Фон
Нещодавно SlowMist було запрошено виступити на Ethereum Web3 Security BootCamp, організований DeFiHackLabs. Тінкінг, керівник аудитів безпеки SlowMist, розповів учасникам по восьми основних розділах - «Обман, Зачеплення, Приманка, Атака, Приховування, Техніки, Ідентифікація, Захист» - за допомогою реальних випадків, щоб показати методи та тактику, використовувані фішинговими хакерами, а також запобіжні заходи, які можна впровадити. Фішинг залишається однією з найбільш значущих загроз у галузі, і розуміння як нападників, так і захисників - це невід'ємна умова для посилення оборони. У цій статті ми виділяємо і ділимося основними висновками з сесії, щоб допомогти користувачам впізнавати та захищати себе від фішингових атак.

Чому фішинг-атаки настільки ефективні?

У просторі Web3 фішингові атаки стали однією з найбільших загроз безпеці. Давайте розглянемо, чому користувачі потрапляють жертвами фішингу. Навіть ті, хто має високий рівень свідомості щодо безпеки, іноді можуть відчувати настрій "те, хто йде при річці, не мине й того, щоби намочити взуття", оскільки підтримання постійної бдительності дуже складно. Атакувальники зазвичай аналізують останні гарячі проекти, активність у спільноті та користувацьку базу для визначення високопрофільних цілей. Потім вони ретельно маскуються та приманюють користувачів привабливими приманками, такими як ейрдропи та високі прибутки. Ці атаки часто включають соціальне інженерство, де атакувальники вправно маніпулюють психологією користувачів для досягнення своїх шахрайських цілей:

• Надмішка:Право на участь у білому списку Airdrop, можливості для майнінгу, паролі для накопичення багатства та більше.
• Цікавість/жадібність:Не боятися продавати на піку, не пропустіть можливий 100x монету, не пропустіть зустріч сьогодні ввечері о 10:00, посилання на зустрічhttps://us04-zoom[.]us/ (шкідливий); $PENGU вайтлист для роздачі, не пропустіть,https://vote-pengu[.]com/ (шкідливий).
• Страх:Термінове попередження: проект XX був взламаний, будь ласка, використовуйте revake[.]cash (зловмисний) для скасування авторизації та запобігання втрати активів.
• Ефективні Інструменти:Інструменти для збору аірдропів, квантові інструменти штучного інтелекту, інструменти однокліківого майнінгу та інші.

Причина, чому нападники докладають великі зусилля для створення та розгортання цих приманок, полягає в тому, що вони дуже прибуткові. За допомогою цих методів нападники можуть легко отримати чутливу інформацію/дозволи користувачів та викрасти їх активи:

• Крадіжка Мнемонік/Приватних Ключів:Обман користувачів з метою введення їх мнемоніки або приватного ключа.
• Ошукання користувачів для використання підписів гаманця:Авторизувати підписи, передавати підписи та більше.
• Викрадання паролів акаунтів:Telegram, Gmail, X, Discord, тощо.
• Крадіжка дозволів на соціальні додатки:X, Discord, тощо.
• Спричинення встановлення шкідливих додатків:Фальшиві додатки гаманця, фальшиві соціальні додатки, фальшиві додатки для зустрічей тощо.

Фішингові тактики

Давайте розглянемо деякі поширені тактики фішингу:
Крадіжка аккаунту / підробка аккаунту
Останнім часом надходить чимало повідомлень про взлом аккаунтів проектів/KOLs’ X у мережі Web3. Після вкрадення цих аккаунтів злочинці часто просувають фейкові токени або використовують схожі доменні імена в "хороших новинах" для того, щоб обдурити користувачів і вивести їх на шахрайські посилання. Іноді навіть домени можуть бути реальними, оскільки злочинці могли захопити домен проекту. Як тільки потерпілі переходять за фішинговим посиланням, підписують транзакцію або завантажують шкідливе програмне забезпечення, їх активи вкрадені.

