在維基百科定義中,網絡釣魚是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。
這些通信都聲稱來自于風行的社交網站、拍賣網站、網絡銀行、電子支付網站、或網絡管理者,以此來誘騙受害人的輕信。
網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例,它憑恃的是現行網絡安全技術的低親和度。
在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊,讓人防不勝防。
本文將揭露其中幾種web3世界里常見的釣魚方法,跟我們一起來看看吧。
01Phishing-官方Discord被盜,發布釣魚信息
2022年5月23日,MEE6官方Discord遭受攻擊,導致賬號被盜,官方discord群里發布mint的釣魚網站信息。
扎克伯格:Threads已擁有7000萬注冊用戶,注冊人數遠超預期:金色財經報道,Meta CEO扎克伯格表示,Threads已擁有7000萬注冊用戶,Threads的注冊人數遠遠超出了我們的預期。[2023/7/8 22:25:02]
2022年5月6日,NFT交易市場Opensea官方Discord遭受攻擊,黑客利用機器人賬號在頻道內發布虛假鏈接,并聲稱“OpenSea與YouTube達成合作,點擊鏈接可參與鑄造限量100枚的mintpassNFT”。
近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:
項目方員工遭受釣魚攻擊,導致賬戶被盜;項目方下載惡意軟件,導致賬戶被盜;項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;項目方遭受釣魚攻擊,添加惡意書簽從而繞過瀏覽器同源策略,導致項目方Discordtoken被盜。防騙技巧
1作為項目方,應采用官方建議的使用雙因素認證、設置強密碼等安全操作來保護賬戶;項目方要警惕針對自己的各種傳統網絡攻擊和社會工程學攻擊,避免下載惡意軟件,避免訪問釣魚網站。2作為web3用戶,應首先具備這樣的意識:官方discord賬戶被盜越來越頻繁,官方發布的消息也可能是釣魚信息,官方不等于絕對安全。此外,在任何需要自己授權或交易的地方都需要謹慎,盡量從多個渠道進行信息交叉確認。
數據:Grayscale的比特幣和以太坊信托月收入創近一年新高,6月達到4413萬美元:6月27日消息,灰度(Grayscale)以太坊信托(ETHE)和比特幣信托(GBTC)產品的月收入達到近一年最高水平,兩款產品在本月的收入已達到4413萬美元,其中,GBTC收入為3224萬美元,ETHE收入為1189萬美元。該計算基于基金每月持有的美元總價值乘以灰度的費用。GBTC的年費為2%,ETHE的年費為2.5%。[2023/6/27 22:03:17]
02Phishing-周杰倫遭遇釣魚攻擊,價值百萬NFT被盜
2022年4月1日愚人節,周杰倫在Instagram上發文稱持有的BAYC#3738NFT已被盜。
據了解,該NFT在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后,發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接,隨后在11點左右簽名了授權交易,將NFT的權限授予了0xe34f0開頭的攻擊者錢包,可能這時候杰倫還沒意識到自己的NFT,已經處于風險之中。
僅僅過去幾分鐘,攻擊者就在11:07將無聊猿BAYC#3738NFT轉移到自己的錢包地址中,隨后在LooksRare和OpenSea上將盜取的NFT賣掉,獲得約169.6ETH。
Tether CTO:已準備好贖回任何數量的資金:6月15日消息,Tether CTO Paolo Ardoino在推特上表示,如今市場動蕩不安,因此攻擊者很容易利用這種普遍情緒,但Tether一如既往地準備就緒,讓他們來,我們已準備好贖回任何數量的資金。
此前報道,Curve 3pool中USDT占比超74%,USDT出現輕微脫錨。[2023/6/15 21:39:04]
防騙技巧:
