Antecedentes
Recentemente, a SlowMist foi convidada para falar no Ethereum Web3 Security BootCamp, organizado pela DeFiHackLabs. Thinking, o chefe das auditorias de segurança da SlowMist, conduziu os participantes por oito capítulos principais - “Deception, Baiting, Luring, Attacking, Hiding, Techniques, Identification, Defense” - usando estudos de caso do mundo real para mostrar os métodos e táticas empregados pelos hackers de phishing, bem como as contramedidas que podem ser implementadas. O phishing continua sendo uma das ameaças mais significativas da indústria, e entender tanto os atacantes quanto os defensores é essencial para fortalecer as defesas. Neste artigo, extraímos e compartilhamos insights-chave da sessão para ajudar os usuários a reconhecer e se proteger de ataques de phishing.

Por que os ataques de phishing são tão eficazes?

No espaço Web3, os ataques de phishing tornaram-se uma das maiores ameaças à segurança. Vamos dar uma olhada em por que os usuários se tornam vítimas de phishing. Mesmo aqueles com alto nível de consciência de segurança às vezes sentem o sentimento de 'quem passa pelo rio inevitavelmente molhará os sapatos', porque manter uma vigilância constante é muito difícil. Os atacantes normalmente analisam projetos recentes em destaque, atividade da comunidade e base de usuários para identificar alvos de alto perfil. Eles então se disfarçam cuidadosamente e atraem os usuários com iscas tentadoras, como airdrops e altos retornos. Esses ataques frequentemente envolvem engenharia social, onde os atacantes manipulam habilmente a psicologia dos usuários para alcançar seus objetivos fraudulentos:

• Indução:Elegibilidade para lista branca de airdrop, oportunidades de mineração, senhas de riqueza e muito mais.
• Curiosidade/Ganância:Sem medo de vender no pico, não perca a moeda potencial de 100x, não perca a reunião de hoje à noite às 10:00, link da reunião https://us04-zoom[.]us/ (malicioso); lista branca de airdrop $PENGU, não perca,https://vote-pengu[.]com/ (malicioso).
• Medo:Aviso urgente: o projeto XX foi hackeado, por favor, use revake[.]cash (malicioso) para revogar a autorização e evitar a perda de ativos.
• Ferramentas Eficientes:Ferramentas de colheita de airdrop, ferramentas de quantificação de IA, ferramentas de mineração com um clique e outras.

A razão pela qual os atacantes se esforçam para criar e implementar essas iscas é que elas são altamente lucrativas. Através desses métodos, os atacantes podem facilmente obter informações/permissões sensíveis dos usuários e roubar seus ativos:

• Roubo de Mnemônicos/Chaves Privadas:Enganando os usuários a inserir sua mnemônica ou chave privada.
• Enganando os usuários a usar assinaturas de carteira:Assinaturas de autorização, assinaturas de transferência e muito mais.
• Roubo de senhas de conta:Telegram, Gmail, X, Discord, etc.
• Roubo de Permissões de Aplicativos Sociais:X, Discord, etc.
• Induzindo a instalação de aplicativos maliciosos:Aplicativos de carteira falsos, aplicativos sociais falsos, aplicativos de reunião falsos, etc.

Táticas de Phishing

Vamos dar uma olhada em algumas táticas comuns de phishing:
Roubo de Contas/Impersonação de Contas
Recentemente, tem havido relatos frequentes de contas de projetos/KOLs Web3 sendo hackeadas. Após roubar essas contas, os atacantes costumam promover tokens falsos ou usar nomes de domínio semelhantes em postagens de 'boas notícias' para enganar os usuários a clicar em links maliciosos. Às vezes, os domínios podem até ser reais, pois os atacantes podem ter sequestrado o domínio do projeto. Uma vez que as vítimas clicam em um link de phishing, assinam uma transação ou baixam software malicioso, seus ativos são roubados.

Além de roubar contas, os atacantes muitas vezes se passam por contas reais no X, deixando comentários em postagens legítimas para enganar os usuários. A equipe de segurança da SlowMist analisou essa tática: cerca de 80% dos primeiros comentários em tweets de projetos conhecidos são frequentemente ocupados por contas de phishing. Os atacantes usam bots para seguir as atividades de projetos populares e, uma vez que um tweet é postado, seus bots deixam automaticamente o primeiro comentário para garantir a maior visibilidade. Como os usuários estão lendo postagens do projeto legítimo e a conta de phishing se assemelha muito à conta real, usuários desavisados podem clicar em links de phishing sob o pretexto de um airdrop, autorizando ou assinando transações e perdendo seus ativos.

