背景

近期，慢霧(SlowMist)受邀參加DeFiHackLabs舉辦的EthereumWeb3SecurityBootCamp。作為演講嘉賓，慢霧安全審計(jì)負(fù)責(zé)人Thinking從“偽、餌、誘、攻、隱、技、辨、御”八個(gè)章節(jié)，結(jié)合實(shí)際案例，帶領(lǐng)學(xué)員深入了解釣魚(yú)黑客的作惡方式及隱匿手段，并提出了相關(guān)防范措施。釣魚(yú)是行業(yè)重災(zāi)區(qū)之一，知己知彼，才好做好防御工作。本文將提取分享會(huì)中的關(guān)鍵內(nèi)容，幫助用戶了解釣魚(yú)攻擊的現(xiàn)狀和有效規(guī)避釣魚(yú)攻擊威脅。為什么會(huì)被釣魚(yú)

盜取賬號(hào)/高仿賬號(hào)

近期Web3項(xiàng)目方/KOL的X賬號(hào)被盜事件頻發(fā)，攻擊者盜取賬號(hào)后常推廣虛假Tokens，或是在發(fā)布的“好消息”里構(gòu)建相似的域名誘騙用戶點(diǎn)擊。當(dāng)然，也存在域名是真實(shí)的情況，因?yàn)楣粽呖赡芙庸芰隧?xiàng)目方的域名。一旦受害者點(diǎn)進(jìn)釣魚(yú)鏈接，進(jìn)行簽名或者下載惡意軟件，便會(huì)被盜。

除了盜取賬號(hào)的方式，攻擊者在X上還常利用高仿的賬號(hào)在真實(shí)賬號(hào)的評(píng)論區(qū)留言以誘導(dǎo)用戶。慢霧安全團(tuán)隊(duì)曾做過(guò)針對(duì)性的分析統(tǒng)計(jì)：約有80%的知名項(xiàng)目方在發(fā)布推文后，評(píng)論區(qū)的第一條留言會(huì)被詐騙釣魚(yú)賬號(hào)所占據(jù)。攻擊者利用自動(dòng)化機(jī)器人關(guān)注知名項(xiàng)目方動(dòng)態(tài)，在項(xiàng)目方發(fā)布推文后，釣魚(yú)團(tuán)伙的機(jī)器人會(huì)自動(dòng)化第一時(shí)間留言以確保占據(jù)第一條留言位置，蹭到高瀏覽量。由于用戶正在瀏覽的帖子是真實(shí)項(xiàng)目方發(fā)送的，且經(jīng)過(guò)偽裝后的釣魚(yú)團(tuán)伙賬號(hào)和項(xiàng)目方的賬號(hào)高度相似，這時(shí)只要用戶警惕性不夠，點(diǎn)擊高仿賬號(hào)里空投等名義的釣魚(yú)鏈接，然后授權(quán)、簽名，便會(huì)損失資產(chǎn)。

邀約釣魚(yú)

攻擊者常通過(guò)和受害者在社交平臺(tái)建立聯(lián)系，向用戶推薦“優(yōu)質(zhì)”項(xiàng)目或者邀請(qǐng)用戶參加會(huì)議，引導(dǎo)受害者訪問(wèn)惡意的釣魚(yú)站點(diǎn)，下載惡意的應(yīng)用程序，此前便有用戶因?yàn)橄螺d了假Zoom導(dǎo)致被盜的情況。攻擊者使用形如“app[.]us4zoom[.]us”的域名偽裝成正常Zoom會(huì)議鏈接，頁(yè)面與真Zoom高度相似。當(dāng)用戶點(diǎn)擊“啟動(dòng)會(huì)議”按鈕，便會(huì)觸發(fā)下載惡意安裝包，而非啟動(dòng)本地Zoom客戶端或下載Zoom的官方客戶端。由于惡意程序在運(yùn)行時(shí)就誘導(dǎo)用戶輸入密碼，并且后續(xù)的惡意腳本也會(huì)采集電腦中插件錢(qián)包數(shù)據(jù)和KeyChain數(shù)據(jù)（可能包含用戶保存在電腦上的各種密碼），攻擊者收集后就會(huì)嘗試解密數(shù)據(jù)，獲得用戶的錢(qián)包助記詞/私鑰等敏感信息，從而盜取用戶的資產(chǎn)。

TG廣告

近期因?yàn)榧倜暗腡GBot而受損的用戶大幅增加，多位用戶報(bào)告在使用交易機(jī)器人時(shí)，頻道頂部出現(xiàn)了一個(gè)新的機(jī)器人，以為是官方新推出的，于是點(diǎn)進(jìn)新機(jī)器人導(dǎo)入私鑰綁定錢(qián)包，結(jié)果被盜。攻擊者利用Telegram精準(zhǔn)投放廣告至官方的頻道，引誘用戶點(diǎn)擊。這類釣魚(yú)手法隱蔽性較高，由于這個(gè)廣告出現(xiàn)在官方頻道，用戶很容易下意識(shí)認(rèn)為是官方發(fā)布的機(jī)器人，一旦警惕性不夠，點(diǎn)進(jìn)了釣魚(yú)Bot，上傳私鑰進(jìn)行綁定，便會(huì)被盜。

APP商城

應(yīng)用商城（GooglePlay，ChromeStore，AppStore，APKCombo等）上的軟件并不都是正版，很多時(shí)候商城沒(méi)有辦法對(duì)軟件進(jìn)行完全的審核。一些攻擊者通過(guò)購(gòu)買(mǎi)關(guān)鍵詞排名引流等方式誘導(dǎo)用戶下載欺詐App，請(qǐng)廣大讀者注意甄別，在下載前，一定要先查看應(yīng)用開(kāi)發(fā)者信息，確保其與官方公布的開(kāi)發(fā)者身份一致，還可以參考應(yīng)用評(píng)分、下載量等信息。

利用瀏覽器特性

詳情見(jiàn)慢霧：揭露瀏覽器惡意書(shū)簽如何盜取你的DiscordToken。防御挑戰(zhàn)

防御策略

釣魚(yú)風(fēng)險(xiǎn)阻斷插件：如ScamSniffer可以多維度檢測(cè)風(fēng)險(xiǎn)，用戶在打開(kāi)可疑的釣魚(yú)頁(yè)面時(shí)，工具會(huì)及時(shí)彈出風(fēng)險(xiǎn)提示。

交互安全性高的錢(qián)包：如Rabby的觀察錢(qián)包（無(wú)需私鑰）、釣魚(yú)網(wǎng)站識(shí)別、所見(jiàn)即所簽、高風(fēng)險(xiǎn)簽名識(shí)別、歷史記錄Scam識(shí)別等功能。

國(guó)際知名殺毒軟件：如AVG、Bitdefender、Kaspersky等。

硬件錢(qián)包：硬件錢(qián)包提供了一種離線存儲(chǔ)私鑰的方式，使用硬件錢(qián)包和DApp進(jìn)行交互的時(shí)候，私鑰不會(huì)暴露在網(wǎng)上，有效降低資產(chǎn)被盜風(fēng)險(xiǎn)。

寫(xiě)在最后

在Blockchain黑暗森林中，釣魚(yú)攻擊無(wú)處不在。修行就在起心動(dòng)念處，需要看好自己的心念，避免于境“起心動(dòng)念”而不自覺(jué)。行走于Blockchain黑暗森林，最根本的是要養(yǎng)成保持零信任和持續(xù)驗(yàn)證的習(xí)慣，建議大家深度閱讀并逐步掌握《Blockchain黑暗森林自救手冊(cè)》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/。