• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

慢雾:Web3 钓鱼手法解析

  • 2025年1月24日 08:45

背景

近期,慢雾(SlowMist)受邀参加DeFiHackLabs举办的EthereumWeb3SecurityBootCamp。作为演讲嘉宾,慢雾安全审计负责人Thinking从“伪、饵、诱、攻、隐、技、辨、御”八个章节,结合实际案例,带领学员深入了解钓鱼黑客的作恶方式及隐匿手段,并提出了相关防范措施。钓鱼是行业重灾区之一,知己知彼,才好做好防御工作。本文将提取分享会中的关键内容,帮助用户了解钓鱼攻击的现状和有效规避钓鱼攻击威胁。为什么会被钓鱼

盗取账号/高仿账号

近期Web3项目方/KOL的X账号被盗事件频发,攻击者盗取账号后常推广虚假Tokens,或是在发布的“好消息”里构建相似的域名诱骗用户点击。当然,也存在域名是真实的情况,因为攻击者可能接管了项目方的域名。一旦受害者点进钓鱼链接,进行签名或者下载恶意软件,便会被盗。

除了盗取账号的方式,攻击者在X上还常利用高仿的账号在真实账号的评论区留言以诱导用户。慢雾安全团队曾做过针对性的分析统计:约有80%的知名项目方在发布推文后,评论区的第一条留言会被诈骗钓鱼账号所占据。攻击者利用自动化机器人关注知名项目方动态,在项目方发布推文后,钓鱼团伙的机器人会自动化第一时间留言以确保占据第一条留言位置,蹭到高浏览量。由于用户正在浏览的帖子是真实项目方发送的,且经过伪装后的钓鱼团伙账号和项目方的账号高度相似,这时只要用户警惕性不够,点击高仿账号里空投等名义的钓鱼链接,然后授权、签名,便会损失资产。

邀约钓鱼

攻击者常通过和受害者在社交平台建立联系,向用户推荐“优质”项目或者邀请用户参加会议,引导受害者访问恶意的钓鱼站点,下载恶意的应用程序,此前便有用户因为下载了假Zoom导致被盗的情况。攻击者使用形如“app[.]us4zoom[.]us”的域名伪装成正常Zoom会议链接,页面与真Zoom高度相似。当用户点击“启动会议”按钮,便会触发下载恶意安装包,而非启动本地Zoom客户端或下载Zoom的官方客户端。由于恶意程序在运行时就诱导用户输入密码,并且后续的恶意脚本也会采集电脑中插件钱包数据和KeyChain数据(可能包含用户保存在电脑上的各种密码),攻击者收集后就会尝试解密数据,获得用户的钱包助记词/私钥等敏感信息,从而盗取用户的资产。

TG广告

近期因为假冒的TGBot而受损的用户大幅增加,多位用户报告在使用交易机器人时,频道顶部出现了一个新的机器人,以为是官方新推出的,于是点进新机器人导入私钥绑定钱包,结果被盗。攻击者利用Telegram精准投放广告至官方的频道,引诱用户点击。这类钓鱼手法隐蔽性较高,由于这个广告出现在官方频道,用户很容易下意识认为是官方发布的机器人,一旦警惕性不够,点进了钓鱼Bot,上传私钥进行绑定,便会被盗。

APP商城

应用商城(GooglePlay,ChromeStore,AppStore,APKCombo等)上的软件并不都是正版,很多时候商城没有办法对软件进行完全的审核。一些攻击者通过购买关键词排名引流等方式诱导用户下载欺诈App,请广大读者注意甄别,在下载前,一定要先查看应用开发者信息,确保其与官方公布的开发者身份一致,还可以参考应用评分、下载量等信息。

利用浏览器特性

详情见慢雾:揭露浏览器恶意书签如何盗取你的DiscordToken。防御挑战

防御策略

钓鱼风险阻断插件:如ScamSniffer可以多维度检测风险,用户在打开可疑的钓鱼页面时,工具会及时弹出风险提示。

交互安全性高的钱包:如Rabby的观察钱包(无需私钥)、钓鱼网站识别、所见即所签、高风险签名识别、历史记录Scam识别等功能。

国际知名杀毒软件:如AVG、Bitdefender、Kaspersky等。

硬件钱包:硬件钱包提供了一种离线存储私钥的方式,使用硬件钱包和DApp进行交互的时候,私钥不会暴露在网上,有效降低资产被盗风险。

写在最后

在Blockchain黑暗森林中,钓鱼攻击无处不在。修行就在起心动念处,需要看好自己的心念,避免于境“起心动念”而不自觉。行走于Blockchain黑暗森林,最根本的是要养成保持零信任和持续验证的习惯,建议大家深度阅读并逐步掌握《Blockchain黑暗森林自救手册》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/。

元宇宙最新

元宇宙热门

Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM