在维基百科定义中,网络钓鱼(Phishing)是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪过程。
这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务提供商、公司机关),以此来诱受害人的轻信。
网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例,它凭恃的是现行网络安全技术的低亲和度。
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击(详见维基百科:社会工程学),让人防不胜防。
本文将揭露其中几种web3世界里常见的钓鱼方法,跟我们一起来看看吧。
PeckShield:go-ethdenver[.]com系钓鱼网站,或与Monkey Drainer黑客组织有关:2月20消息,据PeckShield监测数据显示,go-ethdenver[.]com 系钓鱼网站,该网站为假冒的 ETHDenver 网站,或与 Monkey Drainer 黑客组织有关。该钓鱼网站请求访问用户的资产和地址 0x6942 标记为 Fake_Phishing8210 的权限,请注意仔细分辨。[2023/2/20 12:17:20]
Phishing
官方Discord被盗,发布钓鱼信息
2022年5月23日,MEE6官方Discord遭受攻击,导致账号被盗,官方discord群里发布mint的钓鱼网站信息。
2022年5月6日,NFT交易市场Opensea官方Discord遭受攻击,黑客利用机器人账号在频道内发布虚假链接,并声称“OpenSea与YouTube达成合作,点击链接可参与铸造限量100枚的mint pass NFT”。
MXC抹茶:注意识别钓鱼网站及假冒MXC抹茶名义的局:据官方消息,有用户反馈,近日网络上出现了假冒MXC抹茶的钓鱼网站、APP,目前MXC抹茶暂未收到有用户遭到资产损失的反馈。同时,有人假冒并以MXC抹茶名义组建社群,为一些“项目”做宣传。MXC抹茶在此提醒广大用户,建议绑定谷歌二次验证以增强用户账户安全性,勿向任何人透露账户密码及谷歌验证信息;如遇钓鱼网站或假冒MXC抹茶客服及工作人员进行行为,可通过官网客服通道举报,MXC抹茶将第一时间处理。官方客服人员不会以任何方式向用户索要密码和二次验证码(包括但不限于短信、谷歌二维码)。凡涉及MXC抹茶相关活动、社群信息,请务必以官网披露的为准。[2020/6/26]
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discord token被盗。
防技巧
动态 | Bithumb提醒用户警惕仿冒Bithumb的网络钓鱼网站:Bithumb官方发推称,近期发现了仿冒Bithumb的网络钓鱼网站和社交网络渠道。Bithumb Korea并未运营官方电报频道。[2020/1/23]
周杰伦遭遇钓鱼攻击,价值百万NFT被盗
2022年4月1日愚人节,周杰伦在Instagram上发文称持有的BAYC#3738 NFT已被盗。
据了解,该 NFT 在今年1月由黄立成赠送。在成都链安安全团队的查看之后,发现周杰伦其0x71de2开头的钱包地址先去mint新项目后遭遇到钓鱼链接,随后在11点左右签名了授权(approve)交易,将NFT的权限授予了0xe34f0开头的攻击者钱包,可能这时候杰伦还没意识到自己的NFT,已经处于风险之中。
仅仅过去几分钟,攻击者就在11:07将无聊猿 BAYC #3738 NFT转移到自己的钱包地址中,随后在LooksRare和OpenSea上将盗取的NFT卖掉,获得约169.6 ETH。
动态 | 仿冒Trezor的钓鱼网站tlezor.io出现 旨在窃取用户私钥:一个仿冒Trezor品牌的钓鱼网站tlezor.io出现。该网站打算窃取用户的恢复种子,这将使者控制与Trezor设备相关的用户资金。Trezor官方的网站是trezor.io。(Bitcoin Exchange Guide)[2019/11/25]
防技巧:
Google广告漏洞置顶的钓鱼网站
