Background
เมื่อเร็ว ๆ นี้ SlowMist ได้รับเชิญให้พูดที่ Ethereum Web3 Security BootCamp ซึ่งจัดโดย DeFiHackLabs Thinking หัวหน้าฝ่ายตรวจสอบความปลอดภัยของ SlowMist ได้นําผู้เข้าร่วมผ่านแปดบทสําคัญ ได้แก่ "การหลอกลวงการล่อลวงการล่อลวงการโจมตีการซ่อนตัวเทคนิคการระบุการป้องกัน" โดยใช้กรณีศึกษาในโลกแห่งความเป็นจริงเพื่อแสดงวิธีการและกลยุทธ์ที่แฮ็กเกอร์ฟิชชิ่งใช้รวมถึงมาตรการตอบโต้ที่สามารถดําเนินการได้ ฟิชชิงยังคงเป็นหนึ่งในภัยคุกคามที่สําคัญที่สุดในอุตสาหกรรมและการทําความเข้าใจทั้งผู้โจมตีและผู้พิทักษ์เป็นสิ่งสําคัญในการเสริมสร้างการป้องกัน ในบทความนี้ เราจะแยกและแบ่งปันข้อมูลเชิงลึกที่สําคัญจากเซสชันเพื่อช่วยให้ผู้ใช้จดจําและป้องกันตนเองจากการโจมตีแบบฟิชชิง

ทำไมการโจมตีฟิชชิงถึงมีประสิทธิภาพอย่างนี้?

ในพื้นที่ Web3 การโจมตีแบบฟิชชิงได้กลายเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุด ลองมาดูกันว่าทําไมผู้ใช้ถึงตกเป็นเหยื่อของฟิชชิง แม้แต่ผู้ที่มีความตระหนักด้านความปลอดภัยในระดับสูงบางครั้งอาจรู้สึกถึงความรู้สึกของ "ผู้ที่เดินริมแม่น้ําย่อมทําให้รองเท้าเปียก" เพราะการรักษาความระมัดระวังอย่างต่อเนื่องเป็นเรื่องยากมาก ผู้โจมตีมักจะวิเคราะห์โครงการยอดนิยมกิจกรรมชุมชนและฐานผู้ใช้เพื่อระบุเป้าหมายที่มีรายละเอียดสูง จากนั้นพวกเขาก็ปลอมตัวอย่างระมัดระวังและล่อผู้ใช้ด้วยเหยื่อล่อลวงเช่น airdrops และผลตอบแทนสูง การโจมตีเหล่านี้มักเกี่ยวข้องกับวิศวกรรมสังคมซึ่งผู้โจมตีจัดการจิตวิทยาของผู้ใช้อย่างชํานาญเพื่อให้บรรลุเป้าหมายการฉ้อโกง:

• การยักยอก:ความมีสิทธิในรายชื่อขายAirDrop, โอกาสในการขุดเหมือง, รหัสผ่านความมั่นคงภายในการเก็บรวมทรัพย์สิน, และอื่นๆ
• ความอยากรู้/ความโลภ:Fearless of selling at the peak, don’t miss out on the potential 100x coin, don’t miss tonight’s meeting at 10:00, meeting linkhttps://us04-zoom[.]us/ (เลวร้าย); ลงชื่อเข้าร่วม airdrop ของ $PENGU ใน whitelist อย่าพลาด,https://vote-pengu[.]com/ (malicious).
• ความกลัว:เตือนภัยเร่งด่วน: โครงการ XX ถูก hack แล้ว โปรดใช้ revake[.]cash (ที่ไม่ดี) เพื่อเพิกถอนการให้สิทธิ์เพื่อป้องกันการสูญเสียทรัพย์สิน
• เครื่องมือที่มีประสิทธิภาพ:เครื่องมือเก็บเกี่ยว Airdrop, เครื่องมือ AI quant, เครื่องมือขุดเหรียญด้วยคลิกเดียว และอื่น ๆ