1作為用戶一定不要輕信私聊,攻擊者一般會通過私信或郵件來引誘你點擊釣魚網站鏈接。一切信息先以官網為準,輔助交叉驗證,多個渠道驗證多份保障。2周董這次中招是在mint新項目后,猜測騙子利用剛剛用戶mint新項目后心情好,警惕放松之后迅速推送釣魚鏈接進行攻擊,所以用戶在反詐上一定不能有任何放松,確保每一步都是安全的。
03Phishing-Google廣告漏洞置頂的釣魚網站
2022年5月10日,Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示,NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站,它利用Google廣告的漏洞,使真實網站和詐騙URL看起來完全相同,已經有約100ETH被盜。
Ram Ahluwalia:DCG全年收入為7.19億美元,2022有11億美元的損失:金色財經報道,加密投資顧問公司Lumida Wealth首席執行官Ram Ahluwalia在社交媒體發文稱,DCG今天分享了財務數據。這為Genesis 破產第11章計劃和GBTC的折扣提供了新的線索。債權人批準聯合計劃符合DCG的強大利益。DCG在5月有約5.75億美元到期,但截至2022年底只有2.62億美元的現金,流動資金緊張。
DCG第四季度的收入為1.43億美元,損失為2400萬美元,全年的綜合收入為7.19億美元。DCG在2022年報告了11億美元的損失,這反映了吸收 3AC 貸款減值造成的損失。DCG的全年收入為7.19億美元,超過了Grayscale按當前價格從GBTC獲得的收入。這表明DCG有額外的實質性收入來源,并且在 Grayscale 之外實現了多元化。
Grayscale在信托中擁有價值約150億美元的比特幣,按2%的管理費計算,這意味著有3億美元的收入。(這不包括GETH和其他代幣,也沒有考慮到BTC的價格波動)。一個獨立的評估機構對DCG的估值為22億美元。這意味著市盈率約為3。這與Coinbase的市盈率相似。這個估值與Gemini Earn和其他Genesis債權人高度相關。[2023/3/1 12:36:08]
防騙技巧
德意志銀行CEO:加密貨幣資產正在進行健康的調整:6月22日消息,德意志銀行CEO表示,加密貨幣資產正在進行健康的調整。(金十)[2022/6/22 1:24:22]
1搜索引擎雖然方便,但不一定為真。搜索引擎的廣告系統是很容易被惡意網站利用的,用戶盡量通過官方twitter或者Google認證過的官方網站入口進入。確認官方信息時盡量進行交叉確認。2平常養成注意細節的好習慣,搜索引擎搜出來的結果,如果是廣告會有Ad字樣,避免入坑被釣魚。
04Phishing-假機器人偽裝成項目方私聊發送釣魚網站
最近,筆者在關注某一新項目時,從項目官網加入到了官方discord社群,加群后按照國際慣例先進行官方機器人身份驗證,然而這一條驗證消息卻是機器人私信發過來的,此時內心有些疑問,但是看到有“機器人”的提示標簽后,也沒多想。
但當我再打開鏈接的時候,發現它自動喚起了我的Metamask錢包,要求輸入密碼,此時基本確定網站有問題。后經過調試分析發現,該網站并非真正的Metamask彈出的,而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼,就會要求助記詞驗證,最后密碼和助記詞都會發送到攻擊者的后臺服務器,自此,你的錢包就已經被盜了。
防騙技巧
1對于discord私信一定要提高警惕:官方機器人是不會私信要求驗證的,一定要先確認是官方機器人的消息。最好的方法是關閉私信消息。2驗證身份過程中,是不會要求連接錢包的。3相信直覺,覺得奇怪或者反常的操作一定要留個心眼,多進行信息的交叉驗證。
05Phishing-高仿域名和內容的釣魚網站
目前筆者在市場上發現了各種各樣的假冒網站,它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的,其歸納分析,其主要有以下幾種形式:
更換頂級域名,主名不變。例如下圖中官網頂級域名是.com,釣魚網站頂級域名為.fun。
主名添加單詞或符號進行混淆,比如opensea-office,cyber-kongz等。
添加二級域名進行混淆,進行釣魚欺騙。
