在今年的7月份,恶意软件研究技术网Bleeping Computer发现了意在欺诈230万比特币钱包的可疑活动。
攻击者使用恶意软件“剪贴板加密劫持”,当用户使用剪切、复制和粘贴操作功能时,这种恶意软件会读取用户剪贴板上的数据,并用攻击者的钱包地址替换了受害者的钱包地址。
该劫持软件共监视超过230万个加密货币地址。
早在去年11月,卡巴斯基实验室已经预测到了这种黑客攻击的潜在可能,并且没多久此类攻击就成为现实。
目前来说,这是窃取用户信息或资产最普遍的攻击方式之一。在恶意软件攻击中,针对个人帐户和钱包的攻击估计占总体的20%。
此外据Cointelegraph 7月12日报道,卡巴斯基实验室指出,网络犯罪分子在过去一年中通过社会工程攻击盗窃了21,000个以太坊,价值超过9000万美元。
问题所在之处
上述提到的Bleeping Computer 门户网站希望公众提高计算机知识,鼓励投资者至少遵循一些基本规则,以确保足够的安全保护:
大多数技术支持问题不在于计算机,而在于用户不知道构成所有计算问题的‘基本概念’,比如硬件、文件和文件夹、操作系统、互联网和应用程序等概念。
许多加密货币专家都持有相同观点。投资者和企业家Ouriel Ohayon在专门的Hackernoon博客中强调用户的个人责任:
没错,你的资产由你掌控,但是为此你必须付出代价——对自己资产的安全负责。由于大多数人不是安全专家,新闻报道中的安全问题他们可能不了解。不过,我总是惊讶为什么周围有那么多人,甚至精通技术的人,都没有采取基本的安全措施。
Autonomous Research研究中心的金融科技战略总监Lex Sokolin表示,每年都有成千上万的人落入克隆网站和普通网络钓鱼的陷阱,他们“自愿”向欺诈者发送2亿美元的加密货币,而且永远没有找回的机会。
这些可以给我们带来什么启示?黑客之所以能够成功攻击加密钱包,他们利用的主要漏洞来自人们的疏忽和傲慢。
问题严重性:2.5亿潜在受害者
美国公司Foley&Lardner进行的一项研究表明,71%大型加密货币交易商和投资者认为加密货币盗窃给市场带来的负面影响最强,31%的受访者认为黑客对全球加密货币行业活动的威胁非常高。
Hackernoon专家分析了2017年黑客攻击的有关数据,并将黑客攻击分为三大类别:
攻击区块链、加密货币交易所和1CO;散布挖矿劫持软件;攻击用户钱包。
令人惊讶的是,Hackernoon发表的文章《揭秘黑客技巧》(Smart hacking tricks)似乎没有得到广泛普及。
对于普通加密货币用户而言,似乎显而易见的警告必须一次又一次地重复,而加密货币持有者的数量预计到2024年将达到2亿。
ING银行和益普索的研究显示,约9%欧洲人和8%美国居民拥有加密货币,25%的民众计划在近期购买数字资产。
因此约有25亿潜在受害者可能会落入黑客的陷阱中。
下面,让我们看看黑客会采取哪些手段攻击钱包,以及我们如何保护自己的加密资产。
盗窃钱包方法一:手机中Google Play和App商店的应用程序
建议: - 不要轻易安装不常使用的移动应用程序 - 为智能手机上的所有应用程序添加双因素授权标识 - 一定要检查是否与官方网站上的应用程序链接一致(最好从官网上下载手机APP)
遭到黑客攻击的受害者通常使用带有安卓操作系统的智能手机,因为他们不使用双因素身份验证。
要通过这种验证,不仅需要提供密码和用户名,还需要提交只有用户和系统知道的“暗号”,例如物理验证标记等可以立即获得的信息。
《福布斯》认为,谷歌安卓的开放式操作系统易感染病毒,不如苹果手机安全。
黑客可以以某些加密货币资源的名义,将应用程序添加到Google Play商店。
当下载、启动该应用程序后,用户为访问帐户会输入敏感数据,从而给黑客访问用户账户并获取信息的机会。
