以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

釣魚網站“入侵”Web3 這些防騙技巧必須學會_NFT

Author:

Time:1900/1/1 0:00:00

在維基百科定義中,網絡釣魚(Phishing)是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

這些通信都聲稱(自己)來自于風行的社交網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網絡銀行、電子支付網站(PayPal)、或網絡管理者(雅虎、互聯網服務提供商、公司機關),以此來誘騙受害人的輕信。

網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例,它憑恃的是現行網絡安全技術的低親和度。

在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊(詳見維基百科:社會工程學),讓人防不勝防。

本文將揭露其中幾種web3世界里常見的釣魚方法,跟我們一起來看看吧。

安全團隊:發現假冒的Uniswap x DOH空投釣魚網站,請勿與之交互:金色財經報道,據CertiK監測,發現假冒的Uniswap x DOH空投釣魚網站,不要與hxxps://uniswapdoh.com/ 互動。該網站會在用戶點擊認領按鈕時掃描其錢包。[2023/4/22 14:20:33]

Phishing

官方Discord被盜,發布釣魚信息

2022年5月23日,MEE6官方Discord遭受攻擊,導致賬號被盜,官方discord群里發布mint的釣魚網站信息。

2022年5月6日,NFT交易市場Opensea官方Discord遭受攻擊,黑客利用機器人賬號在頻道內發布虛假鏈接,并聲稱“OpenSea與YouTube達成合作,點擊鏈接可參與鑄造限量100枚的mint pass NFT”。

近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:

RPG NFT游戲Pixelmon遭釣魚網站欺詐攻擊:5月16日消息,RPG NFT游戲遭到釣魚網站欺詐攻擊,黑客模仿其官方網站 Pixelmon.club 偽造了一個名為Pixelmon[.]gw的網站,釣魚網站會要求玩家下載游戲,一旦部署可執行文件后,就會竊取用戶應用程序的密碼,并在計算機上搜索與特定名稱匹配的文件,然后將這些文件上傳給攻擊者。

據NFTGo.io數據顯示,當前Pixelmon地板價為0.298ETH,市值約為1866萬美元,交易總額達到4424萬美元。(bleepingcomputer)[2022/5/16 3:19:42]

項目方員工遭受釣魚攻擊,導致賬戶被盜;

項目方下載惡意軟件,導致賬戶被盜;

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;

項目方遭受釣魚攻擊,添加惡意書簽從而繞過瀏覽器同源策略,導致項目方Discord token被盜。

防騙技巧

周杰倫遭遇釣魚攻擊,價值百萬NFT被盜

2022年4月1日愚人節,周杰倫在Instagram上發文稱持有的BAYC#3738 NFT已被盜。

警惕Uniswap釣魚網站“兌換”騙局,數小時詐騙金額已達上百個以太坊:據用戶反饋,近日有不法分子創建Uniswap釣魚網站,聲稱1個ETH可以兌換1200個“UNI”,從而引導用戶將以太坊轉入詐騙者的合約地址中,并返還給用戶虛假“UNI”從而騙取用戶資產。據丟幣獵人CoinHunter監測,“UNI兌換”騙局詐騙金額已達上百個以太坊,截至報道時騙局仍在持續運轉。釣魚網站為下方原文鏈接。[2020/9/19]

據了解,該 NFT 在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后,發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接,隨后在11點左右簽名了授權(approve)交易,將NFT的權限授予了0xe34f0開頭的攻擊者錢包,可能這時候杰倫還沒意識到自己的NFT,已經處于風險之中。

僅僅過去幾分鐘,攻擊者就在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中,隨后在LooksRare和OpenSea上將盜取的NFT賣掉,獲得約169.6 ETH。

動態 | eos-black.com為EOS Black的釣魚網站:據unhashed消息,EOS社區近期出現了關于EOS black的釣魚網站,真正的EOS Black網站是eosblack.io,假冒的網站為eos-black.com,后者企圖獲取用戶的私鑰。[2018/10/11]

防騙技巧:

Google廣告漏洞置頂的釣魚網站

2022年5月10日,Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示,NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站,它利用 Google 廣告的漏洞,使真實網站和詐騙URL看起來完全相同,已經有約100 ETH被盜。

公告 | Trezor錢包現虛假釣魚網站 官方公布甄別方法:昨日夜間,Trezor錢包團隊開始陸續接到用戶關于無效SSL證書的詢問報告。經調查發現,有虛假釣魚網站對嘗試登陸合法Trezor官方網站(wallet.trezor.io)的用戶發動了攻擊。具體的攻擊細節尚不明確,但有跡象指向DNS中或BGP劫持。用戶需特別留意以下兩點:

