在數字貨幣投資者中,說起“釣魚”欺詐,很多朋友都不會陌生。
2020年2月,據金色財經報道,有數字貨幣投資者在社區表示,有賬號在空投Voice代幣,但其中memo出現的網站為釣魚網站。
2020年8月,據Google搜索界面顯示,出現三個偽裝成Uniswap的釣魚詐騙網站:uniswap.com、uniswapdex.org和unsiwap.site。這些虛假網站誘騙用戶提供種子短語和私鑰。
2021年7月,有用戶想在去中心化交易所pancake上進行流動性挖礦,因不熟悉操作在社交媒體中求助,但卻上當受騙被引到釣魚網站,泄露了自己的錢包私鑰。
類似上面這樣的“釣魚”陷阱在這個領域層出不窮,對用戶尤其是新入行的用戶不僅極大打擊了他們的信心,也給他們的財富造成了巨大的損失。這對行業的長遠發展是極為不利的。因此防范“釣魚”網站的欺騙是靈蹤安全高度重視的事項。
獨家 | BTC 24h 鏈上交易量上升34.8%:據歐科云鏈OKLink數據顯示,BTC 24h 鏈上活躍地址數總計1035726,較前日上升22.89% ;鏈上交易量總計697883.11 BTC,較前日上升34.8% ;鏈上交易筆數總計355103,較前日上升17.03% ;BTC鏈上活躍度上升。
截至上午10時,全網算力約為109.72EH/s,較前日上升1.94EH/s,全網算力呈上升趨勢。[2020/6/24]
那什么是“釣魚”呢?
“釣魚”也稱“網絡釣魚”,是一種旨在從網絡用戶處獲取敏感信息的網絡攻擊。
在很多數情況下,從事“釣魚”欺詐的作案者會想方設法通過多種途徑誘騙用戶,收集用戶的各類敏感信息,并使用這些敏感信息盜取用戶的資產或者利用用戶的身份進行二次欺詐。
獨家 | 加密貨幣市值前十幣種僅一只上漲 XTZ領跌:金色財經數據顯示,截止當前,加密貨幣市值前十幣種僅一只上漲。近24小時漲跌情況分別為:BTC(9653.23美元,-2.96%)、ETH(264.99美元,-3.69%)、XRP(0.2685美元,-5.18%)、BCH(376.55美元,6.34%)、BSV(276.49美元,-6.03%)、LTC(75.29美元,-5.56%)、USDT(1.00美元,+0.33%)、EOS(4.08美元,-6.69%)、BNB(22.07美元,-3.91%)、XTZ(3.17美元,-9.62%)。[2020/2/25]
那么這些作案者常用的誘騙方式有哪些呢?一般來說,有以下幾種:
獨家 | 金色財經2月21日挖礦收益數據播報:金色財經報道,據印比特數據顯示,按照BTC參考價格68100元、電價0.38元/kWh計算,當前在售主流BTC礦機的市場價格及回本周期為:神馬M20S-68T(全新現貨12600元,273天回本)、芯動T3+-57T(全新現貨9700元,306天回本)、阿瓦隆1066-50T(全新現貨6300元,236天回本)、螞蟻S17Pro-56T(全新現貨12500元,336天回本)。[2020/2/21]
1.通過電子郵件誘騙用戶上當
這是最基本、最常見的一種方式。作案者會偽裝成為用戶提供某種服務的公司。比如以某交易所的名義給用戶發送郵件,并在郵件中提供了一個鏈接,而該鏈接將會把用戶重定向到假冒的網站。一旦用戶點擊該假冒網站并登錄輸入用戶名和密碼,則用戶的這些敏感信息就被盜了。
獨家 | 陳云峰:以加密貨幣的用途進行征稅是使其合法化的重要方式:中倫文德陳云峰律師則對金色財經分析表示:通常來說,在加密貨幣已被明確定性的情況下,尤其是被認定為“商品”或“投資品”的話,其和其他交易商品的差異性不大,征稅范圍可以參考傳統的投資品,包括 (1)將加密貨幣兌換為法幣; (2)將加密貨幣兌換成其他加密貨幣;(3)使用加密貨幣購買商品或服務; (4)通過空投或者獎勵免費獲得加密貨幣等方面。
因此,以加密貨幣的用途或使用方式進行征稅是加密貨幣活動合法化,得到社會普遍認可和接受的重要方式,也是政府監管的有效手段之一。[2020/1/3]
2.通過電話誘騙用戶上當
這是近期頻繁發生的事件。作案者通常以某交易所的服務專員名義給用戶打電話,引導用戶進行各種操作,或者在電話中引誘用戶泄露自己的私密信息或者接下來通過發送短信并包含假冒網站的方式引誘用戶泄露私密信息。
獨家 | 胡繼曄:EURO Chain更偏向于B端 DCEP更偏向于C端用戶:12月17日,歐洲中央銀行發布了一個基于POC(Proof-of-Concept,概念驗證)名為EURO chain的項目。中國政法大學區塊鏈金融法治研究中心主任胡繼曄對金色財經分析了EUROchain與DCEP的異同。他表示,根據當前公布的資料來看,DCEP在保護用戶隱私的同時也有一些自己的獨到之處,比如匿名支付,這就滿足了DCEP因為什么而取代M0。這就像現鈔,現鈔是不記名的,但是今天大家所使用的所有電子支付對客戶隱私的損害是非常大的。舉例而言:買一個紅薯,我們掃碼支付,這個過程中我們的信息和隱私全都要交給對方。這就是沒有平衡隱私和便利支付之前的關系。
