近期,跨平台的即时通讯软件Telegram盗号事件频发,不法分子通过非法手段盗取用户Telegram账号,并以冒充好友的方式进行。
针对近期的盗号事件,Beosin 安全研究部为大家梳理了Telegram 常见的方式,教大家如何警惕与防范。
最近比较新颖的盗号,者冒充好友的身份以各种理由取聊天页面截图,看似毫无危险,但此刻子正在尝试利用你的手机号码登陆 Telegram,当发送的截图页面包含了官方发送的登陆验证码(Login code),即会被子利用成功登陆你的 TG 账号。取详细流程如下:
1.首先获取你 TG 账号的电话号码。
如果你的 TG 账号隐私设置成任何人可见,则会被陌生账号看到手机号码;或是子首先获取到你好友的账号,然后查询到你的手机号。
2.取登陆验证码。
子以各种理由,告诉你账号有问题,取你的聊天截图。同时,子在一台新设备输入你的手机号码尝试登陆。
例如以下两种话术类型:
(1 )聊天界面中有两个相同的联系人:当对某个联系人开启了加密聊天时,聊天列表就会出现两个相同的联系人,如下图加密的聊天通信会在名字前加一把锁。
亚马逊推出类似元宇宙游戏指导用户如何运用AWS:3月16日消息,亚马逊发布了一款类似元宇宙的在线角色扮演游戏。在这款名为“AWS Cloud Quest”的游戏中,用户可以创建自己的虚拟角色,在虚拟城市中穿梭,帮助居民解决与云相关的技术问题。亚马逊表示,推出Cloud Quest是为了帮助解释亚马逊云服务(AWS)核心服务和类别,包括计算、存储、数据库和安全服务,以及指导基本云解决方案的构建。(CNBC)[2022/3/16 13:59:49]
(2 )好友辅助解封账号:子称账号被官方限制,需要好友发送验证码帮忙解封账号。
3.登录你的账号继续。
当你在不经意间把包含登陆验证码的聊天截图发给对方时,如果账号没开启两步验证,子则可以通过验证码直接登陆你的账号。随后子会删掉所有的设备,更改密码,然后继续通讯录中的其他人。
短信冒充Telegram 官方账号,声称该用户的 TG 账号违反了账号使用规则将被限制使用,需要登陆网站解除受限。如果用户不慎点击链接,账户就会被盗。
人民日报整版阐释如何加快数字化发展建设数字中国:加强区块链等关键数字技术研究:金色财经报道,《人民日报》2021年10月29日 09 版整版阐释如何加快数字化发展,建设数字中国,其中提到坚持创新驱动,全面推动区块链等数字技术融入政务服务全流程。夯实技术创新基础,加强区块链等关键数字技术研究,夯实技术创新升级基础。[2021/10/29 6:18:58]
由于 Telegram 没有中文安装包,普通用户通常会使用第三方搜索引擎来查找对应的中文安装程序,因此分子通过 SEO 优化为自己的 Telegram 中文版下载网站引流,诱导用户下载排名前列的应用程序。
当用户下载使用了带有后门的 TG 程序,会被自动检测聊天中的区块链地址,并且当检测到用户聊天消息中的钱包地址时,会将钱包地址替换成分子自己的地址,造成用户资金损失。
如下案例中,用户在 http://www.telegram-china.org(目前已失效)链接下载一个中文版的客户端,然后通过这个中文版发送一个 trx 的钱包地址:
大咖零距离 | 交易心理重塑:如何在爆仓后调整交易心态:10月22日19:30,由金色盘面主办、UP交易所独家赞助的《大咖零距离》正式开播。届时实盘大V铁头0707,将在《大咖零距离》直播间分享《交易心理重塑:如何在爆仓后调整交易心态》。敬请关注,欲进群观看直播扫描海报二维码报名即可![2019/10/22]
Beosin 测试结果
此时,发送的钱包地址为:TNpEa 9 PoqWsoPcTdTqUUdrYJbqhVLoSVFh
然后关闭软件重新打开发现钱包地址被替换为另外一个地址。
前段时间某 TG 汉化频道(https://t.me/zh_CN_Telegram_zh_CN_CN_zh_ch_zn)被曝光是仿冒频道,真正的简体中文语言包维护频道是 https://t.me/zh_CN,因缺乏人员支持目前翻译工作已停止。该仿冒频道被曝光时有近八十万的关注者,其传播的语言包是一个带有后门的安装文件。
美国银行分析师解释比特币如何像常规货币:据CCN报道,美国圣路易斯联邦储备银行内容策略师Christine Smith认为,比特币不像人们想象的那样异乎寻常,比特币的两个用例是作为价值和货币存储的,史密斯论证比特币与普通货币没有区别的三大理由:
1.比特币和美元都没有实物资产支持;
2.“稀缺”是美联储货币体系稳定战略的核心,因为“为了保持其价值,货币必须供应有限”,而比特币的数量也是有限的。
3.比特币“纯粹的电子现金对等版本可以让在线支付从一方直接发送到另一方,而无需通过金融机构”,这与现金花费方式有相似性,即“不需要中间人处理交易”。[2018/5/1]
安全人员分析该语言包文件是一个下载器,运行后会下载各种模块并尝试绕过安全软件的检测。除此之外,该样本使用了检测鼠标移动等方式绕过沙箱分析。
