Contexte
Récemment, SlowMist a été invité à prendre la parole lors de l'Ethereum Web3 Security BootCamp, organisé par DeFiHackLabs. Thinking, responsable des audits de sécurité de SlowMist, a guidé les participants à travers huit chapitres clés - «Deception, Baiting, Luring, Attacking, Hiding, Techniques, Identification, Defense» - en utilisant des études de cas du monde réel pour présenter les méthodes et tactiques utilisées par les pirates du phishing, ainsi que les contre-mesures qui peuvent être mises en place. Le phishing reste l'une des menaces les plus importantes de l'industrie et il est essentiel de comprendre à la fois les attaquants et les défenseurs pour renforcer les défenses. Dans cet article, nous extrayons et partageons les idées clés de la session pour aider les utilisateurs à reconnaître et à se protéger contre les attaques de phishing.

Pourquoi les attaques de phishing sont-elles si efficaces ?

Dans l'espace Web3, les attaques de phishing sont devenues l'une des plus grandes menaces pour la sécurité. Jetons un coup d'œil à la raison pour laquelle les utilisateurs deviennent victimes de phishing. Même ceux qui ont une grande sensibilisation à la sécurité peuvent parfois ressentir le sentiment que "ceux qui marchent près de la rivière finissent par mouiller leurs chaussures", car maintenir une vigilance constante est très difficile. Les attaquants analysent généralement les projets récents populaires, l'activité de la communauté et la base d'utilisateurs pour identifier des cibles de haut niveau. Ils se déguisent ensuite soigneusement et attirent les utilisateurs avec des appâts attrayants comme les airdrops et les rendements élevés. Ces attaques impliquent souvent l'ingénierie sociale, où les attaquants manipulent habilement la psychologie des utilisateurs pour atteindre leurs objectifs frauduleux:

• Incitation:Éligibilité à la liste blanche de largage aérien, opportunités de minage, mots de passe de richesse, et plus encore.
• Curiosité/Avidité :Sans crainte de vendre au sommet, ne manquez pas la pièce potentiellement 100x, ne manquez pas la réunion de ce soir à 10h00, lien de réunionhttps://us04-zoom[.]us/(malveillant); la liste blanche de largage aérien $PENGU, ne manquez pas,https://vote-pengu[.]com/ (malveillant).
• Peur:Avertissement urgent : le projet XX a été piraté, veuillez utiliser revake[.]cash (malveillant) pour révoquer l'autorisation afin d'éviter toute perte d'actifs.
• Outils Efficaces :Outils de récolte d'airdrop, outils quantitatifs d'IA, outils de minage en un clic et autres.

La raison pour laquelle les attaquants se donnent beaucoup de mal pour créer et déployer ces appâts est qu’ils sont très rentables. Grâce à ces méthodes, les attaquants peuvent facilement obtenir les informations/autorisations sensibles des utilisateurs et voler leurs actifs :

• Vol de Mnémoniques/Clés Privées :Tromper les utilisateurs pour qu'ils saisissent leur mnémonique ou leur clé privée.
• Tromper les utilisateurs en utilisant des signatures de portefeuille :Signatures d'autorisation, signatures de transfert, et plus encore.
• Vol de mots de passe de compte :Telegram, Gmail, X, Discord, etc.
• Vol de permissions d'application sociale : X, Discord, etc.
• Induction de l'installation d'applications malveillantes:Faux portefeuille applications, faux applications sociales, faux applications de réunion, etc.

Tactiques de phishing

Jetons un coup d'œil à quelques tactiques de phishing courantes :
Vol de compte / Impersonation de comptes
Récemment, il y a eu des rapports fréquents de piratage de comptes X de projets / KOLs Web3. Après avoir volé ces comptes, les attaquants promeuvent souvent de faux jetons ou utilisent des noms de domaine similaires dans des publications «bonnes nouvelles» pour tromper les utilisateurs en cliquant sur des liens malveillants. Parfois, les domaines peuvent même être réels, car les attaquants pourraient avoir détourné le domaine du projet. Une fois que les victimes cliquent sur un lien de phishing, signent une transaction ou téléchargent un logiciel malveillant, leurs actifs sont volés.

