如何警惕與防范Telegram盜號詐騙_ELE

近期，跨平臺的即時通訊軟件Telegram盜號事件頻發，不法分子通過非法手段盜取用戶Telegram賬號，并以冒充好友的方式進行詐騙。

針對近期的盜號詐騙事件，Beosin?安全研究部為大家梳理了Telegram?常見的詐騙方式，教大家如何警惕與防范。

一、詐騙方式

?騙取?TG?驗證碼截圖

最近比較新穎的詐騙盜號，詐騙者冒充好友的身份以各種理由騙取聊天頁面截圖，看似毫無危險，但此刻騙子正在嘗試利用你的手機號碼登陸?Telegram，當發送的截圖頁面包含了官方發送的登陸驗證碼，即會被騙子利用成功登陸你的?TG?賬號。騙取詳細流程如下：

1.首先獲取你?TG?賬號的電話號碼。

如果你的?TG?賬號隱私設置成任何人可見，則會被陌生賬號看到手機號碼；或是騙子首先獲取到你好友的賬號，然后查詢到你的手機號。

2.騙取登陸驗證碼。

騙子以各種理由，告訴你賬號有問題，騙取你的聊天截圖。同時，騙子在一臺新設備輸入你的手機號碼嘗試登陸。

例如以下兩種話術類型：

聊天界面中有兩個相同的聯系人：當對某個聯系人開啟了加密聊天時，聊天列表就會出現兩個相同的聯系人，如下圖加密的聊天通信會在名字前加一把鎖。

恒生電子：聯盟鏈的創新空間應集中在如何更好地服務中小和小微企業方面:金色財經報道，6月23日，恒生電子區塊鏈發展部運營經理林晗做客金色財經舉辦的“聯盟鏈-創新場景應用的偶然與必然”為主題的金色沙龍第64期活動。林晗表示中國的區塊鏈研究和專利成果，從一開始就比較集中在區塊鏈技術的應用和落地，也就是產業區塊鏈方面。現階段聯盟鏈適用于與具體細分產業相結合的場景，比如說產業金融領域，例如產業金融區塊鏈平臺范太鏈。聯盟鏈的創新空間應是集中如何利用區塊鏈解決小微企業的信任問題、更好提升小微企業運營效率來開展。因為區塊鏈能解決的一個核心痛點是信任問題，與本身就具有信任背書能力的大企業相比，在產業中往往是小企業才需要解決信任問題。區塊鏈作為一種劃時代意義的記賬技術，其最大的價值是應該被用來與實體產業結合，促進社會發展。[2021/6/23 0:00:23]

好友輔助解封賬號：騙子稱賬號被官方限制，需要好友發送驗證碼幫忙解封賬號。

3.登錄你的賬號繼續詐騙。

當你在不經意間把包含登陸驗證碼的聊天截圖發給對方時，如果賬號沒開啟兩步驗證，騙子則可以通過驗證碼直接登陸你的賬號。隨后騙子會刪掉所有的設備，更改密碼，然后繼續騙通訊錄中的其他人。

波卡社區正在討論如何限制驗證者大幅更改傭金:剛剛，Web3基金會技術教育主管Bill Laboon發推提醒用戶小心騙局。Web3基金會、Polkadot官方以及Parity都沒有贈送DOT和KSM代幣。與此同時，Bill Laboon還公布波卡項目進展。內容顯示：1.目前驗證者可以隨意更改傭金比例。目前社區正在討論如何限制傭金變動以避免傭金大幅變動，例如在獲得足夠多的提名者后，將傭金由0%改為100%。2.財政部已經開始討論Elara 0.2提案。Elara 0.2是Patract Labs是為以Substrate為基礎的鏈提供的基礎設施。[2020/10/29]

?冒充官方的詐騙短信

詐騙短信冒充Telegram?官方賬號，聲稱該用戶的?TG?賬號違反了賬號使用規則將被限制使用，需要登陸網站解除受限。如果用戶不慎點擊鏈接，賬戶就會被盜。

?帶后門的第三方程序

由于?Telegram?沒有中文安裝包，普通用戶通常會使用第三方搜索引擎來查找對應的中文安裝程序，因此詐騙分子通過?SEO?優化為自己的?Telegram?中文版下載網站引流，誘導用戶下載排名前列的應用程序。

