在维基百科定义中,网络钓鱼是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪过程。
这些通信都声称来自于风行的社交网站、拍卖网站、网络银行、电子支付网站、或网络管理者,以此来诱受害人的轻信。
网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例,它凭恃的是现行网络安全技术的低亲和度。
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
本文将揭露其中几种web3世界里常见的钓鱼方法,跟我们一起来看看吧。
01Phishing-官方Discord被盗,发布钓鱼信息
2022年5月23日,MEE6官方Discord遭受攻击,导致账号被盗,官方discord群里发布mint的钓鱼网站信息。
美股低开纳指跌1%:金色财经报道,美股三大指数集体低开,道指跌0.61%,纳指跌1%,标普500指数跌0.76%。[2023/7/6 22:22:03]
2022年5月6日,NFT交易市场Opensea官方Discord遭受攻击,黑客利用机器人账号在频道内发布虚假链接,并声称“OpenSea与YouTube达成合作,点击链接可参与铸造限量100枚的mintpassNFT”。
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;项目方下载恶意软件,导致账户被盗;项目方未设置双因素认证且使用弱密码导致账户被盗;项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。防技巧
1作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。2作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
Wintermute在2022年前九个月的收入为2.25亿美元:金色财经报道,数字资产交易公司Wintermute在2022年前九个月的收入为2.25亿美元,而2021年全年收入为10亿美元。2021年,这家由前Optiver交易员 Evgeny Gaevoy 领导的公司报告的利润为 5.82 亿美元。Gaevoy向福布斯称,Wintermute拥有4亿美元的股权和7.2亿美元的资产。[2022/12/21 21:57:09]
02Phishing-周杰伦遭遇钓鱼攻击,价值百万NFT被盗
2022年4月1日愚人节,周杰伦在Instagram上发文称持有的BAYC#3738NFT已被盗。
据了解,该NFT在今年1月由黄立成赠送。在成都链安安全团队的查看之后,发现周杰伦其0x71de2开头的钱包地址先去mint新项目后遭遇到钓鱼链接,随后在11点左右签名了授权交易,将NFT的权限授予了0xe34f0开头的攻击者钱包,可能这时候杰伦还没意识到自己的NFT,已经处于风险之中。
仅仅过去几分钟,攻击者就在11:07将无聊猿BAYC#3738NFT转移到自己的钱包地址中,随后在LooksRare和OpenSea上将盗取的NFT卖掉,获得约169.6ETH。
Coinbase暂停制作BAYC NFT短片三部曲的计划:12月5日消息,Coinbase已证实其以Bored Ape Yacht Club(BAYC)为主题的“The Degen Trilogy”短片系列的制作已经暂停。此前7月份,Coinbase已发布该三部曲的第一部分“RUN THE CHAIN”。
Coinbase发言人表示:“我们正在不断改进我们的内容策略,并决定暂停剩余两部短片的制作,同时我们确定创意的最佳前进道路。我们将继续专注于更直接的创造性努力。”但该发言人拒绝详细说明暂停制作的原因。
报道称,该三部曲的第一部分在发布后受到社区广泛批评,且发布时机并不好,因为是在Coinbase 6月份的大裁员后发布的。自4月推出以来,Coinbase NFT市场的交易量仅为700万美元,Coinbase首席产品官Surojit Chatterjee已于11月底辞职。(Decrypt)[2022/12/5 21:23:01]
防技巧:
1作为用户一定不要轻信私聊,攻击者一般会通过私信或邮件来引诱你点击钓鱼网站链接。一切信息先以官网为准,辅助交叉验证,多个渠道验证多份保障。2周董这次中招是在mint新项目后,猜测子利用刚刚用户mint新项目后心情好,警惕放松之后迅速推送钓鱼链接进行攻击,所以用户在反诈上一定不能有任何放松,确保每一步都是安全的。
韩国法务部长官与美国检察官员就加密货币相关案件调查合作进行讨论:7月6日消息,韩国官员周三表示,该国法务部长官韩东勋(Han Dong-hoon)在访问纽约期间会见了美国检察官员,讨论了加强金融犯罪调查合作的方法,特别是加密货币领域。
官员们表示,韩东勋与纽约南区联邦检察官办公室证券与商品特别工作组负责人Andrea M. Griswold以及该办公室证券与商品欺诈特别工作组负责人Scott Hartman于周二会面。
双方讨论了加强首尔南部地方检察厅和纽约南部地方检察院在打击重大证券欺诈和金融犯罪方面的合作和信息交流的方案,还同意分享正在进行的加密案件的最新调查数据,包括围绕UST以及Luna崩盘的案件。
据悉,韩国检察机关正在调查围绕UST以及Luna可能的欺诈指控,而美国SEC正在调查Terraform Labs联合创始人兼首席执行官Do Kwon,以及UST在崩盘前的营销是否违反了投资者保护规定。(韩联社)[2022/7/6 1:54:31]
03Phishing-Google广告漏洞置顶的钓鱼网站
2022年5月10日,Discord和加密威胁缓解系统Sentinel创始人Serpent发推表示,NFT交易平台X2Y2在Google搜索页面的首个搜索结果是网站,它利用Google广告的漏洞,使真实网站和URL看起来完全相同,已经有约100ETH被盗。
Hester Peirce:稳定币可能不属于美国证券交易委员会的管辖范围:金色财经报道,被称为“加密老干妈”的美国证券交易委员会专员Hester Peirce在最近一次接受彭博社采访中透露,制定稳定币法规可能不属于美国证券交易委员会的管辖范围,美国国会已经对此事进行了调查以提供指导。但Hester Peirce补充说,由于Terra崩盘事件造成了很大影响,美国国会可能会迅速采取行动,对稳定币行业制定新的规则,她还透露美国证券交易委员会和美国商品期货交易委员会对加密衍生品市场的监管职责仍未明确,国会可能需要具体说明两家监管机构的职责范围。[2022/5/23 3:34:35]
防技巧
1搜索引擎虽然方便,但不一定为真。搜索引擎的广告系统是很容易被恶意网站利用的,用户尽量通过官方twitter或者Google认证过的官方网站入口进入。确认官方信息时尽量进行交叉确认。2平常养成注意细节的好习惯,搜索引擎搜出来的结果,如果是广告会有Ad字样,避免入坑被钓鱼。
04Phishing-假机器人伪装成项目方私聊发送钓鱼网站
最近,笔者在关注某一新项目时,从项目官网加入到了官方discord社群,加群后按照国际惯例先进行官方机器人身份验证,然而这一条验证消息却是机器人私信发过来的,此时内心有些疑问,但是看到有“机器人”的提示标签后,也没多想。
但当我再打开链接的时候,发现它自动唤起了我的Metamask钱包,要求输入密码,此时基本确定网站有问题。后经过调试分析发现,该网站并非真正的Metamask弹出的,而是虚假网站仿冒的Metamask钱包界面。而如果你输入密码,就会要求助记词验证,最后密码和助记词都会发送到攻击者的后台服务器,自此,你的钱包就已经被盗了。
防技巧
1对于discord私信一定要提高警惕:官方机器人是不会私信要求验证的,一定要先确认是官方机器人的消息。最好的方法是关闭私信消息。2验证身份过程中,是不会要求连接钱包的。3相信直觉,觉得奇怪或者反常的操作一定要留个心眼,多进行信息的交叉验证。
05Phishing-高仿域名和内容的钓鱼网站
目前笔者在市场上发现了各种各样的假冒网站,它们大多对官方网站进行域名、内容等超高程度的模仿。这种方式应该是网络钓鱼中最普遍的存在的,其归纳分析,其主要有以下几种形式:
