近期,加密货币钓鱼事件频发,造成损失无数。 2022 年10 月,一个名为Monkey Drainer 的网络钓鱼诈骗组织窃取了价值数百万美元的以太坊。网络钓鱼攻击的类型多种多样,而且随着技术的不断发展,它们还可以承载多种恶意软件和勒索软件,防不胜防。
网络钓鱼(phishing,发音与英文单词“fishing”相似)是指发送大量欺骗性垃圾邮件或IM 消息,声称来自交易所或其他知名机构,目的是引诱收件人泄露敏感信息(例如用户名、密码、帐户ID、私钥、授权等)。最典型的网络钓鱼攻击将接收者引诱到精心设计的与目标组织网站非常相似的钓鱼网站,并获取接收者在该网站上输入的敏感个人信息。通常,整个攻击过程不容易被受害者察觉。
网络钓鱼攻击可分为两种类型:社会工程和漏洞利用。社会工程是基于受害者的欺骗和随后的不当行为,网络用户直接参与其中。
(相关资料图)
社会工程调用方案主要包括以下四种攻击方式:
(1)克隆钓鱼:攻击者会创建一个与官方网站名称相似或页面相似的假网站,并发布钓鱼链接来欺骗用户。
(2)社交网络钓鱼:黑客入侵知名人物账户,发布含有钓鱼链接的帖子,引导用户点击钓鱼链接。
(3)有针对性的网络钓鱼:攻击者主要针对一些大投资者和鲸鱼账户。通过了解他们的动态,他们模仿并窃取他们在虚拟货币领域的关键数据。
(4) 假钱包:攻击者释放假钱包。假钱包启动后,恶意程序可以请求或获取用户的私钥和钱包密码。
漏洞攻击是利用漏洞和软件架构缺陷进行攻击的专业技术。此类攻击一般包括以下几种攻击方式:
(1) 基于DNS 劫持的网络钓鱼:攻击者首先会创建一个恶意接入点,并诱骗客户端连接到运行虚假DNS 服务器的接入点。该服务器将特定站点重定向到攻击者的网络钓鱼服务器。
(2) 会话劫持(cookie 劫持):这种攻击基于使用有效会话(有时也称为会话密钥)来获取对计算机系统上的信息或服务的未经授权的访问。特别是,它用于表示用于对远程服务器上的用户进行身份验证的cookie 的盗窃。一种流行的方法是使用源路由IP 数据包。 IP数据包经过B的计算机,这使得网络上B点的攻击者可以参与A和C之间的对话。攻击者可以在禁用原始路由的情况下盲目捕获此信息,发送命令但看不到响应来设置允许从网络上其他地方访问的密码。攻击者还可以使用嗅探器程序来“监视”A和C之间的对话。这就是“中间人攻击”。
(3) 恶意软件:当使用基于恶意软件的网络钓鱼时,恶意软件会将存储在用户计算机上的凭据发送给攻击者。
(4) 按键/屏幕记录器:当用户从设备输入信息时,虚拟键盘和触摸屏向攻击者发送屏幕截图。
2023年2月21日,发现一个钓鱼网站:go-ethdenver[.]com,这是一个假冒的ETHDenver网站。其钓鱼地址0x69420e2b4EF22d935A4e2c194Bbf3A2F02F27BE1与Monkey Drainer有关。 go-ethdenver[.]com 通过伪造与官方域名高度相似的域名和内容来窃取用户钱包的内容。当用户连接钱包签署恶意交易时,它会要求用户授权可以对钱包中的资产进行操作的合约。资产。
Monkey Drainer 的方法还不止于此。 Monkey Drainer 劫持了Web3 游戏初创公司Restrict Break 首席执行官Gabriel Leydon 的Twitter 帐户,并使用机器人发送垃圾邮件进行网络钓鱼。通常这些网站的后端连接到Monkey Drainer 地址。 Monkey Drainer 还参与了NFT 网络钓鱼诈骗。他们发布虚假的NFT Mint 网站来诱导用户,并在OpenSea、Rarible、X2Y2 等市场上出售盗取的NFT。此前,推特用户@ssstafford发布的mechaapesnft[.]art网站是一个与Monkey Drainer相关的NFT钓鱼网站。通过域名查询发现,该网站是四个月前注册的,目前已使用一年。
以上几种方式是最常见的钓鱼方式,用户很容易上当受骗。 ChainAegis调查发现,这些钓鱼网站主要来自假大V Twitter账号和Discord服务器。例如,airdrop[.]zskync[.]fi 是一个网络钓鱼空投,来自Monkey Drainer 的假Twitter 帐户(@zksync_io)。此外,Monkey Drainer还伪造了@AptosFoundation、@AptosLabs、@LayerZero_Labs等多个账户,这些账户均被用来推广假冒钓鱼网站。虚假空投通过谷歌广告大规模推广,获得用户签名后钱包内资产将被转移。因此,谨防钓鱼链接,通常有以下几种方式:
(一)经常多角度、多渠道查看官方信息,不要轻易相信“机器人”或所谓的“官方链接”;
警惕直接消息:官方机器人不会要求在私信中进行验证;仔细检查域名或合约地址,找到域名和合约创建时间。 (4)项目组将尽量减少Discord中的机器人数量,避免假冒机器人误导用户的现象。
据ChainAegis链上数据显示,钓鱼攻击造成的财产损失不断增加,链上钓鱼交易活跃。以0x6942为例,在链上进行追踪。进一步发现,该地址的链上资产全部来自0xd361e29c48841c40506fc6e6211f68a203ec1ef1,这也是一个钓鱼地址。
同时,0xd361将资金转移到多个地址。以0x8452开头的地址于2023年1月21日将400ETH转入Tornado Cash。
除0x8452地址外,其他几个地址的传输模式普遍呈现出传输量小、传输频率高的趋势。采用这种模式不引人注目,并且使跟踪变得更加困难,但会导致更高的Gas 成本。
通过跟踪链上地址并分析链上交易行为,我们可以得出Monkey Drainer交易模型如下:
结合资金链接转账全景图,不难看出这是一个有组织、有预谋、划分明确的加密货币钓鱼黑客团队。 Monkey Drainer主要通过虚假钓鱼网站(如*federalagent.eth、go-ethdenver[.]com)窃取资金,然后通过合约内部交易将窃取的资金收集到以0xd361e开头的地址。在评估的前提下,可以借助多个地址进行资金转移。根据上述钓鱼网站的操作方式我们可以发现,他们通常通过简单粗暴的批量部署来直接窃取用户资产。
通过以上分析,我们应该可以看到,虽然与传统互联网账户密码体系不同,但区块链账户也面临着私钥被盗、授权不当的风险。由于私钥和授权通常与加密资产相关,关系密切,其安全风险较高。以下是一些安全提示:
(1)增强私钥保护意识,对您访问的网页或下载安装的钱包保持警惕,防范钓鱼攻击。
防范垃圾邮件并安装防病毒和防火墙系统。 (3)妥善保管您的私钥和个人信息,不要轻易授权地址。
来自https://www.freebuf.com/articles/blockchain-articles/358662.html