这类黑客攻击最有名的的事件是,美国加密货币交易所Poloniex用户在Google Play应用商店下载了黑客设置的Poloniex虚假手机版官网APP。
事实上,Poloniex团队没有开发安卓版应用程序,其官网上没有任何移动应用程序的链接。ESET恶意软件分析师Lukas Stefanko表示,在Google Play删除该假冒APP之前,已有5,500名交易者下载并受到该恶意软件影响。
反过来,苹果iOS系统用户更容易在App Store下载隐藏挖矿劫持应用程序。苹果公司甚至为此严控申请参入其商店的规则,以便阻止此类软件的传播。
但是,这与前者在危害上完全不等价,挖矿只会减慢计算机操作速度,而侵入钱包的破坏是无法比拟的。
盗窃钱包方法二:Slack团队协作平台机器人
建议 -报告Slack机器人(bots)活动并予以阻止 -忽视机器人活动 - 使用Metacert或Webroot安全机器人,Avira防病毒软件,甚至内置谷歌安全浏览功能来保护Slack通道。
自2017年年中以来,窃取加密货币的Slack机器人不断增加。常见的情况是,黑客创建一个机器人,通知用户他们的密码存在问题,继而强制用户点击其链接并输入私钥。
不过,这些机器人一出现,多就被用户识破。即使加密社区通常做出快速反应,黑客也会设法赚一些钱。
黑客Slack攻击的最成功的“案例”应该是Enigma集团。攻击者借用Enigma名字,假称进入ICO预售阶段,在Slack平台推出一个机器人,最终欺诈了总计50万美元以太币。
盗窃钱包方法三:加密货币交易插件
建议使用单独的浏览器进行加密货币操作 - 选择隐身模式 - 不要下载任何加密插件 - 单独使用一个电脑或智能手机,仅用于加密交易 - 下载防病毒软件并安装网络保护 。
浏览器为方便用户使用交易所和钱包,提供了各种自定义扩展界面。
这些附加插件读取你在使用互联网时输入的所有内容,不过真正问题甚至不在于此,而是这些扩展程序都是在JavaScript上开发的,这意味着它们极易受到黑客攻击。
近年来,随着互联网2.0的到来,Ajax和互联网应用程序普遍使用的JavaScript,导致的漏洞普遍存在于组织中,尤其是印度企业。此外,黑客盯上了计算机算利,扩展应用可能存在隐藏挖矿。
盗窃钱包方法四:短信认证
建议: - 关闭呼叫转移,使攻击者无法访问你的数据 - 当用文本发送密码时,禁止借助短信来验证双因素授权,而是使用双因素识别软件。
许多用户习惯选择移动身份验证,因为手机能随时待命。网络安全公司Positive Technologies已经证明,在全球范围内通过七号信令系统(signaling System 7)协议用密码确认来拦截短信是多么容易。
专家们完全能够使用工具劫持短信,即利用蜂窝网络中的弱点拦截传输中的短信。该公司还用Coinbase帐户作了示例展示,交易所的用户对此都感到震惊。
Positive Technologies表示,虽然一眼看上去,这像Coinbase的漏洞,但真正的弱点在于蜂窝系统本身。
这证明了:即使使用双重因素授权认证,也可以通过短信劫持直接访问任何系统
盗窃钱包方法五:公共Wi-Fi
建议: - 即使使用VPN时,也不要通过公共Wi-Fi进行加密货币交易 - 定期更新路由器固件,因为硬件制造商会不断更新防止密钥替换的技术。
去年10月,在使用路由器Wi-Fi保护访问(WPA)协议中,发现了一个不可恢复的漏洞。
执行基本KRACK攻击(重新安装密钥的攻击)后,用户的设备会连接到黑客的Wi-Fi网络。
用户通过网络下载或发送的所有信息都可供攻击者使用,包括加密钱包的私钥。
对于火车站、机场、酒店和大量人群出现地方的公共Wi-Fi,这个问题尤其迫切
盗窃钱包方法六:克隆网站和网络钓鱼