เหตุผลที่ผู้โจมตีต้องทำทุกอย่างเพื่อสร้างและใช้เหล่าเหยื่อเหล่านี้เพราะว่ามันได้รับผลกำไรอย่างมาก ผู้โจมตีสามารถได้รับข้อมูล / สิทธิ์ที่สำคัญของผู้ใช้งานได้อย่างง่ายดายและขโมยทรัพย์สินของพวกเขาได้:

• การขโมย Mnemonics/Private Keys:การหลอกผู้ใช้ใส่ว่าเขาต้องการตัวอักษรลับหรือคีย์ส่วนตัวของเขา
• หลอกลวงผู้ใช้ให้ใช้ลายเซ็นต์ของกระเป๋าเงิน:การอนุญาตลายเซ็นต์, ลายเซ็นต์การโอนเงิน เเละอื่นๆ
• การขโมยรหัสผ่านบัญชี:Telegram, Gmail, X, Discord, เป็นต้น
• การขโมยการอนุญาตแอปสังคม:X, Discord, เป็นต้น
• การกระตุ้นการติดตั้งแอปที่เป็นอันตราย: แอปกระเป๋าเงินปลอม, แอปโซเชียลปลอม, แอปการประชุมปลอม ฯลฯ

วิธีการฟิชชิง

มาดูกันว่ามีกลยุทธ์การฟิชชิงที่พบบ่อยบางอย่าง
การถูกขโมยบัญชี / การปลอมแอคเคาท์
เร็วๆ นี้มีรายงานการโจมตีบัญชีโปรเจค Web3/KOLs' X บ่อยมาก หลังจากที่โจมตีบัญชีเหล่านี้ ผู้โจมตีมักโปรโมตโทเค็นปลอมหรือใช้ชื่อโดเมนที่คล้ายกันในโพสต์ข่าวดีเพื่อหลอกผู้ใช้ให้คลิกลิงก์ที่เป็นทรรศนะ บางครั้งโดเมนอาจเป็นจริง โดยผู้โจมตีอาจได้รับการควบคุมโดเมนของโปรเจค ครั้งหนึ่งเมื่อเหยื่อคลิกลิงก์ที่เป็นฟิชชิง ลงนามธุรกรรม หรือดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย ทรัพย์สินของพวกเขาจะถูกขโมย

นอกเหนือจากการขโมยบัญชีแล้วผู้โจมตีมักแอบอ้างเป็นบัญชีจริงใน X โดยแสดงความคิดเห็นในโพสต์ที่ถูกต้องเพื่อทําให้ผู้ใช้เข้าใจผิด ทีมรักษาความปลอดภัยของ SlowMist ได้วิเคราะห์กลยุทธ์นี้: ประมาณ 80% ของความคิดเห็นแรกในทวีตของโครงการที่มีชื่อเสียงมักถูกครอบครองโดยบัญชีฟิชชิ่ง ผู้โจมตีใช้บอทเพื่อติดตามกิจกรรมของโครงการยอดนิยมและเมื่อโพสต์ทวีตแล้วบอทของพวกเขาจะออกจากความคิดเห็นแรกโดยอัตโนมัติเพื่อให้มองเห็นได้สูงสุด เนื่องจากผู้ใช้กําลังอ่านโพสต์จากโครงการที่ถูกกฎหมายและบัญชีฟิชชิ่งมีลักษณะคล้ายกับบัญชีจริงผู้ใช้ที่ไม่สงสัยอาจคลิกลิงก์ฟิชชิ่งภายใต้ข้ออ้างของ airdrop อนุญาตหรือลงนามในธุรกรรมและสูญเสียทรัพย์สินของพวกเขา

