火星链 火星链
Ctrl+D收藏火星链
首页 > 火必 > 正文

COM:钓鱼网站“入侵”Web3 这些防技巧必须学会

作者:

时间:1900/1/1 0:00:00

在维基百科定义中,网络钓鱼(Phishing)是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪过程。

这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务提供商、公司机关),以此来诱受害人的轻信。

网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例,它凭恃的是现行网络安全技术的低亲和度。

在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击(详见维基百科:社会工程学),让人防不胜防。

本文将揭露其中几种web3世界里常见的钓鱼方法,跟我们一起来看看吧。

安全公司:TetherClaims[.]com和TetherLP[.]com是钓鱼网站:金色财经报道,PeckShield在社交媒体上称,PeckShield已经检测到TetherClaims[.]com和TetherLP[.]com是钓鱼网站。恶意行为者滥用事件日志来伪造Etherscan上显示的转账。这些代币并非由Tether发行的USDT稳定币。[2022/7/26 2:37:26]

Phishing

官方Discord被盗,发布钓鱼信息

2022年5月23日,MEE6官方Discord遭受攻击,导致账号被盗,官方discord群里发布mint的钓鱼网站信息。

2022年5月6日,NFT交易市场Opensea官方Discord遭受攻击,黑客利用机器人账号在频道内发布虚假链接,并声称“OpenSea与YouTube达成合作,点击链接可参与铸造限量100枚的mint pass NFT”。

警惕Uniswap钓鱼网站“兑换”局,数小时金额已达上百个以太坊:据用户反馈,近日有不法分子创建Uniswap钓鱼网站,声称1个ETH可以兑换1200个“UNI”,从而引导用户将以太坊转入者的合约地址中,并返还给用户虚假“UNI”从而取用户资产。据丢币猎人CoinHunter监测,“UNI兑换”局金额已达上百个以太坊,截至报道时局仍在持续运转。钓鱼网站为下方原文链接。[2020/9/19]

近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:

项目方员工遭受钓鱼攻击,导致账户被盗;

项目方下载恶意软件,导致账户被盗;

项目方未设置双因素认证且使用弱密码导致账户被盗;

项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discord token被盗。

防技巧

周杰伦遭遇钓鱼攻击,价值百万NFT被盗

2022年4月1日愚人节,周杰伦在Instagram上发文称持有的BAYC#3738 NFT已被盗。

钓鱼网站冒充火币官网,投资者须警惕:今日,火币全球站接到举报,有钓鱼网站冒充火币发布公告,在社群传播“ERD空投活动”。火币全球站郑重声明,火币未发布任何关于“ERD空投活动”,请广大交易者提高警惕,认清火币官方网站地址。火币全球站官方网站域名为:

https://www.huobi.me/zh-cn/

火币全球站帮助中心地址域名为:

https://support.huobiservice.com/[2020/6/13]

据了解,该 NFT 在今年1月由黄立成赠送。在成都链安安全团队的查看之后,发现周杰伦其0x71de2开头的钱包地址先去mint新项目后遭遇到钓鱼链接,随后在11点左右签名了授权(approve)交易,将NFT的权限授予了0xe34f0开头的攻击者钱包,可能这时候杰伦还没意识到自己的NFT,已经处于风险之中。

仅仅过去几分钟,攻击者就在11:07将无聊猿 BAYC #3738 NFT转移到自己的钱包地址中,随后在LooksRare和OpenSea上将盗取的NFT卖掉,获得约169.6 ETH。

动态 | 安全研究员成功关闭针对币安用户的钓鱼网站:据CoinDesk报道,6月3日,安全研究员Harry Denley用了6个小时成功重构并关闭了一个针对币安用户的钓鱼网站(logins-binance.com12754825.ml)。由于该钓鱼网站的服务器是完全开放的,Denley从而能够找到黑客的工具、日志甚至电子邮件地址。[2019/6/4]

防技巧:

Google广告漏洞置顶的钓鱼网站

2022年5月10日,Discord和加密威胁缓解系统Sentinel创始人Serpent发推表示,NFT交易平台X2Y2在Google搜索页面的首个搜索结果是网站,它利用 Google 广告的漏洞,使真实网站和URL看起来完全相同,已经有约100 ETH被盗。

动态 | eos-black.com为EOS Black的钓鱼网站:据unhashed消息,EOS社区近期出现了关于EOS black的钓鱼网站,真正的EOS Black网站是eosblack.io,假冒的网站为eos-black.com,后者企图获取用户的私钥。[2018/10/11]