En plus de voler des comptes, les attaquants se font souvent passer pour de vrais comptes sur X et laissent des commentaires sur des publications légitimes pour induire les utilisateurs en erreur. L'équipe de sécurité de SlowMist a analysé cette tactique : environ 80 % des premiers commentaires sur les tweets de projets connus sont souvent occupés par des comptes de phishing. Les attaquants utilisent des robots pour suivre les activités des projets populaires et, une fois qu'un tweet est publié, leurs robots laissent automatiquement le premier commentaire pour assurer la meilleure visibilité possible. Étant donné que les utilisateurs lisent les publications du projet légitime et que le compte de phishing ressemble de près au compte réel, les utilisateurs inattentifs peuvent cliquer sur des liens de phishing sous prétexte d'un airdrop, d'une autorisation ou de la signature de transactions et perdre leurs actifs.

Les attaquants se font également passer pour des administrateurs pour publier de faux messages, notamment sur des plateformes comme Discord. Étant donné que Discord permet aux utilisateurs de personnaliser leurs surnoms et leurs noms d'utilisateur, les attaquants peuvent modifier leur profil pour correspondre à celui d'un administrateur, puis publier des messages d'hameçonnage ou envoyer des messages directs aux utilisateurs. Sans vérifier le profil, il est difficile de repérer la tromperie. De plus, bien que les noms d'utilisateur de Discord ne puissent pas être dupliqués, les attaquants peuvent créer des comptes avec des noms presque identiques à celui de l'administrateur en ajoutant de petites variations, comme un trait de soulignement ou un point, ce qui rend difficile pour les utilisateurs de les distinguer.

Phishing basé sur l'invitation
Les attaquants contactent souvent les utilisateurs sur les plateformes sociales, recommandant des projets "premium" ou invitant les utilisateurs à des réunions, les conduisant vers des sites de phishing malveillants pour télécharger des applications nocives. Par exemple, certains utilisateurs ont été trompés en téléchargeant une fausse application Zoom, ce qui a entraîné un vol d'actifs. Les attaquants utilisent des domaines comme "app[.]us4zoom[.]us" pour se faire passer pour de vrais liens Zoom, créant une page qui ressemble presque identique à l'interface Zoom réelle. Lorsque les utilisateurs cliquent sur "Démarrer la réunion", ils sont invités à télécharger un programme d'installation malveillant au lieu de lancer le client Zoom. Pendant l'installation, les utilisateurs sont encouragés à saisir des mots de passe, et le script malveillant collecte des données de portefeuille et de trousseau (qui peuvent contenir des mots de passe stockés). Après avoir collecté ces données, les attaquants tentent de les décrypter et d'accéder aux mnémoniques de portefeuille ou aux clés privées des utilisateurs, volant ainsi leurs actifs.

Exploitation du classement des moteurs de recherche
Parce que les classements des moteurs de recherche peuvent être artificiellement boostés en achetant des publicités, les sites de phishing peuvent être mieux classés que les sites officiels. Les utilisateurs qui ne sont pas sûrs de l'URL du site officiel peuvent avoir du mal à repérer les sites de phishing, d'autant plus que les sites de phishing peuvent personnaliser leur URL publicitaire pour correspondre à celle de l'officiel. L'URL de l'annonce peut sembler identique au site officiel, mais lorsque les utilisateurs cliquent dessus, ils sont redirigés vers le site de phishing de l'attaquant. Comme les sites de phishing ressemblent souvent presque identiquement aux sites légitimes, il est facile d'être trompé. Il est plus sûr de ne pas se fier uniquement aux moteurs de recherche pour trouver les sites officiels, car cela peut conduire à des sites de phishing.

