú)攻擊威脅。為什么會(huì)被釣魚(yú)
盜取賬號(hào)/高仿賬號(hào)
近期Web3項(xiàng)目方/KOL的X賬號(hào)被盜事件頻發(fā),攻擊者盜取賬號(hào)后常推廣虛假Tokens,或是在發(fā)布的“好消息”里構(gòu)建相似的域名誘騙用戶點(diǎn)擊。當(dāng)然,也存在域名是真實(shí)的情況,因?yàn)楣粽呖赡芙庸芰隧?xiàng)目方的域名。一旦受害者點(diǎn)進(jìn)釣魚(yú)鏈接,進(jìn)行簽名或者下載惡意軟件,便會(huì)被盜。
除了盜取賬號(hào)的方式,攻擊者在X上還常利用高仿的賬號(hào)在真實(shí)賬號(hào)的評(píng)論區(qū)留言以誘導(dǎo)用戶。慢霧安全團(tuán)隊(duì)曾做過(guò)針對(duì)性的分析統(tǒng)計(jì):約有80%的知名項(xiàng)目方在發(fā)布推文后,評(píng)論區(qū)的第一條留言會(huì)被詐騙釣魚(yú)賬號(hào)所占據(jù)。攻擊者利用自動(dòng)化機(jī)器人關(guān)注知名項(xiàng)目方動(dòng)態(tài),在項(xiàng)目方發(fā)布推文后,釣魚(yú)團(tuán)伙的機(jī)器人會(huì)自動(dòng)化第一時(shí)間留言以確保占據(jù)第一條留言位置,蹭到高瀏覽量。由于用戶正在瀏覽的帖子是真實(shí)項(xiàng)目方發(fā)送的,且經(jīng)過(guò)偽裝后的釣魚(yú)團(tuán)伙賬號(hào)和項(xiàng)目方的賬號(hào)高度相似,這時(shí)只要用戶警惕性不夠,點(diǎn)擊高仿賬號(hào)里空投等名義的釣魚(yú)鏈接,然后授權(quán)、簽名,便會(huì)損失資產(chǎn)。
邀約釣魚(yú)
攻擊者常通過(guò)和受害者在社交平臺(tái)建立聯(lián)系,向用戶推薦“優(yōu)質(zhì)”項(xiàng)目或者邀請(qǐng)用戶參加會(huì)議,引導(dǎo)受害者訪問(wèn)惡意的釣魚(yú)站點(diǎn),下載惡意的應(yīng)用程序,此前便有用戶因?yàn)橄螺d了假Zoom導(dǎo)致被盜的情況。攻擊者使用形如“app[.]us4zoom[.]us”的域名偽裝成正常Zoom會(huì)議鏈接,頁(yè)面與真Zoom高度相似。當(dāng)用戶點(diǎn)擊“啟動(dòng)會(huì)議”按鈕,便會(huì)觸發(fā)下載惡意安裝包,而非啟動(dòng)本地Zoom客戶端或下載Zoom的官方客戶端。由于惡意程序在運(yùn)行時(shí)就誘導(dǎo)用戶輸入密碼,并且后續(xù)的惡意腳本也會(huì)采集電腦中插件錢(qián)包數(shù)據(jù)和KeyChain數(shù)據(jù)(可能包含用戶保存在電腦上的各種密碼),攻擊者收集后就會(huì)嘗試解密數(shù)據(jù),獲得用戶的錢(qián)包助記詞/私鑰等敏感信息,從而盜取用戶的資產(chǎn)。
TG廣告
近期因?yàn)榧倜暗腡GBot而受損的用戶大幅增加,多位用戶報(bào)告在使用交易機(jī)器人時(shí),頻道頂部出現(xiàn)了一個(gè)新的機(jī)器人,以為是官方新推出的,于是點(diǎn)進(jìn)新機(jī)器人導(dǎo)入私鑰綁定錢(qián)包,結(jié)果被盜。攻擊者利用Telegram精準(zhǔn)投放廣告至官方的頻道,引誘用戶點(diǎn)擊。這類釣魚(yú)手法隱蔽性較高,由于這個(gè)廣告出現(xiàn)在官方頻道,用戶很容易下意識(shí)認(rèn)為是官方發(fā)布的機(jī)器人,一旦警惕性不夠,點(diǎn)進(jìn)了釣魚(yú)Bot,上傳私鑰進(jìn)行綁定,便會(huì)被盜。
