在維基百科定義中,網絡釣魚是一種企圖從電子通信中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。
這些通信都聲稱來自于風行的社交網站、拍賣網站、網絡銀行、電子支付網站、或網絡管理者,以此來誘騙受害人的輕信。
網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例,它憑恃的是現行網絡安全技術的低親和度。
在web3世界中,網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現,通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊,讓人防不勝防。
本文將揭露其中幾種web3世界里常見的釣魚方法,跟我們一起來看看吧。
Phishing
官方Discord被盜,發布釣魚信息
2022年5月23日,MEE6官方Discord遭受攻擊,導致賬號被盜,官方discord群里發布mint的釣魚網站信息。
安全團隊:“x2y2.it”是釣魚網站,已約有60名受害者:7月27日消息,據慢霧監測,“x2y2.it”是釣魚網站,請用戶不要點擊與其交互。目前大約有60名受害者,共損失約44枚NFT、11枚ETH、520枚USDC和390枚USDT。[2022/7/27 2:41:06]
2022年5月6日,NFT交易市場Opensea官方Discord遭受攻擊,黑客利用機器人賬號在頻道內發布虛假鏈接,并聲稱“OpenSea與YouTube達成合作,點擊鏈接可參與鑄造限量100枚的mintpassNFT”。
近期,官方discord遭遇攻擊的案例越來越多,經過成都鏈安安全團隊分析,其原因可能有:
項目方員工遭受釣魚攻擊,導致賬戶被盜;
項目方下載惡意軟件,導致賬戶被盜;
項目方未設置雙因素認證且使用弱密碼導致賬戶被盜;
項目方遭受釣魚攻擊,添加惡意書簽從而繞過瀏覽器同源策略,導致項目方Discordtoken被盜。
RPG NFT游戲Pixelmon遭釣魚網站欺詐攻擊:5月16日消息,RPG NFT游戲遭到釣魚網站欺詐攻擊,黑客模仿其官方網站 Pixelmon.club 偽造了一個名為Pixelmon[.]gw的網站,釣魚網站會要求玩家下載游戲,一旦部署可執行文件后,就會竊取用戶應用程序的密碼,并在計算機上搜索與特定名稱匹配的文件,然后將這些文件上傳給攻擊者。
據NFTGo.io數據顯示,當前Pixelmon地板價為0.298ETH,市值約為1866萬美元,交易總額達到4424萬美元。(bleepingcomputer)[2022/5/16 3:19:42]
防騙技巧
Phishing
周杰倫遭遇釣魚攻擊,價值百萬NFT被盜
2022年4月1日愚人節,周杰倫在Instagram上發文稱持有的BAYC#3738NFT已被盜。
據了解,該NFT在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后,發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接,隨后在11點左右簽名了授權交易,將NFT的權限授予了0xe34f0開頭的攻擊者錢包,可能這時候杰倫還沒意識到自己的NFT,已經處于風險之中。
AOFEX風險提示:警惕虛假釣魚網站:近期,AOFEX接到用戶舉報,有不法分子通過假冒網址、釣魚鏈接進行非法操作,盜取用戶資金。AOFEX強烈建議用戶不要點擊未知鏈接,注意區分與AOFEX官方網址類似的網址,必要時通過AOFEX官方渠道進行咨詢或驗證,以免泄露賬號、密碼等信息,造成資金損失。再次提醒大家,AOFEX官方不會以任何形式向用戶索要賬號密碼、短信及谷歌驗證碼等信息。請用戶一定認清AOFEX官網地址,警惕虛假釣魚網站。
AOFEX數字貨幣金融衍生品交易所,旨在為用戶提供優質服務和資產安全保障。[2021/1/12 15:59:53]
僅僅過去幾分鐘,攻擊者就在11:07將無聊猿BAYC#3738NFT轉移到自己的錢包地址中,隨后在LooksRare和OpenSea上將盜取的NFT賣掉,獲得約169.6ETH。
防騙技巧:
MXC抹茶:注意識別釣魚網站及假冒MXC抹茶名義的騙局:據官方消息,有用戶反饋,近日網絡上出現了假冒MXC抹茶的釣魚網站、APP,目前MXC抹茶暫未收到有用戶遭到資產損失的反饋。同時,有人假冒并以MXC抹茶名義組建社群,為一些“項目”做宣傳。MXC抹茶在此提醒廣大用戶,建議綁定谷歌二次驗證以增強用戶賬戶安全性,勿向任何人透露賬戶密碼及谷歌驗證信息;如遇釣魚網站或假冒MXC抹茶客服及工作人員進行詐騙行為,可通過官網客服通道舉報,MXC抹茶將第一時間處理。官方客服人員不會以任何方式向用戶索要密碼和二次驗證碼(包括但不限于短信、谷歌二維碼)。凡涉及MXC抹茶相關活動、社群信息,請務必以官網披露的為準。[2020/6/26]
Phishing
Google廣告漏洞置頂的釣魚網站
2022年5月10日,Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示,NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站,它利用Google廣告的漏洞,使真實網站和詐騙URL看起來完全相同,已經有約100ETH被盜。