張春泉：區塊鏈等如何與行業深度融合將是工業互聯網發展關鍵要素:曙光云計算集團副總裁、中國科學院智慧城市產業聯盟副秘書長張春泉表示，目前工業互聯網發展呈現出新特征，一是在云計算技術架構支撐下，企業之間正從技術、產品和供應鏈的競爭逐步演進成為平臺化的生態體系競爭。二是以工業互聯網為支撐，助力企業邁向網絡化、智能化的新階段，構建數字化的工業生態和數字化的商業服務生態。三是新一輪的IT技術加速行業的深度融合，比如說標識解析、區塊鏈等技術如何與行業深度融合，將是這一時期工業互聯網發展的關鍵要素。（經濟參考報）[2020/4/30]

當用戶下載使用了帶有后門的?TG?程序，會被自動檢測聊天中的區塊鏈地址，并且當檢測到用戶聊天消息中的錢包地址時，會將錢包地址替換成詐騙分子自己的地址，造成用戶資金損失。

如下案例中，用戶在?http://www.telegram-china.org鏈接下載一個中文版的客戶端，然后通過這個中文版發送一個?trx?的錢包地址：

Beosin?測試結果

掌柜調查署 | 競爭之下平臺幣會如何發展？:4月14日16:00，AAX交易所CEO Thor Chan將攜帶新上線的平臺通證AAB做客金色財經掌柜調查署，一起來看競爭之下，平臺幣會如何發展。更多詳情點擊原文鏈接查看。[2020/4/14]

此時，發送的錢包地址為：TNpEa?9?PoqWsoPcTdTqUUdrYJbqhVLoSVFh

然后關閉軟件重新打開發現錢包地址被替換為另外一個地址。

Beosin?測試結果

?惡意?Telegram?漢化語言包

前段時間某?TG?漢化頻道被曝光是仿冒頻道，真正的簡體中文語言包維護頻道是https://t.me/zh_CN，因缺乏人員支持目前翻譯工作已停止。該仿冒頻道被曝光時有近八十萬的關注者，其傳播的語言包是一個帶有后門的安裝文件。

安全人員分析該語言包文件是一個下載器，運行后會下載各種模塊并嘗試繞過安全軟件的檢測。除此之外，該樣本使用了檢測鼠標移動等方式繞過沙箱分析。

BM：對代理如何運作和“dApp開發者”如何計費的理解可能需要調整:北京時間今日凌晨，BM在開發者群發表對代理如何運作和“dApp開發者”如何計費的理解：

??1）所有CPU/帶寬都是“執行操作的用戶”；

??2）所有存儲都按照dApp的選擇向用戶或dApp付費；

??3）dApp開發人員希望授權用戶將帶寬委托給用戶；

??4）授權帶寬理論上可以用于任何dApp。

現在想象一下，你是一個社交媒體公司，希望為用戶提供免費賬戶。用戶在您的網站上注冊，您為他們創建一個區塊鏈賬戶，然后將一些帶寬委托給他們。您的應用可以選擇為每個授權用戶支付有限的存儲空間，這使他們能夠在他們需要攜帶自己的存儲空間之前，擁有N份杰出的帖子和V張投票。如果您的應用不想為用戶支付存儲費用，則該應用可能完全是BYOS（注：Bring your own storage，使用你自己的存儲）和BYOB（注：Bring your own Bandwith，使用你自己的帶寬）應用。如果用戶不繼續他們的訂閱或停止使用您的服務，那么您可以將帶寬重新分配給其他用戶。[2018/4/30]