現階段,不管是微信還是支付寶帶來方便的同時,蘊藏著巨大的個人隱私安全隱患。所以,未來的DCEP作為取代現金的模式是可以實現隱私保護的。從這一點來看,歐洲央行和中國人民銀行在用戶隱私保護方面有異曲同工之妙。
不同之處在于,EURO Chain更偏向于B端用戶,DCEP更偏向于C端用戶。[2019/12/27]
3.魚叉式釣魚
這種方式既針對機構也針對個人。作案者通過某些途徑獲取某知名公司中高層人士的身份信息,冒用這些高層人士的身份發送包含假冒網站鏈接的電子郵件給目標對象。一旦目標對象信任這個郵件,并點擊鏈接登錄假冒網站就會泄露自己的敏感數據。
4.捕鯨式釣魚
這種方式更注重針對公司的高層管理人員,因為這些高層管理人員掌握著公司的大量商業機密、財務信息等。通常這種釣魚方式也是采用發送包含假冒鏈接或惡意腳本的郵件給目標對象,引誘目標對象點擊鏈接或腳本、無意中泄露其所掌握的公司機密信息。
5.水坑式釣魚
這種釣魚方式的隱秘性強、危害性大。通常采用這種方式釣魚的作案者會瞄準當下知名項目的網站,然后在這些網站中搜索漏洞,并植入惡意腳本,引導用戶提交私密信息。由于這些網站知名度高,廣受信任,因此用戶往往麻痹性大,不容易察覺其中的異樣。而一旦用戶登錄這些網站,不加思索地提供自己本不該公開的私密信息,就上當受騙了。
6.廣告式釣魚
使用這種方式作案的作案者往往將惡意腳本通過漏洞植入到廣告中。由于偽造的廣告看起來無害,并且可以反映在Google請求的頂部,因此一旦用戶點擊這些廣告進行被引導的操作就會泄露自己的私密信息。
7.域名嫁接式釣魚
域名嫁接是將用戶重定向到假冒網站。通常在這種情況下,攻擊者會在目標對象使用的服務器或設備上安裝惡意軟件。該軟件會將用戶引導跳轉到假冒網站,從而使引導用戶提供敏感數據。域名嫁接會破壞域名服務器DNS,因此用戶往往很難察覺。
知道了這些常見的“釣魚”方式,作為普通用戶的我們該如何防范“釣魚”呢?
有幾個基本規則可以供大家參考:
1不要打開可疑電子郵件。
2一定要注意電子郵件的地址,千萬注意一些來自怪異域名的郵件。
3不要隨意點擊自己不熟悉的任何鏈接或打開附件,它們可能包含受感染的代碼。
4使用反網絡釣魚軟件,不少大多數瀏覽器都提供反網絡釣魚擴展。
5不要親信某些許諾高回報、高收益的郵件或電話。
6不要輕易在社交媒體中與不熟悉的人私聊,尤其是不要聊與投資、理財相關的話題和操作。
7仔細檢查要訪問的網址,釣魚網站往往用相似的域名來欺騙用戶。
8不要對任何人或網站輕易告知自己的錢包密鑰,尤其是存有數字資產的錢包密鑰。
靈蹤安全希望我們每一個投資者小心謹慎、多一分戒備、少一分僥幸,永遠對私鑰、密碼等個人隱私信息保持高度的警惕。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事。個人擁有4項區塊鏈相關專利、3本出版著作。
隱私計算是一個由多方參與計算的技術,本質是不透露出相關具體信息的情況下,能夠協同計算得出想要的結果。對于個人、機構、政府,隱私計算都很重要.
1900/1/1 0:00:00近期,區塊鏈游戲成為行業的焦點,鏈游火爆市場。根據金色財經追蹤的數據,AxieInfinity在7月的總收入超過2億美元,7月29日單日收入超過4000萬美元,超過全球收入最高的手游《王者榮耀》.
1900/1/1 0:00:00烏克蘭總統VolodymyrZelensky近日已經簽署一項法律,允許烏克蘭國家銀行發行自己的數字貨幣。新的立法使烏克蘭的法規與歐盟規則保持一致,也將加強對支付服務提供商客戶的認證要求.
1900/1/1 0:00:00DAO(去中心自治組織)在幾年前就了解,近期在加密VC圈又開始火了,記不清是哪個投資人說的,現在的DAO將會是下一個"defisummer"?.
1900/1/1 0:00:007月30日,以“云網匯政務,數智蘊未來”為主題的智慧政務峰會2021在南寧舉行,與會人員共話數字政府建設新趨勢,分享智慧政務創新實踐,擘畫數字政府建設新篇章,以數字政府建設賦能政府治理現代化.
1900/1/1 0:00:008月12日凌晨,攻擊PolyNetwork的黑客發布了自問自答,回答了為什么進行攻擊,為什么選擇攻擊PolyNetwork,又為什么還款等一系列問題.
1900/1/1 0:00:00