钓鱼网站“入侵”Web3 这些防技巧必须学会

在维基百科定义中，网络钓鱼（Phishing）是一种企图从电子通信中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪过程。

这些通信都声称（自己）来自于风行的社交网站（YouTube、Facebook、MySpace）、拍卖网站（eBay）、网络银行、电子支付网站（PayPal）、或网络管理者（雅虎、互联网服务提供商、公司机关），以此来诱受害人的轻信。

网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证，要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例，它凭恃的是现行网络安全技术的低亲和度。

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击（详见维基百科：社会工程学），让人防不胜防。

本文将揭露其中几种web3世界里常见的钓鱼方法，跟我们一起来看看吧。

慢雾：近期出现假冒UniSat的钓鱼网站，请勿交互:5月13日消息，慢雾首席信息安全官 /img/2022812221022/1.jpg" />

2022年5月6日，NFT交易市场Opensea官方Discord遭受攻击，黑客利用机器人账号在频道内发布虚假链接，并声称“OpenSea与YouTube达成合作，点击链接可参与铸造限量100枚的mint pass NFT”。

Revoke.cash发布浏览器插件，可弹窗提示钓鱼网站风险:7月30日消息，代币余额与权限查询协议Revoke.cash发布基于Chromium的开源浏览器插件，当用户与疑似钓鱼网站交互时，能够以弹窗形式提示用户注意授权风险，该浏览器插件适用于任何基于EVM的链上网络。

目前该扩展程序可通过Chrome Web Store在Chrome、Brave、Edge和其他基于Chromium的浏览器上使用，将来可能会添加对其他浏览器（例如Firefox或Safari）的支持。[2022/7/30 2:47:27]

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

项目方员工遭受钓鱼攻击，导致账户被盗；

项目方下载恶意软件，导致账户被盗；

项目方未设置双因素认证且使用弱密码导致账户被盗；

项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discord token被盗。

防技巧

周杰伦遭遇钓鱼攻击，价值百万NFT被盗

钓鱼网站冒充火币官网，投资者须警惕:今日，火币全球站接到举报，有钓鱼网站冒充火币发布公告，在社群传播“ERD空投活动”。火币全球站郑重声明，火币未发布任何关于“ERD空投活动”，请广大交易者提高警惕，认清火币官方网站地址。火币全球站官方网站域名为：

https://www.huobi.me/zh-cn/

火币全球站帮助中心地址域名为：

https://support.huobiservice.com/[2020/6/13]

2022年4月1日愚人节，周杰伦在Instagram上发文称持有的BAYC#3738 NFT已被盗。

据了解，该 NFT 在今年1月由黄立成赠送。在成都链安安全团队的查看之后，发现周杰伦其0x71de2开头的钱包地址先去mint新项目后遭遇到钓鱼链接，随后在11点左右签名了授权（approve）交易，将NFT的权限授予了0xe34f0开头的攻击者钱包，可能这时候杰伦还没意识到自己的NFT，已经处于风险之中。

动态 | BitMEX提醒用户防范钓鱼网站:BitMEX官方发微博称，最近子猖獗，请注意BitMEX的客服渠道只有support/img/2022812221022/6.jpg" />

防技巧：

Google广告漏洞置顶的钓鱼网站

2022年5月10日，Discord和加密威胁缓解系统Sentinel创始人Serpent发推表示，NFT交易平台X2Y2在Google搜索页面的首个搜索结果是网站，它利用 Google 广告的漏洞，使真实网站和URL看起来完全相同，已经有约100 ETH被盗。

赵长鹏解读钓鱼网站运作方式:币安创始人赵长鹏再发推文，剖析了钓鱼网站运作方式，他首先配图指出钓鱼网站的域名中两个字母下方比正确地址多了两个点。他还表示，用户在钓鱼网站登录后跳转到真的币安。此外一旦登录后，用户就不能再进入钓鱼网站，而是自动跳转到币安（即使登出账号后）。[2018/3/8]

假机器人伪装成项目方私聊发送钓鱼网站

最近，笔者在关注某一新项目时，从项目官网加入到了官方discord社群，加群后按照国际惯例先进行官方机器人身份验证，然而这一条验证消息却是机器人私信发过来的，此时内心有些疑问，但是看到有“机器人”的提示标签后，也没多想。

但当我再打开链接的时候，发现它自动唤起了我的Metamask钱包，要求输入密码，此时基本确定网站有问题。后经过调试分析发现，该网站并非真正的Metamask弹出的，而是虚假网站仿冒的Metamask钱包界面。而如果你输入密码，就会要求助记词验证，最后密码和助记词都会发送到攻击者的后台服务器，自此，你的钱包就已经被盗了。

高仿域名和内容的钓鱼网站

目前笔者在市场上发现了各种各样的假冒网站，它们大多对官方网站进行域名、内容等超高程度的模仿。这种方式应该是网络钓鱼中最普遍的存在的，其归纳分析，其主要有以下几种形式：

（1）更换顶级域名，主名不变。例如下图中官网顶级域名是.com，钓鱼网站顶级域名为.fun。

（2）主名添加单词或符号进行混淆，比如opensea-office，cyber-kongz等。

（3）添加二级域名进行混淆，进行钓鱼。

上线了opensea的钓鱼项目

笔者前段时间在opensea遨游的时候，发现了一个官网还未开售的项目，却在opensea上挂牌了10k，接近5.4kowner。一时间警惕心大起，仔细分析发现了钓鱼的新套路。这个项目首先利用方式5制作了高仿的官网和相似域名，后在opensea上线了相似名字的项目，且加上free mint等字样吸引眼球。

此外，还有些钓鱼网站也会联合钓鱼twitter一起进行：

真假合约地址

在今年3月出现了一种新局，也是让人开了眼界。APEcoin项目的合约地址为：

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻击者伪造了前后几位均相同的假合约，联合钓鱼宣传一起进行钓鱼，假合约为：

0x4D221B9c0EE56604186a33F4f2433A3961C94381

这种攻击方式不多见，但是迷惑性很强。不少有安全意识的人会下意识看下合约地址前后几位是否正常，却几乎不会有人全部记下来的。

马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

尽可能保留证据，寻求项目方或机构进行后续处理；

可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被经历，与大家共勉。反钓鱼反，需要每个人都重视，也需要每个人都参与。

标签：NFTPENOPENOpenSeaWNFT币PenceCoinOpenDAOBOpenSea

中币热门资讯