Фон
Недавно SlowMist была приглашена выступить на Ethereum Web3 Security BootCamp, организованном DeFiHackLabs. Thinking, главный эксперт по проверке безопасности в SlowMist, рассказал участникам о восьми ключевых главах - «Обман, Приманка, Выманивание, Атака, Сокрытие, Техники, Идентификация, Защита», используя реальные кейсы для демонстрации методов и тактик, применяемых фишинговыми хакерами, а также контрмер, которые могут быть реализованы. Фишинг остается одной из наиболее серьезных угроз в индустрии, и понимание как атакующих, так и защитников является важным фактором для укрепления обороны. В этой статье мы извлекаем и делимся ключевыми идеями из сессии, чтобы помочь пользователям распознавать и защищаться от фишинговых атак.

Почему фишинг-атаки настолько эффективны?

В пространстве Web3 фишинг-атаки стали одной из самых серьезных угроз безопасности. Давайте посмотрим, почему пользователи становятся жертвами фишинга. Даже те, кто обладает высоким уровнем осведомленности о безопасности, иногда могут почувствовать настроение «кто ходит возле реки, тот непременно намокнет на ноги», потому что поддерживать постоянное бдительность очень сложно. Злоумышленники обычно анализируют недавние перспективные проекты, активность сообщества и пользовательскую базу, чтобы выявить высокопрофильные цели. Затем они тщательно маскируются и заманивают пользователей привлекательными приманками, такими как раздачи токенов и высокие доходы. Эти атаки часто связаны с социальным инжинирингом, где злоумышленники умело манипулируют психологией пользователей, чтобы достичь своих мошеннических целей:

• Побуждение:Право на участие в распределении токенов, возможности майнинга, пароли для богатства и многое другое.
• Любопытство/жадность:Не бойтесь продавать на пике, не упустите потенциальную монету в 100 раз, не пропустите сегодняшнюю встречу в 10:00, ссылка на встречуhttps://us04-zoom[.]us/(вредоносный); $PENGU белый список для воздушной капли, не упустите,https://vote-pengu[.]com/ (злонамеренный).
• Страх:Срочное предупреждение: проект XX был взломан, пожалуйста, используйте revake[.]cash (вредоносный) для отмены авторизации и предотвращения потери активов.
• Эффективные инструменты:Инструменты для сбора Airdrop, квантовые инструменты AI, инструменты для однократного майнинга и другие.

Причина, по которой злоумышленники прилагают максимум усилий для создания и развертывания этих приманок, заключается в их высокой прибыльности. С помощью этих методов злоумышленники могут легко получить чувствительную информацию/разрешения пользователей и украсть их активы:

• Кража мнемоники/личных ключей:Обман пользователей, чтобы они ввели свой мнемонический код или приватный ключ.
• Обман пользователей для использования подписей кошелька:Авторизующие подписи, передающие подписи и многое другое.
• Воровство паролей аккаунтов:Telegram, Gmail, X, Discord, и т.д.
• Кража социальных разрешений приложения:X, Discord, и т.д.
• Побуждение к установке вредоносных приложений:Фальшивые приложения для кошельков, фальшивые социальные приложения, фальшивые приложения для встреч и т. д.

Тактики Фишинга

Давайте рассмотрим некоторые распространенные тактики фишинга:
Кража аккаунта/подделка аккаунтов
В последнее время часто появляются сообщения о взломе X-аккаунтов Web3-проектов/лидеров мнений. После кражи этих учетных записей злоумышленники часто продвигают поддельные токены или используют похожие доменные имена в сообщениях с «хорошими новостями», чтобы обманом заставить пользователей перейти по вредоносным ссылкам. Иногда домены могут быть даже реальными, так как злоумышленники могли захватить домен проекта. Как только жертвы нажимают на фишинговую ссылку, подписывают транзакцию или загружают вредоносное программное обеспечение, их активы крадут.

Помимо кражи учетных записей, злоумышленники часто выдаются за реальные аккаунты на X, оставляя комментарии к законным сообщениям, чтобы ввести пользователей в заблуждение. Команда безопасности SlowMist проанализировала тактику: около 80% первых комментариев к твитам известных проектов часто занимают фишинговые аккаунты. Злоумышленники используют ботов для отслеживания деятельности популярных проектов и, как только твит появляется, их боты автоматически оставляют первый комментарий для обеспечения наивысшей видимости. Поскольку пользователи читают сообщения от законного проекта, а фишинговый аккаунт сильно напоминает настоящий аккаунт, неподозрительные пользователи могут переходить по фишинговым ссылкам под предлогом воздушного капельницы, авторизации или подписи транзакций и терять свои активы.

Злоумышленники также выдают себя за администраторов, чтобы размещать фальшивые сообщения, особенно на платформах, таких как Discord. Поскольку Discord позволяет пользователям настраивать псевдонимы и имена пользователя, злоумышленники могут изменить свой профиль, чтобы совпадать с профилем администратора, а затем отправлять фишинговые сообщения или отправлять личные сообщения пользователям. Без проверки профиля сложно заметить обман. Кроме того, хотя имена пользователей Discord не могут быть дублированы, злоумышленники могут создавать аккаунты с именами, почти идентичными именам администратора, добавляя небольшие изменения, такие как подчеркивание или точка, что затрудняет пользователей отличить их.

Фишинг, основанный на приглашениях
Злоумышленники часто вступают в контакт с пользователями в социальных сетях, рекомендуя «премиальные» проекты или приглашая пользователей на встречи, направляя их на вредоносные фишинговые сайты для загрузки вредоносных приложений. Например, некоторых пользователей обманом заставили загрузить поддельное приложение Zoom, что привело к краже активов. Злоумышленники используют такие домены, как "app[.]us4zoom[.]нас», чтобы замаскироваться под настоящие ссылки Zoom, создавая страницу, которая выглядит почти идентично фактическому интерфейсу Zoom. Когда пользователи нажимают кнопку «Начать конференцию», им предлагается загрузить вредоносный установщик вместо запуска клиента Zoom. Во время установки пользователям предлагается ввести пароли, а вредоносный скрипт собирает данные плагина кошелька и связки ключей (которые могут содержать сохраненные пароли). После сбора этих данных злоумышленники пытаются расшифровать их и получить доступ к мнемонике кошелька или закрытым ключам пользователей, в конечном итоге похищая их активы.

Эксплуатация ранжирования поисковых систем
Поскольку рейтинг в поисковых системах может быть искусственно повышен путем покупки рекламы, фишинговые веб-сайты могут ранжироваться выше, чем официальные веб-сайты. Пользователям, которые не уверены в URL-адресе официального веб-сайта, может быть трудно обнаружить фишинговые сайты, тем более что фишинговые сайты могут настроить URL-адрес своей рекламы в соответствии с официальным. URL-адрес объявления может выглядеть идентично официальному сайту, но при нажатии на него пользователи перенаправляются на фишинговый сайт злоумышленника. Поскольку фишинговые веб-сайты часто выглядят почти идентично законным сайтам, их легко ввести в заблуждение. Безопаснее не полагаться исключительно на поисковые системы, чтобы найти официальные сайты, так как это может привести к фишинговым сайтам.

Реклама TG
В последнее время заметно увеличилось количество жалоб пользователей на поддельных ботов TG. Пользователи часто сталкиваются с появлением новых ботов в верхней части официальных каналов торговых ботов и ошибочно полагают, что это официальные боты. Они нажимают на нового бота, импортируют свой приватный ключ и привязывают свой кошелек, только чтобы оказаться обокраденными. Злоумышленники используют целевую рекламу в официальных каналах Telegram, чтобы привлечь пользователей к клику. Эти методы фишинга особенно скрытны, потому что они появляются в легитимных каналах, заставляя пользователей думать, что это официальные боты. Без достаточной осторожности пользователи могут поддаться фишинговому боту, ввести свои приватные ключи и потерять свои активы.

Кроме того, недавно мы раскрыли Новая афера: Telegram Фейковая схема безопасности. Многие пользователи были обмануты запуском вредоносного кода по инструкции злоумышленников, что привело к краже активов.

Магазины приложений
Не все программное обеспечение, предлагаемое в магазинах приложений (Google Play, Chrome Store, App Store, APKCombo и т. д.), является подлинным. Магазины приложений не всегда могут полностью проверить все приложения. Некоторые злоумышленники используют тактики, такие как покупка рейтингов по ключевым словам или перенаправление трафика, чтобы обмануть пользователей и заставить их загрузить фальшивые приложения. Мы рекомендуем пользователям тщательно проверять приложения перед их загрузкой. Всегда проверяйте информацию о разработчике, чтобы убедиться, что она соответствует официальной личности. Вы также можете проверить рейтинги приложений, количество загрузок и другую актуальную информацию.

Фишинг Электронные письма
Email phishing is one of the oldest tricks in the book, and it’s often simple yet effective. Attackers use phishing templates combined with Evilngins reverse proxies to craft emails like the one shown below. When users click on “VIEW THE DOCUMENT,” they’re redirected to a fake DocuSign page (which is now offline). If the user clicks the Google login on this page, they’ll be redirected to a fake Google login page. Once they enter their username, password, and 2FA code, the attacker gains control of their account.

Полученное выше фишинговое письмо было небрежно сделано, так как адрес электронной почты отправителя не был замаскирован. Давайте посмотрим, как злоумышленник пытался замаскировать его в следующем примере: Адрес электронной почты злоумышленника отличается от официального только небольшим точечным символом. Используя инструмент, такой как DNSTwist, злоумышленники могут определить специальные символы, поддерживаемые Gmail. Если не обратить внимание, вы можете принять его за грязный экран.

Использование функций браузера
Для получения дополнительной информации см. Slow Mist: Раскрывая, как злонамеренные закладки браузера крадут ваши токены Discord.

Вызовы обороны

Тактика фишинга постоянно развивается и становится более изощренной. Наш предыдущий анализ показал, что злоумышленники могут создавать веб-сайты, которые тесно имитируют официальные страницы известных проектов, захватывать домены проектов и даже фабриковать целые поддельные проекты. Эти мошеннические проекты часто имеют большое количество фейковых подписчиков в социальных сетях (купленных подписчиков) и даже имеют репозитории на GitHub, что делает еще сложнее для пользователей обнаружить угрозы фишинга. Более того, умелое использование анонимных инструментов злоумышленниками еще больше усложняет усилия по отслеживанию их действий. Чтобы скрыть свою личность, злоумышленники часто полагаются на VPN, Tor или компрометированные хосты для осуществления своих атак.

Как только злоумышленники получают анонимную личность, им также нужна базовая инфраструктура, такая как Namecheap, который принимает оплату криптовалютой. Некоторые сервисы требуют только адрес электронной почты для регистрации и не требуют KYC-проверки, что позволяет злоумышленникам избежать отслеживания.

После того, как у злоумышленников появятся эти инструменты, они могут начать фишинговые атаки. После кражи средств они могут использовать услуги, такие как Wasabi или Tornado, чтобы затруднить проследить путь денег. Чтобы еще больше повысить анонимность, они могут обменять украденные средства на криптовалюты, сосредоточенные на конфиденциальности, например Monero.

Чтобы замести следы и избежать оставления улик, злоумышленники удаляют связанные доменные разрешения, вредоносное программное обеспечение, репозитории GitHub, учетные записи платформы и т. Д. Это затрудняет работу службам безопасности в расследовании инцидентов, так как страницы-фишинга могут перестать быть доступными, а вредоносное программное обеспечение может перестать быть доступным для загрузки.

Стратегии обороны

Пользователи могут определить угрозы фишинга, распознавая указанные выше характеристики и проверяя подлинность информации перед действием. Они также могут улучшить свою защиту от фишинга, используя следующие инструменты:

• Плагины для блокировки риска фишинга: Инструменты, такие как Scam Sniffer, могут обнаруживать риски с разных сторон. Если пользователь открывает подозрительную фишинговую страницу, инструмент предупредит их предупреждением.
• Высоко защищенные кошельки: Кошельки, такие как наблюдательный кошелек Rabby (который не требует закрытого ключа), обнаружение фишинговых веб-сайтов, функция «что видишь, то и подписываешь», обнаружение подписей с высоким риском и функции распознавания истории мошенничества.
• Известное антивирусное программное обеспечение: Популярные программы, такие как AVG, Bitdefender и Kaspersky.
• Аппаратные кошельки: Аппаратные кошельки предлагают оффлайн-хранение приватных ключей, что гарантирует, что ключи не будут выставлены в сети при взаимодействии с DApps, что значительно снижает риск кражи активов.

Вывод

Фишинговые атаки широко распространены в мире блокчейна. Самое главное – сохранять бдительность и не быть застигнутым врасплох. При навигации в пространстве блокчейна основной принцип заключается в том, чтобы принять мышление нулевого доверия и постоянно проверять все. Рекомендуем прочитать и постепенно осваивать «Справочник по самоспасению Blockchain Dark Forest», чтобы усилить свою защиту: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Утверждение:

1. Эта статья воспроизводится из 【Маньву Технолоджи】, Авторские права принадлежат оригинальному автору 【Команда безопасности SlowMist】, если у вас есть возражения по поводу перепечатки, пожалуйста, свяжитесь с Gate Learn, команда обработает это как можно скорее в соответствии с соответствующими процедурами.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, представляют только личные взгляды автора и не являются инвестиционным советом.
3. Другие языковые версии статьи переведены командой gate Learn. Если не указано иное, переведенная статья не может быть скопирована, распространена или использована в качестве своей.