ผู้โจมตียังเสแสร้งเป็นผู้ดูแลระบบเพื่อโพสต์ข้อความปลอม โดยเฉพาะบนแพลตฟอร์มเช่น Discord โดยเนื่องจาก Discord อนุญาตให้ผู้ใช้ปรับแต่งชื่อเล่นและชื่อผู้ใช้งาน ผู้โจมตีสามารถเปลี่ยนโปรไฟล์ของพวกเขาให้ตรงกับผู้ดูแลระบบ จากนั้นโพสต์ข้อความฟิชชิงหรือ DM ผู้ใช้โดยตรง โดยไม่ตรวจสอบโปรไฟล์ มันยากที่จะเห็นการหลอกลวงนี้ นอกจากนี้ ชื่อผู้ใช้ Discord ไม่สามารถทำซ้ำได้ แต่ผู้โจมตีสามารถสร้างบัญชีด้วยชื่อที่เกือบเหมือนกันกับผู้ดูแลระบบโดยการเพิ่มความแตกต่างเล็กน้อย เช่น ขีดล่างหรือจุด ทำให้ผู้ใช้งานยากต่อการแยกแยะ

การฟิชชิงโดยใช้เชิงเชิงเชิงเชิงเชิงเชิงเชิงเชิงเชิงเชิงเชิงเชิงเชิง Invitation
ผู้โจมตีมักจะติดต่อกับผู้ใช้บนแพลตฟอร์มโซเชียลแนะนําโครงการ "พรีเมียม" หรือเชิญผู้ใช้เข้าร่วมการประชุมนําพวกเขาไปยังไซต์ฟิชชิ่งที่เป็นอันตรายเพื่อดาวน์โหลดแอปที่เป็นอันตราย ตัวอย่างเช่นผู้ใช้บางคนถูกหลอกให้ดาวน์โหลดแอป Zoom ปลอมส่งผลให้เกิดการโจรกรรมทรัพย์สิน ผู้โจมตีใช้โดเมนเช่น "app[.]us4zoom[.]เรา" เพื่อปลอมตัวเป็นลิงก์ Zoom จริงสร้างหน้าเว็บที่ดูเกือบจะเหมือนกับอินเทอร์เฟซ Zoom จริง เมื่อผู้ใช้คลิก "เริ่มการประชุม" พวกเขาจะได้รับแจ้งให้ดาวน์โหลดตัวติดตั้งที่เป็นอันตรายแทนที่จะเปิดไคลเอนต์ Zoom ในระหว่างการติดตั้งขอแนะนําให้ผู้ใช้ป้อนรหัสผ่านและสคริปต์ที่เป็นอันตรายจะรวบรวมปลั๊กอินกระเป๋าเงินและข้อมูล KeyChain (ซึ่งอาจมีรหัสผ่านที่เก็บไว้) หลังจากรวบรวมข้อมูลนี้ผู้โจมตีจะพยายามถอดรหัสและเข้าถึงความจํากระเป๋าเงินของผู้ใช้หรือคีย์ส่วนตัวในที่สุดก็ขโมยทรัพย์สินของพวกเขา

การนำเสนออันดับในเครื่องมือค้นหา
เนื่องจากการจัดอันดับของเครื่องมือค้นหาสามารถกระตุ้นเทียมได้โดยการซื้อโฆษณาเว็บไซต์ฟิชชิ่งอาจอยู่ในอันดับที่สูงกว่าเว็บไซต์อย่างเป็นทางการ ผู้ใช้ที่ไม่แน่ใจใน URL ของเว็บไซต์อย่างเป็นทางการอาจพบว่าเป็นการยากที่จะระบุไซต์ฟิชชิ่งโดยเฉพาะอย่างยิ่งเนื่องจากไซต์ฟิชชิ่งสามารถปรับแต่ง URL โฆษณาให้ตรงกับเว็บไซต์อย่างเป็นทางการได้ URL ของโฆษณาอาจดูเหมือนกับเว็บไซต์อย่างเป็นทางการ แต่เมื่อคลิกผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่งของผู้โจมตี เนื่องจากเว็บไซต์ฟิชชิ่งมักจะดูเกือบจะเหมือนกับเว็บไซต์ที่ถูกกฎหมายจึงเป็นเรื่องง่ายที่จะเข้าใจผิด ปลอดภัยกว่าที่จะไม่พึ่งพาเครื่องมือค้นหาเพียงอย่างเดียวในการค้นหาเว็บไซต์อย่างเป็นทางการเนื่องจากอาจนําไปสู่ไซต์ฟิชชิง

