在數字貨幣投資者中,說起“釣魚”欺詐,很多朋友都不會陌生。
2020年2月,據金色財經報道,有數字貨幣投資者在社區表示,有賬號在空投Voice代幣,但其中memo出現的網站為釣魚網站。
2020年8月,據Google搜索界面顯示,出現三個偽裝成Uniswap的釣魚詐騙網站:uniswap.com、uniswapdex.org和unsiwap.site。這些虛假網站誘騙用戶提供種子短語和私鑰。
2021年7月,有用戶想在去中心化交易所pancake上進行流動性挖礦,因不熟悉操作在社交媒體中求助,但卻上當受騙被引到釣魚網站,泄露了自己的錢包私鑰。
類似上面這樣的“釣魚”陷阱在這個領域層出不窮,對用戶尤其是新入行的用戶不僅極大打擊了他們的信心,也給他們的財富造成了巨大的損失。這對行業的長遠發展是極為不利的。因此防范“釣魚”網站的欺騙是Fairyproof Tech高度重視的事項。
獨家 | BTC 24h鏈上交易量上升12.52%:據歐科云鏈OKLink數據顯示,BTC 24h鏈上活躍地址數總計896588,較前日上升1.31%;鏈上交易量總計828009.98BTC,較前日上升12.52%;鏈上交易筆數總計304879,較前日下降1.52%;BTC鏈上活躍度上升。
截至上午10時,全網算力約為104.19EH/s,較前日上升1.39EH/s,全網算力呈上升趨勢。[2020/6/3]
那什么是“釣魚”呢?
“釣魚”也稱“網絡釣魚”,是一種旨在從網絡用戶處獲取敏感信息的網絡攻擊。
在很多數情況下,從事“釣魚”欺詐的作案者會想方設法通過多種途徑誘騙用戶,收集用戶的各類敏感信息,并使用這些敏感信息盜取用戶的資產或者利用用戶的身份進行二次欺詐。
那么這些作案者常用的誘騙方式有哪些呢?一般來說,有以下幾種:
獨家 | 2020減半幣種行情播報:根據金色財經數據顯示,當前減半幣種中,BTC當前價格9218.88美元,24小時跌幅為4.15%;BCH當前價格342.67美元,24小時跌幅為8.63%;BSV當前價格235美元,24小時跌幅為14.37%;ETC當前價格8.79美元,24小時跌幅為5.10%;DASH當前價格90.55美元,24小時跌幅為11.49%;ZEC當前價格54.96美元,24小時跌幅為9%;BCD當前價格0.64美元,24小時跌幅為11.68%;XZC當前價格5.65美元,24小時跌幅為8.79%;BEAM當前價格0.58美元,24小時跌幅為11.33%.[2020/2/26]
1.通過電子郵件誘騙用戶上當
獨家 | 10個減產幣種全部下跌 BTC跌逾5%:金色財經報道,2020年10個將要減產的加密貨幣今日全部下跌。近24小時下跌情況為:BTC(-5.49%)、BCH(-8.45%)、BSV(-2.61%)、ETC(-7.96%)、DASH(-7.94%)、ZEC(-5.41%)、BCD(-4.30%)、ZEN(-9.24%)、XZC(-8.58%)、SERO(-1.93%)。[2020/2/20]
這是最基本、最常見的一種方式。作案者會偽裝成為用戶提供某種服務的公司。比如以某交易所的名義給用戶發送郵件,并在郵件中提供了一個鏈接,而該鏈接將會把用戶重定向到假冒的網站。一旦用戶點擊該假冒網站并登錄輸入用戶名和密碼,則用戶的這些敏感信息就被盜了。
2.通過電話誘騙用戶上當
這是近期頻繁發生的事件。作案者通常以某交易所的服務專員名義給用戶打電話,引導用戶進行各種操作,或者在電話中引誘用戶泄露自己的私密信息或者接下來通過發送短信并包含假冒網站的方式引誘用戶泄露私密信息。
獨家 | Chrome擴展被植入竊密代碼 降維發布數字貨幣威脅預警:降維安全實驗室觀測到有未知攻擊者向Google官方擴展商店上傳了文件共享服務MEGA的一個木馬版本version3.39.4,該惡意代碼可以竊取amazon、live、github和google以及myetherwallet、mymonero、idex market 等網站的登錄憑證和錢包私鑰。MEGA在4個小時后釋出了干凈的擴展版本version3.39.5。
降維安全提示:如果在9月4日22時30分到次日2時30分期間安裝了MEGA Chrome擴展3.39.4版本,請重置相關網站的密碼并升級到3.39.5版本。需要了解更多詳細的攻擊信息可以聯系降維安全。[2018/9/6]
3.魚叉式釣魚
這種方式既針對機構也針對個人。作案者通過某些途徑獲取某知名公司中高層人士的身份信息,冒用這些高層人士的身份發送包含假冒網站鏈接的電子郵件給目標對象。一旦目標對象信任這個郵件,并點擊鏈接登錄假冒網站就會泄露自己的敏感數據。