2022年5月10日,Discord和加密威胁缓解系统Sentinel创始人Serpent发推表示,NFT交易平台X2Y2在Google搜索页面的首个搜索结果是网站,它利用 Google 广告的漏洞,使真实网站和URL看起来完全相同,已经有约100 ETH被盗。
赵长鹏解读钓鱼网站运作方式:币安创始人赵长鹏再发推文,剖析了钓鱼网站运作方式,他首先配图指出钓鱼网站的域名中两个字母下方比正确地址多了两个点。他还表示,用户在钓鱼网站登录后跳转到真的币安。此外一旦登录后,用户就不能再进入钓鱼网站,而是自动跳转到币安(即使登出账号后)。[2018/3/8]
假机器人伪装成项目方私聊发送钓鱼网站
最近,笔者在关注某一新项目时,从项目官网加入到了官方discord社群,加群后按照国际惯例先进行官方机器人身份验证,然而这一条验证消息却是机器人私信发过来的,此时内心有些疑问,但是看到有“机器人”的提示标签后,也没多想。
但当我再打开链接的时候,发现它自动唤起了我的Metamask钱包,要求输入密码,此时基本确定网站有问题。后经过调试分析发现,该网站并非真正的Metamask弹出的,而是虚假网站仿冒的Metamask钱包界面。而如果你输入密码,就会要求助记词验证,最后密码和助记词都会发送到攻击者的后台服务器,自此,你的钱包就已经被盗了。
高仿域名和内容的钓鱼网站
目前笔者在市场上发现了各种各样的假冒网站,它们大多对官方网站进行域名、内容等超高程度的模仿。这种方式应该是网络钓鱼中最普遍的存在的,其归纳分析,其主要有以下几种形式:
(1)更换顶级域名,主名不变。例如下图中官网顶级域名是.com,钓鱼网站顶级域名为.fun。
(2)主名添加单词或符号进行混淆,比如opensea-office,cyber-kongz等。
(3)添加二级域名进行混淆,进行钓鱼。
上线了opensea的钓鱼项目
笔者前段时间在opensea遨游的时候,发现了一个官网还未开售的项目,却在opensea上挂牌了10k,接近5.4kowner。一时间警惕心大起,仔细分析发现了钓鱼的新套路。这个项目首先利用方式5制作了高仿的官网和相似域名,后在opensea上线了相似名字的项目,且加上free mint等字样吸引眼球。
此外,还有些钓鱼网站也会联合钓鱼twitter一起进行:
真假合约地址
在今年3月出现了一种新局,也是让人开了眼界。APEcoin项目的合约地址为:
0x4d224452801ACEd8B2F0aebE155379bb5D594381
而攻击者伪造了前后几位均相同的假合约,联合钓鱼宣传一起进行钓鱼,假合约为:
0x4D221B9c0EE56604186a33F4f2433A3961C94381
这种攻击方式不多见,但是迷惑性很强。不少有安全意识的人会下意识看下合约地址前后几位是否正常,却几乎不会有人全部记下来的。
马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
尽可能保留证据,寻求项目方或机构进行后续处理;
可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
流动资金池是去中心化交易所的交易方面。他们的作用是增加市场参与者之间的市场流动性。流动性如此重要的事实在于,它很大程度上决定了资产价格如何变化.
1900/1/1 0:00:00转自公号:老雅痞本文探讨 Web2 如何过度到 Web3 生态系统的问题,以及身份如何在其中发挥重要作用。我认为 Web3 将会持续存在一段时间.
1900/1/1 0:00:00比尔·盖茨曾在1996年1月发表的《内容为王》中写道:“互联网令人兴奋的事情之一是,任何人只要有一台个人电脑和一个调制解调器,就可以发布他们创作的任何内容.
1900/1/1 0:00:00金色财经报道,5月27日,根据Terra官网信息,Terra治理系统已投票批准了一项提议,即销毁项目社区池中持有的所有UST代币,并将UST部署在以太坊上用于流动性激励.
1900/1/1 0:00:00NFT 诞生至今已有10年左右发展史,从最初的艺术创作、思想实验到近2年NFT与市场开始深度融合,逐渐显示出NFT市场的周期性.
1900/1/1 0:00:00今天聊一下稳定币。对很早就接触加密货币的小伙伴来说,已经不是新鲜词。但对于非加密领域、尤其是非金融领域的小伙伴,大概率知其然不知其所以然,甚至不知其然.
1900/1/1 0:00:00