Annonces TG
Récemment, il y a eu une augmentation significative des signalements d'utilisateurs concernant des faux bots TG. Les utilisateurs rencontrent souvent de nouveaux bots apparaissant en haut des canaux officiels de trading de bots et pensent à tort qu'ils sont officiels. Ils cliquent sur le nouveau bot, importent leur clé privée et lient leur portefeuille, pour finalement se faire voler leurs actifs. Les attaquants utilisent des publicités ciblées dans les canaux Telegram officiels pour attirer les utilisateurs et les inciter à cliquer. Ces méthodes de phishing sont particulièrement sournoises car elles apparaissent dans des canaux légitimes, ce qui fait croire aux utilisateurs qu'elles sont officielles. Sans assez de prudence, les utilisateurs peuvent tomber dans le piège du bot de phishing, saisir leurs clés privées et perdre leurs actifs.

De plus, nous avons récemment découvert Un nouveau scam : arnaque à la fausse sécurité Telegram. De nombreux utilisateurs ont été trompés en exécutant un code malveillant à partir des instructions des attaquants, ce qui a entraîné le vol d'actifs.

Magasins d'Applications
Tous les logiciels disponibles sur les boutiques d'applications (Google Play, Chrome Store, App Store, APKCombo, etc.) ne sont pas authentiques. Les boutiques d'applications ne sont pas toujours en mesure de passer en revue tous les applications. Certains attaquants utilisent des tactiques telles que l'achat de classements de mots-clés ou la redirection du trafic pour tromper les utilisateurs et les inciter à télécharger des applications frauduleuses. Nous encourageons les utilisateurs à examiner attentivement les applications avant de les télécharger. Vérifiez toujours les informations du développeur pour vous assurer qu'elles correspondent à l'identité officielle. Vous pouvez également vérifier les évaluations des applications, les nombres de téléchargement et d'autres détails pertinents.

E-mails de phishing
La phishing par courrier électronique est l'une des astuces les plus anciennes du livre et elle est souvent simple mais efficace. Les attaquants utilisent des modèles de phishing combinés à des serveurs proxy inverses Evilngins pour créer des courriels comme celui illustré ci-dessous. Lorsque les utilisateurs cliquent sur "VIEW THE DOCUMENT", ils sont redirigés vers une fausse page DocuSign (qui est maintenant hors ligne). Si l'utilisateur clique sur la connexion Google sur cette page, il sera redirigé vers une fausse page de connexion Google. Une fois qu'il a saisi son nom d'utilisateur, son mot de passe et son code 2FA, l'attaquant prend le contrôle de son compte.

Le courrier électronique de hameçonnage ci-dessus n'a pas été soigneusement conçu, car l'adresse e-mail de l'expéditeur n'a pas été dissimulée. Voyons comment l'attaquant a tenté de la dissimuler dans l'exemple suivant : L'adresse e-mail de l'attaquant diffère de l'adresse officielle par un simple point. En utilisant un outil comme DNSTwist, les attaquants peuvent identifier les caractères spéciaux pris en charge par Gmail. Sans y prêter une attention particulière, vous pourriez le confondre avec un écran sale.

Exploitation des fonctionnalités du navigateur
Pour plus de détails, voir Slow Mist: Révélation de la manière dont les signets malveillants du navigateur volent vos jetons Discord.

Défis de la défense

Les tactiques de phishing évoluent continuellement et deviennent de plus en plus sophistiquées. Notre analyse précédente a montré que les attaquants peuvent créer des sites web qui imitent étroitement les pages officielles de projets bien connus, prendre le contrôle des domaines de projet et même fabriquer des projets entièrement faux. Ces projets frauduleux ont souvent un grand nombre de faux abonnés sur les réseaux sociaux (abonnés achetés) et même des dépôts GitHub, ce qui rend encore plus difficile pour les utilisateurs de repérer les menaces de phishing. De plus, l'utilisation habile d'outils anonymes par les attaquants complique davantage les efforts pour suivre leurs actions. Pour dissimuler leur identité, les attaquants ont souvent recours à des VPN, à Tor ou à des hôtes compromis pour mener à bien leurs attaques.

Une fois que les attaquants ont une identité anonyme, ils ont également besoin d'une infrastructure de base, comme Namecheap, qui accepte les paiements en cryptomonnaie. Certains services ne nécessitent qu'une adresse e-mail pour s'inscrire et ne nécessitent pas de vérification KYC, ce qui permet aux attaquants d'éviter d'être retracés.

Une fois que ces outils sont en place, les attaquants peuvent initier des attaques de phishing. Après avoir volé des fonds, ils peuvent utiliser des services comme Wasabi ou Tornado pour obscurcir la trace de l'argent. Pour renforcer encore l'anonymat, ils peuvent échanger les fonds volés contre des cryptomonnaies axées sur la confidentialité, telles que Monero.

Pour couvrir leurs traces et éviter de laisser des preuves derrière eux, les attaquants supprimeront les résolutions de domaine connexes, les logiciels malveillants, les référentiels GitHub, les comptes de plateforme, etc. Cela rend difficile pour les équipes de sécurité d'enquêter sur les incidents, car les sites de phishing peuvent ne plus être accessibles et les logiciels malveillants peuvent ne plus être disponibles en téléchargement.

Stratégies de défense

Les utilisateurs peuvent identifier les menaces de hameçonnage en reconnaissant les caractéristiques mentionnées ci-dessus et en vérifiant l'authenticité des informations avant d'agir. Ils peuvent également améliorer leur défense contre le hameçonnage en utilisant les outils suivants :

• Plugins de blocage des risques de phishing: Des outils tels que Scam Sniffer peuvent détecter les risques sous différents angles. Si un utilisateur ouvre une page de phishing suspecte, l'outil les avertira avec une alerte.
• Portefeuilles très sécurisés: Des portefeuilles tels que le portefeuille d'observation de Rabby (qui ne nécessite pas de clé privée), la détection de sites de phishing, la fonctionnalité "ce que vous voyez est ce que vous signez", la détection de signatures à haut risque et les fonctionnalités de reconnaissance de l'historique des arnaques.
• Logiciel antivirus bien connu: Des programmes populaires comme AVG, Bitdefender et Kaspersky.
• Portefeuilles matériels: Les portefeuilles matériels offrent un stockage hors ligne pour les clés privées, garantissant que les clés ne sont pas exposées en ligne lors de l'interaction avec les DApps, ce qui réduit considérablement le risque de vol d'actifs.

Conclusion

Les attaques de phishing sont répandues dans le monde de la blockchain. Le plus important est de rester vigilant et d'éviter d'être pris au dépourvu. Lors de la navigation dans l'espace de la blockchain, le principe fondamental est d'adopter une mentalité de méfiance totale et de vérifier continuellement tout. Nous recommandons de lire et de maîtriser progressivement le "Manuel d'auto-sauvetage de la forêt sombre de la blockchain" pour renforcer votre défense :https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Déclaration :

1. Cet article est reproduit de laSlowMist Technology】，Les droits d'auteur appartiennent à l'auteur original 【Équipe de sécurité SlowMist】, si vous avez des objections à la reproduction, veuillez contacter Porte Apprendre, l'équipe le traitera dès que possible selon les procédures pertinentes.
2. Avertissement : Les points de vue et opinions exprimés dans cet article ne représentent que les points de vue personnels de l'auteur et ne constituent en aucun cas des conseils en investissement.
3. Les autres versions linguistiques de l'article sont traduites par l'équipe gate Learn. Sauf indication contraire, l'article traduit ne peut être copié, distribué ou plagié.