獨家 | 熊市導致黑客攻擊頻發 降維發布數字貨幣威脅預警:近期降維安全通過白細胞安全社區了解到有部分數字貨幣金融服務商遭受到有組織的黑客攻擊,成功攻擊的黑客可以通過這種方式從數字金融服務商竊取數字資產。降維安全通過分析發現這種方式表面上是一種比較常見的用戶攻擊方式,通過已經泄露的互聯網數據或者其他發生用戶數據泄露的數字金融服務商數據,利用數字金融服務商的防護弱點,黑客可以獲得部分用戶賬戶密碼登錄進系統,然后利用近期熊市流動性差的特點進行小幣種下單交易,從而竊取用戶的數字資產。
降維安全建議數字金融服務商短期可以排查用戶投訴和登錄行為是否存在異常,使用高強度的認證措施提升用戶安全門檻,長期可以定期對系統進行完全的審計甚至必要的用戶行為分析,防止用戶被攻擊。[2018/9/4]
4.捕鯨式釣魚
這種方式更注重針對公司的高層管理人員,因為這些高層管理人員掌握著公司的大量商業機密、財務信息等。通常這種釣魚方式也是采用發送包含假冒鏈接或惡意腳本的郵件給目標對象,引誘目標對象點擊鏈接或腳本、無意中泄露其所掌握的公司機密信息。
5.水坑式釣魚
這種釣魚方式的隱秘性強、危害性大。通常采用這種方式釣魚的作案者會瞄準當下知名項目的網站,然后在這些網站中搜索漏洞,并植入惡意腳本,引導用戶提交私密信息。由于這些網站知名度高,廣受信任,因此用戶往往麻痹性大,不容易察覺其中的異樣。而一旦用戶登錄這些網站,不加思索地提供自己本不該公開的私密信息,就上當受騙了。
6.廣告式釣魚
使用這種方式作案的作案者往往將惡意腳本通過漏洞植入到廣告中。由于偽造的廣告看起來無害,并且可以反映在Google請求的頂部,因此一旦用戶點擊這些廣告進行被引導的操作就會泄露自己的私密信息。
7.域名嫁接式釣魚
域名嫁接是將用戶重定向到假冒網站。通常在這種情況下,攻擊者會在目標對象使用的服務器或設備上安裝惡意軟件。該軟件會將用戶引導跳轉到假冒網站,從而使引導用戶提供敏感數據。域名嫁接會破壞域名服務器DNS,因此用戶往往很難察覺。
知道了這些常見的“釣魚”方式,作為普通用戶的我們該如何防范“釣魚”呢?
有幾個基本規則可以供大家參考:
1 不要打開可疑電子郵件。
2 一定要注意電子郵件的地址,千萬注意一些來自怪異域名的郵件。
3 不要隨意點擊自己不熟悉的任何鏈接或打開附件,它們可能包含受感染的代碼。
4 使用反網絡釣魚軟件,不少大多數瀏覽器都提供反網絡釣魚擴展。
5 不要親信某些許諾高回報、高收益的郵件或電話。
6 不要輕易在社交媒體中與不熟悉的人私聊,尤其是不要聊與投資、理財相關的話題和操作。
7 仔細檢查要訪問的網址,釣魚網站往往用相似(比如多一個字母、少一個字母、相近的單詞等)的域名來欺騙用戶。
8 不要對任何人或網站輕易告知自己的錢包密鑰,尤其是存有數字資產的錢包密鑰。
Fairyproof Tech希望我們每一個投資者小心謹慎、多一分戒備、少一分僥幸,永遠對私鑰、密碼等個人隱私信息保持高度的警惕。
關于Fairyproof Tech:
Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
作者:
Fairyproof TechCEO 譚粵飛
美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。
“十四五”時期,隨著全球數字化進程的深入推進,區塊鏈產業競爭將更加激烈,兩部門出臺《指導意見》,強調建設基于區塊鏈的大數據服務平臺,促進數據合規有序的確權、共享和流通.
1900/1/1 0:00:00過去一年,區塊鏈領域的一個重要趨勢是從專注于DeFi轉變為也考慮去中心化治理 (DeGov)。雖然2020年被廣泛譽為DeFi之年,但自那以來,構成這一趨勢的DeFi項目的復雜性和能力不斷增長,
1900/1/1 0:00:00新加坡最大的銀行星展銀行通過獲得另一項監管批準,擴大了其支持的加密貨幣服務范圍。星展銀行的經紀部門DBSV周四正式宣布,該公司已獲得新加坡金融管理局(MAS)的原則性批準,作為支付機構提供數字支.
1900/1/1 0:00:00金融格局正在發生變化,執法部門必須適應它。去年,加密貨幣風靡金融界,但許多執法機構,尤其是州和地方各級的執法機構,尚未擁有有效調查與加密貨幣相關的犯罪所需的工具或數據.
1900/1/1 0:00:00現在的幣圈,即使嚴打的情況下,還能看到大家整天在各類千奇百怪的群里搶空投。空投,是白撿還是風險?今天就帶你了解下。 什么是空投? 其實就是炒作.
1900/1/1 0:00:00本文來自 Decrypt,原文作者:Andrew HaywardNFT 加密收藏品市場 OpenSea最近交易活動和成交量激增.
1900/1/1 0:00:00