火星链 火星链
Ctrl+D收藏火星链

APT:谨防:Discord 私信钓鱼手法分析

作者:

时间:1900/1/1 0:00:00

By:Thinking@慢雾安全团队

事件背景

5月16日凌晨,当我在寻找家人的时候,从项目官网的邀请链接加入了官方的?Discord?服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

钓鱼手法分析

我访问"机器人"(Captcha.bot)发来的链接后,是有让我进行人机验证的,但是当我验证通过后,发现它要求唤起我的小狐狸(MetaMask)钱包,唤起的钱包界面挺真实的,如下图所示,但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕,如果是插件唤起的就不会有这个"about:blank"的地址栏了。

香港生产力局:已将NFT、Web3.0等纳入“未来技能框架”:金色财经报道,据香港生产力局新世代企业及技能发展部总经理冯嘉宝透露,生产力局辖下的生产力学院最新已将包括ESG、NFT、Web3.0等元素包括在“未来技能框架”,并将协助政府部门、公营机构及各大小企业设计培训计划。(香港经济日报)[2023/8/2 16:14:08]

接下来我随意输入了密码,并且通过审查元素查看,确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的,并不是真实的钱包界面,于是我开始调试这个钱包。

Top 100 DeFi通证市值为48,491,091,178美元:金色财经报道,据最新数据显示,Top 100 DeFi通证市值为48,491,091,178美元,总锁仓量为56,986,142,934美元。目前市值排名前三的DeFi通证分别是:Lido Staked Ether(13,329,447,825美元)、Dai(4,587,985,424美元)和Uniswap(3,823,615,098美元)。[2023/6/4 11:56:41]

在随意输入密码后,这个虚假的钱包界面进入到"SecurityCheck"界面,要求我输入助记词进行验证。注意,输入的密码和和助记词会被加密发送到恶意站点的服务端。

推特据称将支付收购债务的第二笔利息:金色财经报道,推特据称将支付收购债务的第二笔利息。(财联社)[2023/5/4 14:40:47]

通过分析域名可以发现,这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一个举报了。

分析恶意账号

下载保存好恶意站点的源码后,我将情报发给了项目方团队,并开始分析这次钓鱼攻击的账号。由于我刚加入家人群,就收到了下面的这个地址发来的验证消息。经过分析,这个账号是一个伪装成Captcha.bot机器人的普通账号,当我加入到官方服务器后,这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接,从而引导我输入钱包密码和助记词。

20%以上节点在以太坊主网第7次影子分叉中掉线,原因系Besu客户端bug:6月27日消息,以太坊基金会发布的第141期核心开发者线上会议中提到,于6月22日进行的以太坊主网第7次影子分叉进展并不顺利,20%的节点在Merge激活时掉线,此后甚至更多节点接连掉线。会议中谈到,Besu客户端的存储格式问题是此次测试的主要故障来源,客户端团队目前正试图修复该问题,并暂定第八次主网影子分叉将于7月的第一周进行。[2022/6/27 1:34:18]

我在相关频道里面搜索了Captcha.bot,发现有好几个假Captcha.bot,于是将这几个账号也一并同步给了项目方团队,项目方团队很给力,也很及时地进行了处理,把这几个假Captcha.bot删除了,并一起讨论了可能的防范方式。

再次收到钓鱼链接

事情还没结束,第二天早上又一位慢雾的小伙伴加入到官方Discord服务器中,再次收到恶意账户发来的私信,里面包含着一个钓鱼链接,不同的是,这次的钓鱼者直接伪装成官方的账户发送私信。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证,然而不是采用假小狐狸(MetaMask)的界面来用户,而是直接在页面上引导用户输入助记词了,这个钓鱼手法就没这么真。

钓鱼网站的域名和?IP?是app.importvalidator.org47.250.129.219,用的是阿里云的服务,同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷,用户要学会自己识别各种钓鱼手法避免被,项目方也要加强对用户安全意识的教育。

用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识,学会识别伪装MetaMask的攻击手法,网页唤起MetaMask请求进行签名的时候要识别签名的内容,如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包,由于硬件钱包一般不能直接导出助记词或私钥,所以可以提高助记词私钥被盗门槛。

项目方团队也要时刻关注社区用户的反馈,及时在社区Discord服务器中删除恶意账户,并在用户刚加入Discord服务器时进行防钓鱼的安全教育。

Discord隐私设置和安全配置参考链接:

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

标签:TCHACHAAPTCAPAuditchainhotchainapt币价格今日行情CAPO

以太坊交易所热门资讯
MOVEZ:Web3 健身世界的下一件大事 — 《MoveZ》

《MoveZ》是一个由BlueZilla提供支持的全新平台,一种称为“边动边赚”的健身推动全新解决方案.

1900/1/1 0:00:00
NAN:在Nansen“捕鲸”寻找Alpha的小技巧

我们和@Daryllautk和@Darrenlautf与@nansen_ai坐下来,讨论了一个寻找Alpha的策略。我将尽量涵盖最重要的要点,让我们开始吧。1.策略首先,你需要理解“聪明的钱”.

1900/1/1 0:00:00
EFI:盘点加密史上13次最大的DeFi黑客和抢劫

去中心化金融(DeFi)?是指区块链应用程序,可将中间商从贷款、储蓄和掉期等金融产品和服务中剔除。虽然DeFi带来了高回报,但它也带来了很多风险.

1900/1/1 0:00:00
PUM:研究预测:NFT市场已准备好到2027年成为一个136亿美元的行业

一项新的研究预测,到2027年底,现有的30亿美元市场规模将达到136亿美元,这反映了当今投资者对非同质化代币(NFT)领域日益增长的兴趣.

1900/1/1 0:00:00
ARC:Messari报告:闪电网络的通道容量年初至今增长198%

要点:采用和集成的增加导致闪电网络的公共通道容量达到3,624枚比特币或1.43亿美元,年初至今增长了198%.

1900/1/1 0:00:00
DEFI:四月复盘:请给DeFi老狗们一点时间

折腾了一个多月,回首发现,主线行情不过两个:APE和GMT。先复盘一下自己的仓位。LUNA的仓位成本线附近,Astro倒是翻了倍。LUNA生态总体介入太晚,连汤都没有喝到.

1900/1/1 0:00:00