?Telegrambot?竊取密碼

國外安全研究員發現，有犯罪組織利用?Telegram?機器人竊取用戶?OTP?令牌和?SMS?驗證碼以完成?2?FA。攻擊者使用?Telegram?機器人獲取帳戶信息，包括致電受害者、冒充銀行和合法服務等。通過社會工程，攻擊者還欺騙人們通過移動設備向他們提供?OTP?或其他驗證碼，然后騙子用這些代碼來騙取用戶賬戶中的資金、密碼、會話?cookie、登錄憑據和信用卡詳細信息。

?“加密貨幣投資”騙局

詐騙者冒充?Telegram?上的加密貨幣專家，宣傳對加密貨幣投資有回報的承諾。詐騙者會通過?Twitter評論，或直接在?Telegram?上與你聯系，聲稱能夠為你提供高額的投資回報。

如果參與，詐騙者會要求你在他們的特殊加密貨幣交易所開設一個賬戶。屆時，他們會向你展示表明你的投資正在增加的圖表，但是當你試圖取出你的收入時，騙子連同你的賬戶就會消失。

Beosin?安全建議

針對?Telegram?的安全使用，避免被盜和資金損失，我們提出了以下參考建議。

?開啟兩步驗證

為了賬號安全，及時設置兩步驗證密碼。該密碼只會在新登錄?Telegram?時被要求輸入。

打開Setting>PrivacyandSecurity>Two-stepVerification進行設置，并建議在后續步驟中設置安全郵箱，目的是在忘記兩步驗證密碼的情況下，可以通過安全郵箱進行重置密碼。

?謹慎使用第三方客戶端

檢查自己的軟件下載途徑，如果是網頁搜索下載的安裝包，建議直接卸載后去官網重裝。第三方客戶端有能力獲取和控制你的賬戶，讀取你全部的聊天記錄，收集你設備的可識別信息，安全起見，務必通過?Telegram?官網下載使用軟件。

?不向電報機器人發送敏感個人信息

謹慎使用電報機器人服務，不泄露個人數據，包括姓名、用戶名、手機號、電子郵件地址、密碼數據或可用于識別您身份的任何信息。

?警惕陌生人私信

陌生人私聊不要輕易相信，提高警惕，避免造成資金損失或被盜取信息，如果被打擾可以選擇屏蔽；收到的陌生文件、鏈接不輕易點擊。

?轉賬地址驗證

發送錢包地址與對方多次溝通驗證；以截圖錢包二維碼的形式向對方發送錢包地址，對方通過掃碼識別錢包地址。

?定期查看?Telegram?的登陸設備

定期查看設備?IP?登陸狀態，對有異常登錄的設備?IP?強制下線。

?添加聯系人時取消分享手機號碼

Telegram?只有?Contact(聯系人)，沒有“好友”的說法。添加和刪除聯系人是單向操作，即你添加或刪除某個聯系人，并不會導致你在對方聯系人列表中被添加或者被刪除。因此注意在添加聯系人時，取消?ShareMyPhoneNumber(分享我的手機號碼)，該選項會被默認勾選。

?隱藏手機號和加群限制等

在設置–>隱私與安全中選擇設置隱藏手機號、上線狀態、頭像、轉發消息等；設置賬號不被非好友拉入陌生群，減少被騙概率；不使用?Telegram?附近的人功能。

Beosin?官網上線安全驗證功能

同時，為了防范?Telegram、Twitter?等平臺的“冒充”詐騙，Beosin?官網目前上線了安全驗證功能。

客戶可以輸入與您聯系的Beosin的員工名片信息，如果通過驗證，那就是安全的。

相反，如果不通過，那可能您遇到的是冒充?Beosin?員工的騙子，大家要多加防范。

好了，今天的安全分享就結束了，我們下期再見。

Beosin?是一家全球領先的區塊鏈安全公司，在全球?10?多個國家和地區設立了分部，業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規?KYT/AML?等“一站式”區塊鏈安全產品+服務，目前已為全球?2000?多個區塊鏈企業提供安全技術服務，審計智能合約超過?3000?份，保護客戶資產高達?5000?多億美元。

原文：Beosin

來源：星球日報

Tags：ELEEGRRAMLEGELEF WORLDlivingthegraceSHIBARAMENLEGO

SHIB最新價格