国外安全研究员发现,有犯罪组织利用 Telegram 机器人窃取用户 OTP 令牌和 SMS 验证码以完成 2 FA(双因素身份验证)。攻击者使用 Telegram 机器人获取帐户信息,包括致电受害者、冒充银行和合法服务等。通过社会工程,攻击者还人们通过移动设备向他们提供 OTP 或其他验证码,然后子用这些代码来取用户账户中的资金、密码、会话 cookie、登录凭据和信用卡详细信息。
中国信通院云计算与大数据研究所所长何宝宏:区块链中如何使用共识机制是大问题:中国信通院云计算与大数据研究所所长何宝宏:区块链是唯一崛起于草根的颠覆性技术,越来越多的行业应用正在采用分布式账本技术;在区块链中如何使用共识机制是大问题,当信任缺失时,共识机制十分消耗算力;区块链技术人才需求朝复合型方向发展。[2017/12/22]
者冒充 Telegram 上的加密货币专家,宣传对加密货币投资有回报的承诺。者会通过 Twitter 评论,或直接在 Telegram 上与你联系,声称能够为你提供高额的投资回报。
如果参与,者会要求你在他们的特殊加密货币交易所开设一个账户。届时,他们会向你展示表明你的投资正在增加的图表,但是当你试图取出你的收入时,子连同你的账户就会消失。
针对 Telegram 的安全使用,避免被盗和资金损失,我们提出了以下参考建议。
为了账号安全,及时设置两步验证密码。该密码只会在新登录 Telegram 时被要求输入。
打开 Setting(设置)> Privacy and Security(隐私和安全)> Two-step Verification(两步验证)进行设置,并建议在后续步骤中设置安全邮箱,目的是在忘记两步验证密码的情况下,可以通过安全邮箱进行重置密码。
检查自己的软件下载途径,如果是网页搜索下载的安装包,建议直接卸载后去官网重装。第三方客户端有能力获取和控制你的账户,读取你全部的聊天记录,收集你设备的可识别信息,安全起见,务必通过 Telegram 官网下载使用软件。
谨慎使用电报机器人服务,不泄露个人数据,包括姓名、用户名、手机号、电子邮件地址、密码数据或可用于识别您身份的任何信息。
陌生人私聊不要轻易相信,提高警惕,避免造成资金损失或被盗取信息,如果被打扰可以选择屏蔽;收到的陌生文件、链接不轻易点击。
发送钱包地址与对方多次沟通验证;以截图钱包二维码的形式向对方发送钱包地址,对方通过扫码识别钱包地址。
定期查看设备 IP 登陆状态,对有异常登录的设备 IP 强制下线。
Telegram 只有 Contact(联系人),没有“好友”的说法。添加和删除联系人是单向操作,即你添加或删除某个联系人,并不会导致你在对方联系人列表中被添加或者被删除。因此注意在添加联系人时,取消 Share My Phone Number (分享我的手机号码),该选项会被默认勾选。
在设置–>隐私与安全中选择设置隐藏手机号、上线状态、头像、转发消息等;设置账号不被非好友拉入陌生群,减少被概率;不使用 Telegram 附近的人功能。
同时,为了防范 Telegram、Twitter 等平台的“冒充”,Beosin 官网目前上线了安全验证功能。
客户可以输入与您联系的Beosin的员工名片信息,如果通过验证,那就是安全的。
相反,如果不通过,那可能您遇到的是冒充 Beosin 员工的子,大家要多加防范。
好了,今天的安全分享就结束了,我们下期再见。
Beosin 是一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品+服务,目前已为全球 2000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。
原文:Beosin
来源:星球日报
Odaily星球日报
媒体专栏
阅读更多
金色早8点
金色财经
Arcane Labs
欧科云链
澎湃新闻
深潮TechFlow
MarsBit
BTCStudy
链得得
原文来源:福布斯原文编译:比推 Mary Liu美国参议院银行委员会周二举办了名为「加密崩溃:为什么数字资产需要金融系统保障措施」的听证会,本次听证会涵盖了本周的热门话题.
1900/1/1 0:00:00最近,一些列的监管执法和打击活动主导了又一轮加密新闻主题。下一个有可能的目标会是谁?稳定币。具体来说,美国机构正在对币安(Paxos发行的)BUSD和Terra(曾经稳定的)UST穷追不舍.
1900/1/1 0:00:00这段时间深受各种空投消息刺激,大部分时候都是观众,或者只是陪跑。比如CoreDao空投,群里有一个伙伴撸了20万元,但这个项目之前没有关注到,而且最开始对手机挖矿不感兴趣,错过也不遗憾;到BLU.
1900/1/1 0:00:00记者:蓝鲸财经 史玉宁近日,由于人工智能聊天机器人ChatGPT的爆火A股和美股市场的AI相关公司的股价受影响迅速增长.
1900/1/1 0:00:002023年世界经济论坛年会于2023年1月16日至20日在达沃斯举行,这是世界经济论坛时隔三年回归线下。与1971年达沃斯论坛第一次举办时相比,如今达沃斯的雪量已经减少了40%以上.
1900/1/1 0:00:002月20日,The Block报道四名Coinbase的前员工推出了一个新型NFT借贷平台PaprMeme,并获得了Coinbase Ventures投资的300万美元.
1900/1/1 0:00:00