建议: - 永远不在没有HTPPS协议的加密货币相关网站交流互动 - 使用谷歌浏览器Chrome时,自定义显示子菜单地址的扩展名 - 当收到任何与加密货币相关的资源消息时,将链接复制到浏览器地址栏,然后将其与原始站点地址进行比较 - 如果出现可疑情况,立即关闭窗口并删除收件箱中的信件。
自“互联网革命”以来,人们已经知道这些古老却典型的黑客攻击方法,但是似乎它们仍然奏效。
对于克隆网站,攻击者拷贝原始网站所有内容,但网站地址缺少了一个字母。这样做是为了引诱用户访问克隆网站并强制他们输入帐户密码或密钥。
对于钓鱼网站,攻击者同样复制官方项目电子邮件并发送给潜在受害者,但实际上只要你点击链接并输入个人数据,信息就被盗取。
Chainalysis研究显示,诈骗者已利用这种方法窃取了2.25亿美元加密货币。
加密劫持、隐藏挖矿和常识
好消息是,由于有越来越多的声音反对加密货币服务以及用户自身水平的提高,黑客逐渐失去了“野蛮”攻击钱包的兴趣。
不过,他们将焦点转移到隐藏挖矿上。
根据迈克菲实验室(McAfee Labs)研究数据,在2018年第一季度,全球共有290万个用于隐藏挖矿的病毒软件样本,这比2017年最后一个季度增加了625%。这种方法也被称为“加密劫持”。
由于操作简单,黑客大量使用此法,并放弃了传统的攻击方式勒索软件。
坏消息是,黑客攻击并没有因此减少。网络安全公司Carbon Black专家透露,截至2018年7月,暗网上大约有12,000个交易平台,向黑客兜售约34,000种加密劫持软件。在这样的平台上,恶意攻击软件的平均售价仅为224美元。
那么加密劫持软件是怎么进入我们的电脑中的呢?让我们回到本文最开始提到的“剪贴板加密劫持”。
6月27日,有用户开始在Malwarebytes论坛上留言称:一个名为All-Radio 4.27 Portable的程序无意中安装在他们的设备上,但是始终无法将其删除。
虽然这个软件表面上是一个无害且受欢迎的内容查看器,但是实际上黑客早已将它修改为有害软件。
这个软件包里包含隐藏挖矿程序,但它只会减慢计算机的运行速度。而用于监控剪贴板的程序,已经收集了2,343,286个潜在受害者的比特币钱包。
这是黑客第一次展示如此庞大的加密货币所有者数据库,而到目前为止,这些程序包含的替换地址非常有限。
在更换地址后,用户“自愿”将资金转移到攻击者的钱包地址。要想保护资金不受此影响,唯一方法是在访问网站时仔细检查输入的地址。
虽然这有些麻烦,但是安全可靠,而且可能成为一种有用的习惯。
在询问All-Radio 4.27 Portable受害者后,可以发现:恶意软件都是由于人们不合理的操作行为而进入了计算机。
正如Malwarebytes和Bleeping Computer专家们所发现的那样,人们使用了程序和游戏的免费破解版,以及像KMSpico这样的Windows激活器。
也就是说,黑客选择了那些有意识地违反版权和安全规则的用户。
知名Mac恶意软件专家帕特里克•瓦德尔(Patrick Wardle)经常在他的博客中写道,许多针对普通用户的病毒都非常愚蠢,而成为这种黑客攻击的受害者也同样愚蠢。
因此,最后我们想强调谷歌小企业顾问布莱恩•华勒斯(Bryan Wallace)的建议:
采用加密、防病毒软件和多因素识别防范措施,只会在某种程度上保护你的资产安全。真正关键的是采取预防措施并掌握简单的常识。
社会工程攻击:一种欺诈他人以收集信息、行骗和入侵计算机系统的行为,通过与他人的合法地交流,使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。包括木马植入、群发诱导、钓鱼技术、非交互式技术等。
原文作者:Julia Magas
目前Tocos1.0.0版本已经正式对外发出体验邀请,此版本支持快速创建钱包、恢复钱包、一键添加数字资产、转账及收款、包括联系人添加地址等功能。
随着后续的研发进度,将会不断迭代多币种存储以及更多个性化功能,继续呈现在大家面前。