APP商城
應(yīng)用商城(GooglePlay,ChromeStore,AppStore,APKCombo等)上的軟件并不都是正版,很多時(shí)候商城沒(méi)有辦法對(duì)軟件進(jìn)行完全的審核。一些攻擊者通過(guò)購(gòu)買(mǎi)關(guān)鍵詞排名引流等方式誘導(dǎo)用戶下載欺詐App,請(qǐng)廣大讀者注意甄別,在下載前,一定要先查看應(yīng)用開(kāi)發(fā)者信息,確保其與官方公布的開(kāi)發(fā)者身份一致,還可以參考應(yīng)用評(píng)分、下載量等信息。
利用瀏覽器特性
詳情見(jiàn)慢霧:揭露瀏覽器惡意書(shū)簽如何盜取你的DiscordToken。防御挑戰(zhàn)
防御策略
釣魚(yú)風(fēng)險(xiǎn)阻斷插件:如ScamSniffer可以多維度檢測(cè)風(fēng)險(xiǎn),用戶在打開(kāi)可疑的釣魚(yú)頁(yè)面時(shí),工具會(huì)及時(shí)彈出風(fēng)險(xiǎn)提示。
交互安全性高的錢(qián)包:如Rabby的觀察錢(qián)包(無(wú)需私鑰)、釣魚(yú)網(wǎng)站識(shí)別、所見(jiàn)即所簽、高風(fēng)險(xiǎn)簽名識(shí)別、歷史記錄Scam識(shí)別等功能。
國(guó)際知名殺毒軟件:如AVG、Bitdefender、Kaspersky等。
硬件錢(qián)包:硬件錢(qián)包提供了一種離線存儲(chǔ)私鑰的方式,使用硬件錢(qián)包和DApp進(jìn)行交互的時(shí)候,私鑰不會(huì)暴露在網(wǎng)上,有效降低資產(chǎn)被盜風(fēng)險(xiǎn)。
寫(xiě)在最后
在Blockchain黑暗森林中,釣魚(yú)攻擊無(wú)處不在。修行就在起心動(dòng)念處,需要看好自己的心念,避免于境“起心動(dòng)念”而不自覺(jué)。行走于Blockchain黑暗森林,最根本的是要養(yǎng)成保持零信任和持續(xù)驗(yàn)證的習(xí)慣,建議大家深度閱讀并逐步掌握《Blockchain黑暗森林自救手冊(cè)》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/。
免責(zé)聲明:慢霧:Web3 釣魚(yú)手法解析文章轉(zhuǎn)發(fā)自互聯(lián)網(wǎng),版權(quán)歸其所有。
文章內(nèi)容不代表本站立場(chǎng)和任何投資暗示。加密貨幣市場(chǎng)極其波動(dòng),風(fēng)險(xiǎn)很高,可能不適合所有投資者。在投資加密貨幣之前,請(qǐng)確保自己充分了解市場(chǎng)和投資的風(fēng)險(xiǎn),并考慮自己的財(cái)務(wù)狀況和風(fēng)險(xiǎn)承受能力。此外,請(qǐng)遵循您所在國(guó)家的法律法規(guī),以及遵守交易所和錢(qián)包提供商的規(guī)定。對(duì)于任何因使用加密貨幣所造成的投資損失或其他損失,本站不承擔(dān)任何責(zé)任。
Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM