谨防：Discord 私信钓鱼手法分析

By：Thinking@慢雾安全团队

事件背景

5月16日凌晨，当我在寻找家人的时候，从项目官网的邀请链接加入了官方的?Discord?服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

钓鱼手法分析

我访问"机器人"(Captcha.bot)发来的链接后，是有让我进行人机验证的，但是当我验证通过后，发现它要求唤起我的小狐狸(MetaMask)钱包，唤起的钱包界面挺真实的，如下图所示，但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕，如果是插件唤起的就不会有这个"about:blank"的地址栏了。

新冠辉瑞口服药Paxlovid将做为帕劳RNS.ID供给访客保险的涵盖事项:1月14日消息，据帕劳RNS.ID，帕劳医院尚有充足的美供辉瑞口服药Paxlovid，帕劳对中国访客的入境要求将维持和对其他国家一致，允许到访14天前有两剂以上疫苗注射的旅客免签入境。

RNS将于1月17日起为Voyager Pass持有者先行提供免费保险，由平安保险公司承保，保险范围包含新冠，任何在帕劳境内确诊阳性的新冠患者将可以在帕劳本地医院获得包含但不限于美供辉瑞口服药Paxlovid的治疗。治疗费用300元人民币以上的部分由保险公司报销。

此前消息，Vitalik公开钱包地址与RNS Voyager Pass合约交互，使Voyager Pass成为V神首枚和仅有公开铸造的NFT。[2023/1/15 11:12:27]

接下来我随意输入了密码，并且通过审查元素查看，确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的，并不是真实的钱包界面，于是我开始调试这个钱包。

CZ：行业复苏基金或多达20亿美元:11月17日消息，TechCrunch记者Jacquelyn Melinek在个人社交媒体表示，Binance创始人CZ表示一直在对行业复苏基金进行讨论，其金额可能多达 20 亿美元。此前消息，Binance 将成立行业复苏基金，帮助优质项目度过流动性危机。[2022/11/18 13:19:10]

在随意输入密码后，这个虚假的钱包界面进入到"SecurityCheck"界面，要求我输入助记词进行验证。注意，输入的密码和和助记词会被加密发送到恶意站点的服务端。

通过分析域名可以发现，这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一个举报了。

数据：交易所储备稳定币达411.86亿美元 创历史新高:金色财经报道，据区块链分析公司Glassnode最新数据显示，由于持币者寻求自我保管的安全，比特币以创历史记录的速度从交易所被提走，自11月6日以来交易所经历了一次史上最大的比特币总余额净下降，在7天内减少了7.29万枚BTC。对以太币也有类似的观察，上周有101万枚以太坊从交易所提走，这是自2020年9月 \"DeFi之夏 \"的高峰期以来最大的30天内余额下降。另一方面，稳定币大幅净流入交易所，11月10日，USDT、USDC、BUSD和DAI合计流入超过10.4亿美元，这是历史上第七大日净流入量，并将所有交易所储备中持有的稳定币推到了411.86亿美元的历史新高，其中BUSD的主导地位明显增加，在交易所储备中持有超过214.4亿美元。这可能是Binance最近对BUSD进行稳定币整合的结果，也是其作为世界上最大交易所的主导地位不断增强的结果。最近几个月，USDT的交易所储备略有下降，USDC的储备下降幅度更大，表明市场偏好的潜在转变正在进行。[2022/11/16 13:11:22]

分析恶意账号

Shopify首席执行官在过去60天内购入近300万美元的Coinbase股票:10月4日消息，公开记录显示，Shopify的首席执行官Tobias Lütke在过去60天内购买了近300万美元的Coinbase股票。Lütke于去年2月成为了Coinbase董事会成员，因此他也算是Coinbase的一员，在法律层面上他需要向美国证券交易委员会（SEC）提交交易相关信息。（Bitcoin.com）[2022/10/4 18:39:19]

下载保存好恶意站点的源码后，我将情报发给了项目方团队，并开始分析这次钓鱼攻击的账号。由于我刚加入家人群，就收到了下面的这个地址发来的验证消息。经过分析，这个账号是一个伪装成Captcha.bot机器人的普通账号，当我加入到官方服务器后，这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接，从而引导我输入钱包密码和助记词。

我在相关频道里面搜索了Captcha.bot，发现有好几个假Captcha.bot，于是将这几个账号也一并同步给了项目方团队，项目方团队很给力，也很及时地进行了处理，把这几个假Captcha.bot删除了，并一起讨论了可能的防范方式。

再次收到钓鱼链接

事情还没结束，第二天早上又一位慢雾的小伙伴加入到官方Discord服务器中，再次收到恶意账户发来的私信，里面包含着一个钓鱼链接，不同的是，这次的钓鱼者直接伪装成官方的账户发送私信。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证，然而不是采用假小狐狸(MetaMask)的界面来用户，而是直接在页面上引导用户输入助记词了，这个钓鱼手法就没这么真。

钓鱼网站的域名和?IP?是app.importvalidator.org47.250.129.219，用的是阿里云的服务，同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷，用户要学会自己识别各种钓鱼手法避免被，项目方也要加强对用户安全意识的教育。

用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识，学会识别伪装MetaMask的攻击手法，网页唤起MetaMask请求进行签名的时候要识别签名的内容，如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。

项目方团队也要时刻关注社区用户的反馈，及时在社区Discord服务器中删除恶意账户，并在用户刚加入Discord服务器时进行防钓鱼的安全教育。

Discord隐私设置和安全配置参考链接：

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

标签：APTTCHATCHPTCaptos币价格估计Documentchaincoinwatch手表价格PTC价格

非小号热门资讯