Os atacantes também se fazem passar por administradores para publicar mensagens falsas, especialmente em plataformas como o Discord. Como o Discord permite que os usuários personalizem apelidos e nomes de usuário, os atacantes podem alterar o perfil para combinar com o de um administrador e, em seguida, publicar mensagens de phishing ou enviar mensagens diretas para os usuários. Sem verificar o perfil, é difícil identificar a decepção. Além disso, embora os nomes de usuário do Discord não possam ser duplicados, os atacantes podem criar contas com nomes quase idênticos aos dos administradores, adicionando pequenas variações, como um sublinhado ou ponto, tornando difícil para os usuários distingui-los.

Phishing baseado em convite
Os atacantes frequentemente entram em contato com os usuários em plataformas sociais, recomendando projetos "premium" ou convidando usuários para reuniões, levando-os a sites de phishing maliciosos para baixar aplicativos nocivos. Por exemplo, alguns usuários foram enganados a baixar um aplicativo falso do Zoom, resultando em roubo de ativos. Os atacantes usam domínios como "app[.]us4zoom[.]us" para se passar por links reais do Zoom, criando uma página que se parece quase idêntica à interface real do Zoom. Quando os usuários clicam em "Iniciar Reunião", eles são solicitados a baixar um instalador malicioso em vez de iniciar o cliente Zoom. Durante a instalação, os usuários são encorajados a inserir senhas, e o script malicioso coleta dados do plugin da carteira e do KeyChain (que pode conter senhas armazenadas). Após coletar esses dados, os atacantes tentam descriptografá-los e acessar mnemônicos da carteira ou chaves privadas dos usuários, roubando seus ativos.

Exploração de Classificação em Mecanismos de Busca
Devido a classificações de mecanismos de busca podem ser artificialmente aumentadas pela compra de anúncios, sites de phishing podem ter uma classificação mais alta do que os sites oficiais. Os usuários que não têm certeza da URL do site oficial podem achar difícil identificar sites de phishing, especialmente porque os sites de phishing podem personalizar sua URL de anúncio para corresponder à oficial. A URL do anúncio pode parecer idêntica ao site oficial, mas quando clicada, os usuários são redirecionados para um site de phishing de um atacante. Como os sites de phishing muitas vezes se parecem quase idênticos aos sites legítimos, é fácil ser enganado. É mais seguro não depender exclusivamente de mecanismos de busca para encontrar sites oficiais, pois isso pode levar a sites de phishing.

Anúncios TG
Recentemente, houve um aumento significativo nos relatos de usuários sobre bots falsos no TG. Os usuários frequentemente encontram novos bots aparecendo no topo dos canais oficiais de bots de negociação e erroneamente pensam que são oficiais. Eles clicam no novo bot, importam sua chave privada e vinculam sua carteira, apenas para ter seus ativos roubados. Os atacantes usam anúncios direcionados em canais oficiais do Telegram para atrair os usuários a clicarem. Esses métodos de phishing são particularmente furtivos, pois aparecem em canais legítimos, fazendo com que os usuários acreditem que são oficiais. Sem cautela suficiente, os usuários podem cair no bot de phishing, inserir suas chaves privadas e perder seus ativos.

Além disso, recentemente descobrimosUm novo golpe: Golpe de Segurança Falsa do Telegram. Muitos usuários foram enganados a executar código malicioso a partir das instruções dos atacantes, resultando em ativos roubados.

Lojas de aplicativos
Nem todo o software disponível nas lojas de aplicativos (Google Play, Chrome Store, App Store, APKCombo, etc.) é genuíno. As lojas de aplicativos nem sempre conseguem revisar completamente todos os aplicativos. Alguns atacantes usam táticas como comprar classificações de palavras-chave ou redirecionar o tráfego para enganar os usuários a baixar aplicativos fraudulentos. Incentivamos os usuários a revisarem cuidadosamente os aplicativos antes de fazerem o download. Sempre verifique as informações do desenvolvedor para garantir que correspondam à identidade oficial. Você também pode verificar as avaliações do aplicativo, números de download e outros detalhes relevantes.

E-mails de Phishing
O phishing por e-mail é um dos truques mais antigos do livro, e é frequentemente simples, mas eficaz. Os atacantes usam modelos de phishing combinados com proxies reversos do Evilngins para criar e-mails como o mostrado abaixo. Quando os usuários clicam em 'VER O DOCUMENTO', eles são redirecionados para uma página falsa do DocuSign (que agora está offline). Se o usuário clicar no login do Google nesta página, ele será redirecionado para uma página falsa de login do Google. Uma vez que eles inserem seu nome de usuário, senha e código de autenticação de dois fatores, o atacante ganha controle de sua conta.

O e-mail de phishing acima não foi cuidadosamente elaborado, pois o endereço de e-mail do remetente não foi disfarçado. Vamos analisar como o atacante tentou disfarçá-lo no exemplo a seguir: O endereço de e-mail do atacante difere do oficial apenas por um pequeno ponto. Usando uma ferramenta como o DNSTwist, os atacantes podem identificar caracteres especiais suportados pelo Gmail. Sem prestar muita atenção, você pode confundi-lo com uma tela suja.

Explorando Recursos do Navegador
Para mais detalhes, consulte Slow Mist: Revelando como favoritos do navegador maliciosos roubam seus tokens do Discord.

Desafios de Defesa

As táticas de phishing estão em constante evolução e se tornando mais sofisticadas. Nossa análise anterior mostrou que os atacantes podem criar websites que imitam de perto as páginas oficiais de projetos conhecidos, assumir o controle de domínios de projetos e até fabricar projetos inteiros falsos. Esses projetos fraudulentos muitas vezes têm um grande número de seguidores falsos nas mídias sociais (seguidores comprados) e até têm repositórios no GitHub, tornando ainda mais difícil para os usuários detectarem ameaças de phishing. Além disso, o uso habilidoso de ferramentas anônimas pelos atacantes complica ainda mais os esforços para rastrear suas ações. Para ocultar sua identidade, os atacantes muitas vezes contam com VPNs, Tor ou hosts comprometidos para realizar seus ataques.

Uma vez que os atacantes tenham uma identidade anônima, eles também precisam de infraestrutura básica, como Namecheap, que aceita pagamentos em criptomoedas. Alguns serviços exigem apenas um endereço de e-mail para se registrar e não exigem verificação KYC, permitindo que os atacantes evitem ser rastreados.

Depois que essas ferramentas estão em vigor, os invasores podem iniciar ataques de phishing. Após roubar fundos, eles podem usar serviços como Wasabi ou Tornado para obscurecer o rastro do dinheiro. Para aumentar ainda mais o anonimato, eles podem trocar os fundos roubados por criptomoedas focadas em privacidade, como Monero.

Para cobrir seus rastros e evitar deixar evidências, os atacantes removerão resoluções de domínio relacionadas, software malicioso, repositórios do GitHub, contas da plataforma, etc. Isso torna difícil para as equipes de segurança investigar incidentes, pois os sites de phishing podem não estar mais acessíveis e o software malicioso pode não estar mais disponível para download.

Estratégias de Defesa

Os usuários podem identificar ameaças de phishing reconhecendo as características mencionadas acima e verificando a autenticidade das informações antes de agir. Eles também podem melhorar sua defesa contra phishing usando as seguintes ferramentas:

• Plugins de Bloqueio de Risco de Phishing: Ferramentas como Scam Sniffer podem detectar riscos de várias maneiras. Se um usuário abrir uma página de phishing suspeita, a ferramenta o alertará com um aviso.
• Carteiras altamente seguras: Carteiras como a carteira de observação da Rabby (que não requer uma chave privada), detecção de sites de phishing, funcionalidade de 'o que você vê é o que você assina', detecção de assinatura de alto risco e recursos de reconhecimento de histórico de fraudes.
• Software Antivírus Bem Conhecido: Programas populares como AVG, Bitdefender e Kaspersky.
• Hardware Wallets: As carteiras de hardware oferecem armazenamento offline para chaves privadas, garantindo que as chaves não sejam expostas online ao interagir com DApps, o que reduz significativamente o risco de roubo de ativos.

Conclusão

Os ataques de phishing são generalizados no mundo blockchain. A coisa mais importante é permanecer vigilante e evitar ser pego de surpresa. Ao navegar no espaço blockchain, o princípio fundamental é adotar uma mentalidade de zero confiança e verificar continuamente tudo. Recomendamos a leitura e o domínio gradual do “Manual de Auto-Resgate da Floresta Negra Blockchain” para fortalecer sua defesa:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Declaração:

1. Este artigo é reproduzido de 【SlowMist Technology】，O direito autoral pertence ao autor original【Equipe de Segurança Fumegante】, se você tiver alguma objeção à reprodução, entre em contato Gate LearnA equipe lidará com isso o mais rápido possível de acordo com os procedimentos relevantes.
2. Aviso Legal: As visões e opiniões expressas neste artigo representam apenas as visões pessoais do autor e não constituem nenhum conselho de investimento.
3. Outras versões do artigo em outros idiomas são traduzidas pela equipe gate Learn. Salvo indicação em contrário, o artigo traduzido não pode ser copiado, distribuído ou plagiado.