隨著web3領域各種應用程序的相繼發展,安全問題也隨之凸顯。近期釣魚詐騙攻擊事件頻發,各種釣魚攻擊手法層出不窮。此時,如何更清楚地了解釣魚攻擊;如何避免被釣魚顯得尤為重要。
本系列文章從web3安全出發,持續跟進web3安全動態,下文是盜取數字資產的方式,看看你是否中招?
電報群釣魚APP案例
電報群搜索錢包關鍵字會有很多號稱官方的錢包群組,其中就有詐騙分子偽裝的群組,如下圖
這些看起來為正常錢包官網的消息通知,其實都社工釣魚鏈接,選擇其中一個進行分析。
下圖為正版官網
下圖為釣魚網站,在不仔細辨別域名的情況下,看起來這個就是正常的官方網址。
下載釣魚網站Apk文件進行分析。
下圖比較了兩個版本的區別,圖中上半部分為官方APP、下半部分為釣魚APP,這裡完全分辨不了真假APP。
安裝假錢包後,所有惡意行為都會在用戶觀察不到的地方執行。這種行為包括劫持種子(助記詞)短語。
助記詞對每個加密錢包都是唯一的,以防止第三方訪問,就像主密碼一樣。一旦攻擊者獲得種子短語,他們將能夠訪問和竊取存儲在加密貨幣錢包中的加密貨幣。現有的和新創建的錢包都處於危險之中。
將惡意APP反編譯,下圖顯示了用於竊取種子短語並將其發送到攻擊者的遠程服務器的代碼片段。
下圖顯示的是用於竊取用戶名密碼並將其發送到攻擊者的遠程服務器的代碼片段。
社工釣魚攻擊分類:
錢包升級
攻擊者通過社會工程學收集到用戶郵箱,確定用戶經常使用的錢包app,對其定向攻擊,發送偽造的官方app升級郵件,下載後使用與官方無異,但是會收集用戶信息,私鑰助記詞等。
密碼洩露
攻擊者通過社會工程學,偽造官方給用戶發送密碼/私鑰洩露郵箱,讓用戶更改密碼轉移資產等,進入他們的網址進行登錄轉移的過程中,攻擊者會搶先一步轉移走你的資金。
假空投
攻擊者利用免費空投的宣傳噱頭,製作海報或者鏈接在社區宣傳,用戶掃碼識別後打開網址並授權(登錄)後,來執行Airgrab的方式來授權並領取空投,授權後騙子獲取其授權的代幣的權限,從而轉走用戶資產。
近期,還出現新型的空投詐騙,用戶通過查看交易記錄收到了空投代幣,點擊查看會發現Memo裡附帶了鏈接並提示可以使用空投代幣兌換其他幣。當用戶打開鏈接使用空投代幣兌換其他代幣時,此時需要進行授權,而該授權是惡意行為,一旦授權將導致錢包資產被全部劃走。
假二維碼
假二維碼詐騙是指詐騙人員利用假的二維碼讓用戶進行授權等操作。通常,用戶掃碼後打開的是轉賬界面或其他釣魚頁面,而這個轉賬操作實則是一次授權過程,如用戶進行授權,詐騙人員則獲得對資產轉賬的權限,從而導致資產丟失。
另外,一些假空投信息的海報上也會附帶假的二維碼,用空投代幣作為誘餌吸引用戶掃碼識別,識別後執行仍需進行授權操作來領取空投,進而落入騙子圈套,被惡意授權轉走代幣。
假代幣
仿冒知名代幣,以相似的代幣合約名字、縮寫進行詐騙。此類詐騙手段主要的受害群體多為新入門的用戶,因為熟悉區塊鏈行業的用戶通過核對代幣的合約地址來判斷某個代幣的真假,例如常見的USDT、ETH、BTC等,騙子會說自己有一些代幣著急賣出並且給出了很誘人的價格,小白用戶貪圖便宜買入後收到轉入的代幣後發現無法進行交易也沒有任何價值。
因此,在進行轉賬前需對代幣的合約等信息進行一一核對,以代幣的官方信息為準,不輕易相信第三方。
假客服
在日常使用過程中,總會遇到一些問題需要解決,大部分人遇到問題都會首先想到聯繫客服來解決,這個時候就會有人趁虛而入,包裝成和客服相同的名字和LOGO,主動在各社區中添加用戶,在解決問題的時候索取用戶的私鑰或助記詞來進行詐騙行為。
假預售
攻擊者通過論壇暗網等渠道,購買使用時間久,粉絲多,活躍的社交媒體賬號,包括推特等,攻擊者會通過預售的方式先行發布預售活動,用戶可以低於正式價格買到對應的NFT,當預售達到一定數量後,項目方可能會選擇跑路。
假App
騙子會開發和正版的錢包高度相似的App,以假亂真,導致用戶在創建或者導入錢包的時候,騙子後台的服務器就會默默記錄並同步到他們特定的服務器,這樣用戶在後續的操作中就有極大的風險被騙子盜幣了。
電報群詐騙
騙子通過電報群私聊、釣魚鏈接及極具誘惑的話術文件,只要用戶點擊釣魚鏈接就可能在無防備的情況下進行轉賬或者授權,同樣當電腦打開惡意文件,會種植病毒獲取你密碼私鑰等。
安全建議
建議錢包升級時直接在程序內部尋找升級選項
不要相信任何人發來的更改密碼轉移資產鏈接
對於空投事件時刻保持警惕,不要簽名授權或者模糊數據的交易
做代幣交易時可通過多方途徑確認安全性
建議從官方應用商店安裝加密錢包應用,不要從第三方來源下載
APP 