更换顶级域名,主名不变。例如下图中官网顶级域名是.com,钓鱼网站顶级域名为.fun。
主名添加单词或符号进行混淆,比如opensea-office,cyber-kongz等。
添加二级域名进行混淆,进行钓鱼。
防技巧
1进入网站时,找到官方twitter或discord,对链接进行对比,看是否正确。2时刻保持警惕:虽然这类钓鱼网站最容易识别,但是量极其大,用户稍不注意就容易上当受。3安装反钓鱼插件,可有效辅助识别一部分钓鱼网站。但最重要还是需要用户有谨慎的态度。
06Phishing-上线了opensea的钓鱼项目
笔者前段时间在opensea遨游的时候,发现了一个官网还未开售的项目,却在opensea上挂牌了10k,接近5.4kowner。一时间警惕心大起,仔细分析发现了钓鱼的新套路。这个项目首先利用方式5制作了高仿的官网和相似域名,后在opensea上线了相似名字的项目,且加上freemint等字样吸引眼球。
此外,还有些钓鱼网站也会联合钓鱼twitter一起进行:
防技巧
1注意辨别twitter账号。钓鱼大号一般也会有大量的粉丝,但是评论大部分都是僵尸号评分,或者创建日期早,但是近期才活跃等。2Opensea上线的项目不一定都是官网正版项目,目前上面仍存在不少仿盘和钓鱼的项目,需要用户仔细甄别。3从多渠道获取信息,保证官网、opensea项目、twitter、discord等多个信息的交叉验证。也可直接与官方进行联系,验证真假。
07Phishing-真假合约地址
在今年3月出现了一种新局,也是让人开了眼界。APEcoin项目的合约地址为:
0x4d224452801ACEd8B2F0aebE155379bb5D594381
而攻击者伪造了前后几位均相同的假合约,联合钓鱼宣传一起进行钓鱼,假合约为:
0x4D221B9c0EE56604186a33F4f2433A3961C94381
这种攻击方式不多见,但是迷惑性很强。不少有安全意识的人会下意识看下合约地址前后几位是否正常,却几乎不会有人全部记下来的。
防技巧
1对于直接对合约地址进行转账交易时,最好全文核对合约地址的正确性。2确认地址是从官方途径正常获取,避免中间被攻击者截获修改。
补救措施
上述只列举了钓鱼界常见的手段,而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-尽可能保留证据,寻求项目方或机构进行后续处理;
-可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
投资者探底:比特币经历有史以来最长连跌之后出现上涨 北京时间6月7日早间消息,据报道,在经历了6个月的抛售之后,加密货币投资者继续探寻“底部”,比特币随之在周末走高.
1900/1/1 0:00:00圈流传着这样一句话:大热必死。过去的一些“天王级项目”,给很多人留下了惨痛的教训。近日一个让币圈集体狂欢的明星项目Optimism,其代币OP上线后竟也沦为新的韭菜屠宰场.
1900/1/1 0:00:00韩国以其严格的加密货币监管立场而闻名,目前正对元宇宙押下重注。政府将直接投资逾2237亿韩元(1.771亿美元)用于各种元宇宙项目。投资新兴元宇宙技术的决定使韩国成为首批这样做的国家政府之一.
1900/1/1 0:00:00消息面今天凌晨,Solana主网再度发生宕机事件,原因是该区块链的持久随机数功能存在错误,导致部分网络认为该区块无效,无法形成共识。近年来,Solana在NFT和DeFi生态系统中越来越受欢迎,因为它较以太坊费用更便宜、速度更快.
1900/1/1 0:00:00本号的文章只做研究、学习和交流使用,不具有任何的操作指导意义,事实上也不赞成去操作初升的太阳,为什么格外火红明亮。带露的鲜花,为什么格外绚丽芬芳。因为今天,是一个值得纪念的日子,那就是六一儿童节.
1900/1/1 0:00:00区块链于2009年首次推出,并发布了其首个应用程序——比特币。如果按照最简单的应用方式来解释,区块链是一种去中心化的数字记录系统,令不受信任的交易各方可以共享数字历史记录,并且无需中介即可达成共识.
1900/1/1 0:00:00