此文章由曲速未来安全区翻译编辑
原文链接:https://securelist.com/in-cryptoland-trust-can-be-costly/86367/
译文仅供参考,一切以原文章含义为准。
前言
虽然加密货币的法律地位和规范它们的法律还在不断完善,但一些诈骗者正忙于利用诈骗手段获得加密货币。除了进攻加密货币交易所,利用智能合约漏洞以及部署恶意矿工之外,网络犯罪分子还采用更传统的方法,并借此获利数百万美元。他们的目标不仅仅是加密货币钱包的所有者,而是任何对该主题感兴趣的人。
要了解诈骗者如何获取受害者的钱,首先要记住加密货币的工作方式以及当我们谈论加密货币钱包的地址和私钥时它意味着什么。
加密货币使用公钥和私钥的非对称加密。任何人都可以转账的钱包地址可以从公钥生成,而公钥又可以从私钥获得。所有钱包交易都需要私钥,因此诈骗者对私钥感兴趣。但请注意,攻击者并不总是要获取受害者的私钥,他们的目标通常是让人们自己将资金转移到诈骗者的账户中。
1.经典的网络钓鱼
1.1加密货币交易所和钱包上的身份验证
交易所为加密货币提供的专业服务来买卖。它们还提供加密存储服务,为每种持有的货币发行钱包并替用户存储私钥。因此,如果诈骗者设法获取了交易所帐户的身份验证数据,他们将获得对用户资金的访问权限。这就解释了为什么大量的网络钓鱼页面模仿流行的加密货币交易所的授权页面。除了URL之外,这些网站通常非常相似,几乎与原网站无法区分。。
另一种窃取资金的方法是攻击交易平台并从用户帐户中提走资金。这种抢劫的最近一个例子来自韩国,该国最大的交易所Bithumb价值3200万美元的BTC被盗之后停止交易。截至去年年底,另一个交易所Youbit被盗了17%的 资产,导致了破产。
因此,许多用户更喜欢将加密货币保存在他们自己的“钱包”中,其中有两种类型:热钱包和冷钱包(桌面,硬件,纸张)。热钱包并不比在交易所持有的钱包更安全:私钥被委托给第三方,而所有者无法控制它。冷钱包被认为是最安全的。这些是为钱包生成并内部存储不可恢复的私钥的物理设备。执行交易时,所有操作都在钱包内进行,只有电子签名在外部发出。
用于访问热钱包的方法与传统的网络钓鱼技术相同:诈骗者创建一个模仿目标网站身份验证页面的页面。钓鱼网页的链接通常通过电子邮件发送,其中包含有关帐户被冻结或有异常活动的恐吓故事。这些故事是为了说服用户必须通过在虚假网站上进行身份识别才能防止资金损失。
深入研究网络钓鱼站点脚本,很明显除了登录和密码之外,诈骗者还会收集有关IP地址和用户代理字串符的信息。使用这些数据,网络犯罪分子可以通过使用此信息伪装成帐户所有者来绕过一些反欺诈系统。
1.2假注册
对于没有钱包的人,诈骗者有一个单独的方案,通过承诺各种注册“奖金”,例如,奖励一笔加密货币,诱骗他们前往虚假的钱包网站。
最简单的网络钓鱼页面只是收集用户的个人数据,然后将它们重定向到服务的真实站点。更危险的是使用他们指定的数据为受害者注册钱包。结果,受害者在邮箱中收到确认消息并确认拥有了真实的钱包账户,从而使他们陷入虚假的安全感。但钱包从一开始便受到控制,因此只要钱出现在那里,它就会被迅速提走。
似乎只有热钱包和交易所是网络钓鱼者的目标,但事实并非如此。例如,假冒的MyEtherWallet(一种可以促进用户本地PC上存储的数字硬币进行交易并很受欢迎的解决方案)。
注册程序与原始程序完全相同,包括下载访问资金所需的密钥库文件。受害者在注册后,私钥已经被泄露,转移到钱包的任何钱最终都被诈骗者提走。
1.3假冒的移动应用程序
另一个攻击媒介是通过官方应用商店分发的假加密存储软件。这些程序通常是下载量最高的,就像假的MyEtherWallet移动应用程序成为App Store中第三大最受欢迎的金融app一样。
2.投资项目
根据CoinSchedule 2018年的统计数据,当这篇文章发布时,已经举行了427次ICO,募集资金总额超过100亿美元。巨额资金,炒作和缺乏立法控制使ICO成为诈骗者的天然目标。
窃取资金的最常见方法之一是向潜在投资者发送网络钓鱼电子邮件。当宣布ICO时,收集感兴趣的人的电子邮件地址,以便例如通知他们关于代币募资的开始。但潜在投资者细节的数据库可能落入坏人之手。在这种情况下,在实际开始日期之前不久,诈骗者发出电子邮件,说初步募资已经开始,并且让这些潜在投资者将资金转入诈骗者的地址。
另一种常见方法是创建模仿官方ICO项目的虚假网站。
这些资源的链接不仅通过电子邮件,IM和社交网络分发,还通过主要搜索引擎中的广告分发。