1.?登陸網站時,虛假錢包頁面會顯示紅字提醒框,告知用戶因內存損壞,他們需要重新修復種子文件。

2.?在修復方法方面,虛假網站迫使用戶在電腦內同時輸入序列號以及種子單詞。

這些均區別于Trezor現存的修復方法。為識別真正的Trezor網站,用戶應注意網址欄是否有顯示“安全”(Secure)標記,堅持在Trezor設備驗證所有的操作,并永遠不要向任何人泄露個人敏感數據。[2018/7/2]

假機器人偽裝成項目方私聊發送釣魚網站

最近,筆者在關注某一新項目時,從項目官網加入到了官方discord社群,加群后按照國際慣例先進行官方機器人身份驗證,然而這一條驗證消息卻是機器人私信發過來的,此時內心有些疑問,但是看到有“機器人”的提示標簽后,也沒多想。

但當我再打開鏈接的時候,發現它自動喚起了我的Metamask錢包,要求輸入密碼,此時基本確定網站有問題。后經過調試分析發現,該網站并非真正的Metamask彈出的,而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼,就會要求助記詞驗證,最后密碼和助記詞都會發送到攻擊者的后臺服務器,自此,你的錢包就已經被盜了。

高仿域名和內容的釣魚網站

目前筆者在市場上發現了各種各樣的假冒網站,它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的,其歸納分析,其主要有以下幾種形式:

(1)更換頂級域名,主名不變。例如下圖中官網頂級域名是.com,釣魚網站頂級域名為.fun。

(2)主名添加單詞或符號進行混淆,比如opensea-office,cyber-kongz等。

(3)添加二級域名進行混淆,進行釣魚欺騙。

上線了opensea的釣魚項目

筆者前段時間在opensea遨游的時候,發現了一個官網還未開售的項目,卻在opensea上掛牌了10k,接近5.4kowner。一時間警惕心大起,仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名,后在opensea上線了相似名字的項目,且加上free mint等字樣吸引眼球。

此外,還有些釣魚網站也會聯合釣魚twitter一起進行詐騙:

真假合約地址

在今年3月出現了一種新騙局,也是讓人開了眼界。APEcoin項目的合約地址為:

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻擊者偽造了前后幾位均相同的假合約,聯合釣魚宣傳一起進行釣魚詐騙,假合約為:

0x4D221B9c0EE56604186a33F4f2433A3961C94381

這種攻擊方式不多見,但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常,卻幾乎不會有人全部記下來的。

馬上進行資產隔離,盡快將剩余資產轉移到安全位置,避免更大的損失;

主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;

盡可能保留證據,尋求項目方或機構進行后續處理;

可尋求專業的安全公司進行資金追蹤,如成都鏈安。

最后,建議記錄并分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。

Tags:NFTORDCORDSCOBAKC Vault (NFTX)LordlessConcordiumStartupersCoin

幣安下載
Terra主要驗證者呼吁使用“全新的鏈”來取代Terra_TER

隨著Terra生態系統崩潰的塵埃落定,社區決定下一步應該采取什么措施。韓國一家驗證節點運行商的首席執行官認為,舊的Terra鏈應該永久關閉.

1900/1/1 0:00:00
上市一周年股價迎新低 “加密第一股” Coinbase 經歷了什么?_COIN

在即將迎來上市一周年紀念之際,“加密第一股” Coinbase Global(納斯達克股票代碼:COIN)股價卻跌至新低.

1900/1/1 0:00:00
比特幣與納斯達克指數相關性創歷史新高_比特幣

價格波動性:Yuga Labs虛擬土地的出售使以太坊區塊鏈癱瘓,導致ApeCoin價格飆升,然后暴跌。市場流動性:由于通脹飆升,土耳其里拉加密資產交易量飆升至年度新高.

1900/1/1 0:00:00
西安:數字人民幣商戶超10萬個_數字人

2020年11月,西安市成為第二批取得數字人民幣試點地區資格的6家試點地區之一。在相關部門以及人民銀行西安分行的支持、引導下,各試點運營機構持續優化數字人民幣受理環境,西安市目前已初步建立既有應.

1900/1/1 0:00:00
金色趨勢丨陽光下沒有新鮮事 見底仍需時間_區塊鏈

可以看到2013年牛市見頂后開啟熊市,BTC一路震蕩回落,最終見底在快慢兩線死叉后。金色財經挖礦數據播報 | BSV今日全網算力上漲1.83%:金色財經報道,據蜘蛛礦池數據顯示: ETH全網算力.

1900/1/1 0:00:00
央行數字貨幣設計的統一框架_BDC

各國中央銀行已經開始了自己的工作計劃,以評估發布中央銀行數字貨幣(CBDC)進行零售交易的前景.

1900/1/1 0:00:00
ads