防騙技巧
動態 | eos-black.com為EOS Black的釣魚網站:據unhashed消息,EOS社區近期出現了關于EOS black的釣魚網站,真正的EOS Black網站是eosblack.io,假冒的網站為eos-black.com,后者企圖獲取用戶的私鑰。[2018/10/11]
Phishing
假機器人偽裝成項目方私聊發送釣魚網站
最近,筆者在關注某一新項目時,從項目官網加入到了官方discord社群,加群后按照國際慣例先進行官方機器人身份驗證,然而這一條驗證消息卻是機器人私信發過來的,此時內心有些疑問,但是看到有“機器人”的提示標簽后,也沒多想。
但當我再打開鏈接的時候,發現它自動喚起了我的Metamask錢包,要求輸入密碼,此時基本確定網站有問題。后經過調試分析發現,該網站并非真正的Metamask彈出的,而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼,就會要求助記詞驗證,最后密碼和助記詞都會發送到攻擊者的后臺服務器,自此,你的錢包就已經被盜了。
防騙技巧
高仿域名和內容的釣魚網站
Phishing
目前筆者在市場上發現了各種各樣的假冒網站,它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的,其歸納分析,其主要有以下幾種形式:
更換頂級域名,主名不變。例如下圖中官網頂級域名是.com,釣魚網站頂級域名為.fun。
主名添加單詞或符號進行混淆,比如opensea-office,cyber-kongz等。
添加二級域名進行混淆,進行釣魚欺騙。
防騙技巧
上線了opensea的釣魚項目
Phishing
筆者前段時間在opensea遨游的時候,發現了一個官網還未開售的項目,卻在opensea上掛牌了10k,接近5.4kowner。一時間警惕心大起,仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名,后在opensea上線了相似名字的項目,且加上freemint等字樣吸引眼球。
此外,還有些釣魚網站也會聯合釣魚twitter一起進行詐騙:
防騙技巧
Phishing
真假合約地址
在今年3月出現了一種新騙局,也是讓人開了眼界。APEcoin項目的合約地址為:
0x4d224452801ACEd8B2F0aebE155379bb5D594381
而攻擊者偽造了前后幾位均相同的假合約,聯合釣魚宣傳一起進行釣魚詐騙,假合約為:
0x4D221B9c0EE56604186a33F4f2433A3961C94381
這種攻擊方式不多見,但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常,卻幾乎不會有人全部記下來的。
防騙技巧
上述只列舉了釣魚詐騙界常見的手段,而如今在web3持續火爆的情況下,釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧,盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙,則可以采取下列措施盡可能補救:
補救措施
馬上進行資產隔離,盡快將剩余資產轉移到安全位置,避免更大的損失;
主動發布聲明,告知大家被盜賬戶的相關信息,避免危及朋友和社區;
盡可能保留證據,尋求項目方或機構進行后續處理;
可尋求專業的安全公司進行資金追蹤,如成都鏈安。
最后,建議記錄并分享被騙經歷,與大家共勉。反釣魚反詐騙,需要每個人都重視,也需要每個人都參與。
音樂和Web3的未來不僅取決于基礎技術本身,還取決于市場營銷、文化以及公眾對生態系統的看法。我們圍繞這一主題構建了許多新興的研究議程,強調了意見領袖的核心作用以及他們的行動在推進(或阻礙)音樂/.
1900/1/1 0:00:00CBInsights最新區塊鏈領域投融資報告顯示,2022年一季度融資額連續7個季度穩步增長,平均每個工作日有7筆以上融資,超過1億美元的大額融資有28筆.
1900/1/1 0:00:00假設您是web3新手,開始建立web3分析團隊,或者剛剛對web3數據感興趣。無論哪種方式,您都應該已經大致熟悉了API、數據庫、轉換和模型在web2中的工作方式.
1900/1/1 0:00:00頭條 ▌Terra:新TerraCore最終版本已發布,已在5月27日啟動新鏈5月25日消息,Terra官方表示,新TerraCore的最終版本已經發布,已準備在5月27日啟動新鏈.
1900/1/1 0:00:00頭條 ▌烏克蘭加密公司正在逐漸重啟業務5月15日消息,在俄烏沖突開始時,烏克蘭使用加密捐款資助戰爭的做法引起了全球加密行業的廣泛關注。現在,許多公司開始重啟業務,并取得了不同程度的成功.
1900/1/1 0:00:00技術的發展讓旅行者在開始旅行前,就能獲得旅行體驗。即使目前元宇宙旅行還未完全實現,但它將是沖擊旅行業的下個大事件。像太空旅行一樣,把想法建起來,粉絲就會跟隨.
1900/1/1 0:00:00