假机器人伪装成项目方私聊发送钓鱼网站

最近,笔者在关注某一新项目时,从项目官网加入到了官方discord社群,加群后按照国际惯例先进行官方机器人身份验证,然而这一条验证消息却是机器人私信发过来的,此时内心有些疑问,但是看到有“机器人”的提示标签后,也没多想。

但当我再打开链接的时候,发现它自动唤起了我的Metamask钱包,要求输入密码,此时基本确定网站有问题。后经过调试分析发现,该网站并非真正的Metamask弹出的,而是虚假网站仿冒的Metamask钱包界面。而如果你输入密码,就会要求助记词验证,最后密码和助记词都会发送到攻击者的后台服务器,自此,你的钱包就已经被盗了。

高仿域名和内容的钓鱼网站

目前笔者在市场上发现了各种各样的假冒网站,它们大多对官方网站进行域名、内容等超高程度的模仿。这种方式应该是网络钓鱼中最普遍的存在的,其归纳分析,其主要有以下几种形式:

(1)更换顶级域名,主名不变。例如下图中官网顶级域名是.com,钓鱼网站顶级域名为.fun。

(2)主名添加单词或符号进行混淆,比如opensea-office,cyber-kongz等。

(3)添加二级域名进行混淆,进行钓鱼。

上线了opensea的钓鱼项目

笔者前段时间在opensea遨游的时候,发现了一个官网还未开售的项目,却在opensea上挂牌了10k,接近5.4kowner。一时间警惕心大起,仔细分析发现了钓鱼的新套路。这个项目首先利用方式5制作了高仿的官网和相似域名,后在opensea上线了相似名字的项目,且加上free mint等字样吸引眼球。

此外,还有些钓鱼网站也会联合钓鱼twitter一起进行:

真假合约地址

在今年3月出现了一种新局,也是让人开了眼界。APEcoin项目的合约地址为:

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻击者伪造了前后几位均相同的假合约,联合钓鱼宣传一起进行钓鱼,假合约为:

0x4D221B9c0EE56604186a33F4f2433A3961C94381

这种攻击方式不多见,但是迷惑性很强。不少有安全意识的人会下意识看下合约地址前后几位是否正常,却几乎不会有人全部记下来的。

马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;

主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;

尽可能保留证据,寻求项目方或机构进行后续处理;

可寻求专业的安全公司进行资金追踪,如成都链安。

最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。

标签:NFTCOMDISCSCOBNFT币YINCOME价格DISC价格scoin币等于

火必热门资讯
NFT:金色观察|新加坡探索DeFi和资产代币化 接近Web3.0

新加坡副总理Heng Swee Keat 5月31日发表声明称,新加坡金融管理局(MAS)与金融业合作的“守护者计划”(Project Guardian)将测试资产代币化和DeFi应用的可行性.

1900/1/1 0:00:00
ABLE:金色观察|一文看懂Immutable协议收费详情

以太坊第二层扩容方案Immutable X,在5月30日宣布将于六月起平台收取协议费用,六月1%未来则为2%。官方表示只会从有创造价值的行为中收取,铸币、转账则不收.

1900/1/1 0:00:00
数字资产:入局元宇宙 华谊兄弟要干什么?

2021年,Facebook宣布改名为“Meta”(来源于“元宇宙”Metaverse),并将元宇宙开发作为公司未来的发展重心。这一举动推动“元宇宙”成为了2021年以来的热门词汇之一.

1900/1/1 0:00:00
WEB:Web 3是中国冒险家在新加坡接头的暗号

“Web3将是全新的起点。”这是硅谷顶级风险投资机构a16z(Andreessen Horowitz)于2021年10月发布的《如何赢得未来》提案中的一句引言,它出现在这份提案的“美国科技领导力.

1900/1/1 0:00:00
WEB:金色观察 | DAO的下一波浪潮?一文了解ConsenSys推出的VillageDAO

5月17日ConsenSys官方消息指出,ConsenSys(市场领先的区块链技术公司)联合对话式人工智能的全球领导者LivePerson(纳斯达克股票代码:LPSN)推出去中心化的客户服务平台.

1900/1/1 0:00:00
NFT:一周必读10篇 | 初步认知Web 3.0、NFT、元宇宙

1.LUNA为什么会陷入死亡螺旋?为Terra区块链提供支持的Terraform Labs的创始人Do Kwon正在采取措施支撑其算法稳定币.

1900/1/1 0:00:00