โฆษณา TG
เมื่อเร็ว ๆ นี้มีรายงานผู้ใช้เพิ่มขึ้นอย่างมากเกี่ยวกับบอท TG ปลอม ผู้ใช้มักจะพบบอทใหม่ที่ปรากฏที่ด้านบนของช่องทางบอทซื้อขายอย่างเป็นทางการและเข้าใจผิดคิดว่าพวกเขาเป็นทางการ พวกเขาคลิกที่บอทใหม่นําเข้าคีย์ส่วนตัวและผูกกระเป๋าเงินของพวกเขาเท่านั้นที่จะถูกขโมยทรัพย์สินของพวกเขา ผู้โจมตีใช้โฆษณาที่กําหนดเป้าหมายในช่องโทรเลขอย่างเป็นทางการเพื่อล่อให้ผู้ใช้คลิก วิธีการฟิชชิงเหล่านี้แอบแฝงเป็นพิเศษเนื่องจากปรากฏในช่องทางที่ถูกต้องทําให้ผู้ใช้สันนิษฐานว่าเป็นทางการ หากไม่มีความระมัดระวังเพียงพอผู้ใช้อาจตกหลุมรักบอทฟิชชิ่งป้อนคีย์ส่วนตัวและสูญเสียทรัพย์สิน

นอกจากนี้เราได้ค้นพบเมื่อเร็วๆ นี้ฉ้อโกงใหม่: ฟิชชิง Telegram Fake Safeguard Scam. ผู้ใช้หลายคนถูกหลอกให้เรียกใช้รหัสที่เป็นอันตรายจากคำสั่งของผู้โจมตี ซึ่งส่งผลให้ทรัพย์สินถูกขโมย

ร้านค้าแอป
ไม่ทุกซอฟต์แวร์ที่มีบนร้านค้าแอป (Google Play, Chrome Store, App Store, APKCombo, เป็นต้น) นั้นเป็นของแท้ ร้านค้าแอปไม่สามารถทบทวนทุกแอปได้อย่างสมบูรณ์เสมอไป บางผู้โจมตีใช้กลยุทธ์เช่นการซื้ออันดับคำค้นหรือเปลี่ยนเส้นทางการเข้าถึงเพื่อหลอกผู้ใช้ให้ดาวน์โหลดแอปที่ไม่เป็นธรรม เราแนะนำให้ผู้ใช้ทบทวนแอปอย่างรอบคอบก่อนดาวน์โหลด เช่นเสมอตรวจสอบข้อมูลนักพัฒนาเพื่อให้แน่ใจว่าตรงกับตัวตนทางการทางอย่างเป็นทางการ คุณยังสามารถตรวจสอบคะแนนการดาวน์โหลดของแอป จำนวนการดาวน์โหลด และรายละเอียดที่เกี่ยวข้องอื่น ๆ ได้

อีเมลการโจมตีข้อมูล
การฟิชชิงทางอีเมลเป็นหนึ่งในเคล็ดลับที่เก่าแก่ที่สุดในหนังสือ และมันมักจะเป็นเรื่องง่ายแต่มีประสิทธิภาพ ผู้โจมตีใช้เทมเพลตฟิชชิงร่วมกับพร็อกซี่แบบกลับของ Evilngins เพื่อสร้างอีเมลเช่นอีเมลที่แสดงด้านล่างนี้ เมื่อผู้ใช้คลิกที่ “ดูเอกสาร” พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเท็จจริงของ DocuSign (ซึ่งตอนนี้ออฟไลน์) หากผู้ใช้คลิกที่ล็อกอิน Google บนหน้านี้ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าล็อกอิน Google เท็จจริง หลังจากที่พวกเขาป้อนชื่อผู้ใช้งาน รหัสผ่าน และรหัส 2FA ผู้โจมตีจะได้รับควบคุมบัญชีของพวกเขา