项目越受欢迎,虚假网站的数量越多,质量越高。Telegram的ICO目前持有筹集的最高投资记录。卡巴斯基实验室发现了许多利用此事件的网络钓鱼资源,其中一些看起来非常专业。更重要的是,受害者转账的钱包地址是为每个“投资者”单独创建的,这使得跟踪资金变得十分困难。
3.代币派发
3.1空投
代币空投是一种宣传新Token的方式,这些Token尚未在交易所上市。任何人都可以通过做一些可以推进项目进度的事情来获得空投。例如,用户可能需要订阅Twitter帐户,进行重新发布或撰写博客帖子之类的事情。
诈骗者使用类似的方案来吸引用户访问不存在的空投网站。在不存在的项目的网站上注册后,受害者被引导到钱包验证钓鱼网站,在那里他们被要求输入他们的私人密钥或网络犯罪分子可以用来获取资金的其他个人信息。
具有讽刺意味的是,受害者本身通过在社交媒体上重新发布信息和订阅假公司账户来促成此类诈骗的传播。
3.2馈赠
其中一个最常见的诱饵是在“给予一点,得到很多”,承诺免费赠币。据称,用户的初始贡献是用于钱包验证的目的。为了使封面故事更具说服力,显示了一个交易清单,显示该服务的其他用户的资金如何神奇地成倍增加,但事实上它只是一幅漂亮的图片。
实际上,所有转移的资金都是诈骗者,这可以通过简单检查用钱包编号进行的交易来确认。该方案很简单,但似乎并不缺乏容易上当的用户。仅一个地点(如上图所示)就收到了价值405.43 ETH的“捐款”,目前的汇率约为245,000美元。
网络犯罪分子经常借一些著名的加密钱包,交易所或ICO的名气来实施诈骗。
赠送Token有时会被宣布为感谢用户或标志着公司的成功; 关于收到款项的网站上的虚假评论会吸引受害者上钩。
乍一看,上图中的链接指向Bitfinex网站,但用户被引导到网络钓鱼页面:
虚假的代币赠送也会利用著明的名字。例如,在过去的几年里,Twitter已经成为假冒伪劣账户的温床,伪装成知名公司和人的账户,通常以某种方式与加密货币行业联系在一起。例如,Vitalik Buterin(以太坊联合创始人)的名字有有许多虚假账户利用,这些假的账户会发布赠送ETH的虚假信息。为了骗取钱财,要求用户将特定金额转移到特定钱包验证身份。诈骗者经常以对原始帐户的帖子的回复的形式传播此信息。
Buterin:
虚假账户通常可以通过名称(由社交网络管理部门发布),少数订户和最近的注册日期旁边缺少验证徽章来发现。但特殊认证不能完全保证,有的网络犯罪分子会购买经过验证的账户并更改名称(例如改成电报创始人Pavel Durov)。
如果伴有热点新闻,诈骗会更容易成功。例如,当Telegram遭遇攻击并且Pavel Durov发布了关于攻击的推文时,众多骗子以Pavel的名义发布提供“补偿”的消息。为了获得补偿,用户必须去一个站点并将一定金额转移到指示的钱包地址,之后他们可以收到5-100 ETH作为回报。
也有人假冒埃隆 马斯克(特斯拉和SpaceX创始人)的账户,在推特上发布赠送加密货币的虚假推文,如果将0.3-2 ETH发送到特定钱包,则承诺支付的金额是该金额的十倍。推文中的链接指向与上述类似的网站,这些网站指定了钱包编号并显示了不断更新的“交易列表”。诈骗者使用机器人来增加来自虚假账户的消息的喜欢数量,并留下热情的积极评论。
据估计,诈骗者在社交网络的诈骗金额已经超过490万美元。
同时,诈骗者自己有时会将一笔钱转移到他们的钱包上,以减轻其他人对其合法性的怀疑。但是,上面的例子表明,假交易清单的静态图像通常就足够了。比如在流行的Etherscan令牌追踪器的评论来自被骗用户和想要博得同情的诈骗者。
无论如何,天真的用户向诈骗者发送他们最后一笔储蓄以获得更多的奖励,这样的人的数量很大而且还在增加。
4.如何避免上当
诈骗者对加密货币失去兴趣的可能性为零:“业务”的准入门槛太低,潜在的选择太多了。相当粗略的估计(基于来自网络犯罪分子使用的超过一千个ETH钱包的数据)显示,去年他们设法赚取超过21,000 ETH(按当前汇率接近1000万美元),这甚至不包括经典网络钓鱼以及为每个受害者生成个人地址的案例。鉴于欺诈规模庞大,如果您决定尝试将其作为加密货币投资者,请始终遵循以下规则:
请记住,唯一的免费奶酪是在捕鼠器上的那一块,所以请慎重考虑。
在官方和独立来源检查有关赠品和“慈善”行为的信息。
使用第三方资源验证您计划使用的钱包上的交易。
在欺诈计划中发现的钱包要记得标记在令牌跟踪器和区块探测器中(用于查看有关加密货币交易的详细信息的在线工具)。
不要忘记检查检查超链接地址和URL。
为钱包的地址添加书签并仅从那里访问它。
本文内容来自微信公众号【曲速未来安全区】想要了解更多安全知识,那就赶紧关注吧。