防騙技巧
1進入網站時,找到官方twitter或discord,對鏈接進行對比,看是否正確。2時刻保持警惕:雖然這類釣魚網站最容易識別,但是量極其大,用戶稍不注意就容易上當受騙。3安裝反釣魚插件,可有效輔助識別一部分釣魚網站。但最重要還是需要用戶有謹慎的態度。
06Phishing-上線了opensea的釣魚項目
筆者前段時間在opensea遨游的時候,發現了一個官網還未開售的項目,卻在opensea上掛牌了10k,接近5.4kowner。一時間警惕心大起,仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名,后在opensea上線了相似名字的項目,且加上freemint等字樣吸引眼球。
此外,還有些釣魚網站也會聯合釣魚twitter一起進行詐騙:
防騙技巧
1注意辨別twitter賬號。釣魚大號一般也會有大量的粉絲,但是評論大部分都是僵尸號評分,或者創建日期早,但是近期才活躍等。2Opensea上線的項目不一定都是官網正版項目,目前上面仍存在不少仿盤和釣魚的項目,需要用戶仔細甄別。3從多渠道獲取信息,保證官網、opensea項目、twitter、discord等多個信息的交叉驗證。也可直接與官方進行聯系,驗證真假。
07Phishing-真假合約地址
在今年3月出現了一種新騙局,也是讓人開了眼界。APEcoin項目的合約地址為:
0x4d224452801ACEd8B2F0aebE155379bb5D594381
而攻擊者偽造了前后幾位均相同的假合約,聯合釣魚宣傳一起進行釣魚詐騙,假合約為:
0x4D221B9c0EE56604186a33F4f2433A3961C94381
這種攻擊方式不多見,但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常,卻幾乎不會有人全部記下來的。
防騙技巧
1對于直接對合約地址進行轉賬交易時,最好全文核對合約地址的正確性。2確認地址是從官方途徑正常獲取,避免中間被攻擊者截獲修改。
補救措施
上述只列舉了釣魚詐騙界常見的手段,而如今在web3持續火爆的情況下,釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧,盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙,則可以采取下列措施盡可能補救:
-馬上進行資產隔離,盡快將剩余資產轉移到安全位置,避免更大的損失;
-主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;
-盡可能保留證據,尋求項目方或機構進行后續處理;
-可尋求專業的安全公司進行資金追蹤,如成都鏈安。
最后,建議記錄并分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。
Terra生態系統崩潰繼續呈現余波,位于美國的收益生成應用Stablegains因該事件遭受損失而面臨潛在的法律訴訟.
1900/1/1 0:00:00你喜歡熬夜去思考因果關系困境嗎?比如祖父悖論。假如你回到過去,在自己父親出生前把自己的祖父殺死,但祖父死了就沒有父親,沒有父親也不會有你,那么是誰殺了祖父呢?或者你的存在表示祖父并沒有因你而死,
1900/1/1 0:00:00隨著L2的繁榮,L2戰爭也愈演愈烈。有不少人認為?zkSync興許會是這場競賽的獲勝者,而大約在一個月前,zkSync官方的一次AMA活動中,也說明了zkSync代幣將會是社區所有的,也就是會有.
1900/1/1 0:00:00今年1月,美聯社宣布與科技公司Xooa合作,推出一個基于區塊鏈技術的攝影NFT平臺,名曰“市集”,出售美聯社的獲獎新聞照片和歷史老照片等影像資源.
1900/1/1 0:00:00過去一周,OpenSea?上的以太坊域名服務NFT銷售額飆升了近2300%,因為用戶爭相購買非常稀有的三位數和四位數域名.
1900/1/1 0:00:002020年,從加密市場來看,整體市場是向上走的,特別是9月,美國、印度、東南亞、韓國等市場的投資者對市場起到了一定推動作用,BTC價格2021年10月達到峰值.
1900/1/1 0:00:00