อีเมลฟิชชิงด้านบนนั้นไม่ได้ถูกสร้างอย่างรอบคอบเนื่องจากที่อยู่อีเมลของผู้ส่งไม่ได้ถูกปกปิดไว้อย่างมีระเบียบเรียบร้อย มาดูวิธีที่ผู้โจมตีพยายามปกปิดในตัวอย่างต่อไปนี้: ที่อยู่อีเมลของผู้โจมตีแตกต่างจากที่อยู่อย่างเป็นทางการโดยเพียงจุดเล็กน้อยเท่านั้น โดยใช้เครื่องมืออย่าง DNSTwist ผู้โจมตีสามารถระบุตัวอักษรพิเศษที่รองรับโดย Gmail หากไม่สนใจอย่างละเอียด คุณอาจพลาดไปว่าเป็นหน้าจอสกปรก

การใช้ฟีเจอร์ของเบราว์เซอร์อย่างมีประสิทธิภาพ
สำหรับรายละเอียดเพิ่มเติม โปรดดู Slow Mist: เปิดเผยวิธีการบุกรุกแฝงของบุ๊กมาร์กที่โหลดโทเค็น Discord ของคุณ.

ความท้าทายในการป้องกัน

กลยุทธ์ฟิชชิ่งมีการพัฒนาอย่างต่อเนื่องและมีความซับซ้อนมากขึ้น การวิเคราะห์ก่อนหน้านี้ของเราแสดงให้เห็นว่าผู้โจมตีสามารถสร้างเว็บไซต์ที่เลียนแบบหน้าอย่างเป็นทางการของโครงการที่รู้จักกันดีเข้าครอบครองโดเมนโครงการและแม้แต่สร้างโครงการปลอมทั้งหมด โครงการหลอกลวงเหล่านี้มักจะมีผู้ติดตามปลอมจํานวนมากบนโซเชียลมีเดีย (ผู้ติดตามที่ซื้อ) และยังมีที่เก็บ GitHub ทําให้ผู้ใช้ตรวจจับภัยคุกคามฟิชชิ่งได้ยากขึ้น ยิ่งไปกว่านั้นการใช้เครื่องมือที่ไม่ระบุชื่ออย่างชํานาญของผู้โจมตียังทําให้ความพยายามในการติดตามการกระทําของพวกเขาซับซ้อนยิ่งขึ้น เพื่อปกปิดตัวตนผู้โจมตีมักจะพึ่งพา VPN, Tor หรือโฮสต์ที่ถูกบุกรุกเพื่อทําการโจมตี

เมื่อผู้โจมตีมีตัวตนที่ไม่ระบุชัด พวกเขายังต้องการโครงสร้างพื้นฐานพื้นฐานเช่น Namecheap ซึ่งยอมรับการชำระเงินด้วยสกุลเงินดิจิทัล บางบริการต้องการอีเมลเพียงอย่างเดียวเพื่อลงทะเบียนและไม่ต้องการการตรวจสอบ KYC ซึ่งทำให้ผู้โจมตีสามารถหลบหลีกการติดตาม

เมื่อพวกเขามีเครื่องมือเหล่านี้อยู่ในที่แล้ว ผู้โจมตีสามารถเริ่มการโจมตีแฟชชิ่งได้ หลังจากขโมยเงิน พวกเขาอาจใช้บริการเช่น Wasabi หรือ Tornado เพื่อปกปิดรายการเงิน โดยเพื่อเพิ่มความเป็นส่วนตัวอีกต่อไป พวกเขาอาจแลกเงินที่ถูกขโมยมาเป็นสกุลเงินด้านความเป็นส่วนตัวเช่น Monero

เพื่อปิดรอยตามและหลีกเลี่ยงการทิ้งหลักฐานไว้ด้านหลัง ผู้โจมตีจะลบการหมุนเวียนโดเมนที่เกี่ยวข้อง ซอฟต์แวร์ที่เป็นเชื้อโรค ที่เกี่ยวข้อง GitHub repositories บัญชีแพลตฟอร์ม เป็นต้น สิ่งนี้ทำให้ทีมด้านความปลอดภัยทำความสับสนในการสอบสวนเหตุการณ์ เนื่องจากเว็บไซต์ฟิชชิงอาจไม่สามารถเข้าถึงได้อีกและซอฟต์แวร์ที่เป็นเชื้อโรคอาจไม่สามารถดาวน์โหลดได้อีก

กลยุทธ์ป้องกัน

ผู้ใช้สามารถระบุความเสี่ยงจากการฟิชชิงได้โดยรู้จักลักษณะที่กล่าวมาข้างต้นและตรวจสอบความถูกต้องของข้อมูลก่อนดำเนินการ พวกเขายังสามารถเพิ่มป้องกันการฟิชชิงของตนโดยใช้เครื่องมือต่อไปนี้:

• ปลั๊กอินป้องกันความเสี่ยงการถูกฟิชชิง: เครื่องมือเช่น Scam Sniffer สามารถตรวจจับความเสี่ยงจากมุมมองหลายมุมได้ หากผู้ใช้เปิดหน้าเว็บฉ้อโกงที่สงสัย เครื่องมือจะแจ้งเตือนพวกเขาด้วยการเตือนเตือน
• กระเป๋าเงินที่มีความปลอดภัยสูง: บัญชีเงินสดเช่น บัญชีเงินสดสำรองของ Rabby (ซึ่งไม่ต้องใช้กุญแจส่วนตัว), การตรวจจับเว็บไซต์ฟิชชิง, ฟังก์ชัน 'สิ่งที่คุณเห็นคือสิ่งที่คุณลงนาม', การตรวจจับลายเซ็นสูงระดับ, และคุณลักษณะการรู้จำประวัติของการโกง
• ซอฟต์แวร์ตรวจสอบไวรัสที่มีชื่อเสียง: โปรแกรมยอดนิยมเช่น AVG, Bitdefender, และ Kaspersky.
• กระเป๋าสตางค์ฮาร์ดแวร์กระเป๋าฮาร์ดแวร์ให้บริการเก็บรักษาคีย์ส่วนตัวแบบออฟไลน์เพื่อให้ไม่เผยแพร่ออนไลน์เมื่อทำการปฏิสัมพันธ์กับ DApps ซึ่งลดความเสี่ยงของการถูกขโมยทรัพย์สินอย่างมีนัยสำคัญ

สรุป

การโจมตีด้วยการโจมตีฟิชชิงมีทั่วทุกมุมโลกบล็อกเชน สิ่งสำคัญที่สุดคือการระมัดระวังและหลีกเลี่ยงจากการโดนจับได้โดยไม่ระวัง เมื่อเราเดินทางในพื้นที่บล็อกเชน หลักการหลักคือการนำจิตใจที่ไม่เชื่อถือศักดิ์สิทธิและตรวจสอบทุกอย่างอย่างต่อเนื่อง เราขอแนะนำให้อ่านและเรียนรู้ทีละเล็กทีละน้อย “หนังสือคู่มือการช่วยเหลือตนเองในป่ามืดบล็อกเชน” เพื่อเสริมความเข้มแข็งให้กับระบบป้องกันของคุณ:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

คำแถลง:

1. บทความนี้ถูกทำสำเนามาจาก 【เทคโนโลยี SlowMist】ลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ【ทีมความปลอดภัยแห่งซอฟต์แวร์มอลเวอร์】, หากคุณมีคำปฏิเสธในการเผยแพร่ซ้ำ โปรดติดต่อเกตเรียนทีมจะดูแลมันให้เร็วที่สุดตามขั้นตอนที่เกี่ยวข้อง
2. คำประกาศ: มุมมองและความคิดเห็นที่แสดงในบทความนี้แสดงถึงมุมมองส่วนบุคคลของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำในการลงทุนใดๆ
3. เวอร์ชันภาษาอื่นของบทความถูกแปลโดยทีม gate Learn ยกเว้นระบุไว้เป็นอย่างอื่น บทความที่ถูกแปลอาจไม่สามารถคัดลอก แจกจ่าย หรือลอกเลียนได้