Крім крадіжки облікових записів, зловмисники часто вдаються до імітації реальних облікових записів на X, залишаючи коментарі під законними повідомленнями, щоб ввести користувачів в оману. Команда з безпеки SlowMist проаналізувала цей тактичний прийом: приблизно 80% перших коментарів до твітів відомих проектів часто зайняті фішинговими обліковими записами. Зловмисники використовують ботів для відстеження активності популярних проектів, і, як тільки твіт буде опублікований, їхні боти автоматично залишають перший коментар для забезпечення найвищої видимості. Оскільки користувачі читають повідомлення від законного проекту, а фішинговий обліковий запис дуже нагадує реальний обліковий запис, не підозрюючі користувачі можуть перейти за посиланнями фішингу під приводом ейрдропу, авторизації або підпису транзакцій та втратити свої активи.

Атакувальники також видають себе за адміністраторів для публікації фальшивих повідомлень, особливо на платформах, таких як Discord. Оскільки Discord дозволяє користувачам налаштовувати псевдоніми та імена користувачів, атакувальники можуть змінити свій профіль, щоб відповідати адміністратору, а потім публікувати фішингові повідомлення або надсилати DM-повідомлення користувачам безпосередньо. Без перевірки профілю важко впізнати обман. Крім того, хоча імена користувачів у Discord не можуть бути дубльовані, атакувальники можуть створювати облікові записи з іменами, які майже ідентичні імені адміністратора, додавши невеликі варіації, наприклад, підкреслення або крапку, що ускладнює розрізнення користувачам.

Фішинг на основі запрошень
Зловмисники часто зв'язуються з користувачами на соціальних платформах, рекомендуючи «преміальні» проекти або запрошуючи користувачів на зустрічі, що ведуть до шкідливих фішингових сайтів для завантаження шкідливих програм. Наприклад, деякі користувачі були обмануті і завантажили фальшиву програму Zoom, що призвело до крадіжки активів. Зловмисники використовують домени, такі як «app[.]us4zoom[.]us», щоб виглядати як справжні посилання Zoom, створюючи сторінку, що майже повністю ідентична реальному інтерфейсу Zoom. Коли користувачі натискають «Почати зустріч», їм пропонується завантажити шкідливу установочну програму замість запуску клієнта Zoom. Під час установки користувачі підбадьорюються вводити паролі, і зловмисний скрипт збирає дані з плагіна гаманця та KeyChain (які можуть містити збережені паролі). Після збору цих даних зловмисники намагаються розшифрувати їх і отримати доступ до мнемонік гаманця або приватних ключів користувачів, в результаті чого крадуть їх активи.

Експлуатація рейтингу пошукової системи
Оскільки рейтинги пошукових систем можуть бути штучно підвищені за допомогою покупки реклами, фішингові веб-сайти можуть мати вищий рейтинг, ніж офіційні веб-сайти. Користувачі, які не впевнені у URL-адресі офіційного веб-сайту, можуть знайти складно розрізнити фішингові сайти, особливо оскільки фішингові сайти можуть налаштовувати свій URL-адресу реклами, щоб він відповідав офіційному. URL-адреса реклами може виглядати ідентично офіційному сайту, але при натисканні на неї користувачі перенаправляються на фішинговий сайт зловмисника. Оскільки фішингові веб-сайти часто майже не відрізняються від легітимних сайтів, легко впасти в оману. Безпечніше не покладатися виключно на пошукові системи для пошуку офіційних веб-сайтів, оскільки це може привести до фішингових сайтів.

TG Оголошення
Останнім часом значно збільшилася кількість повідомлень користувачів про шахрайські боти TG. Користувачі часто зустрічають нові боти, які з'являються на верху офіційних каналів торгових ботів, і помилково вважають їх офіційними. Вони клікають на новий бот, імпортують свій приватний ключ та прив'язують свій гаманець, але потім їх активи вкрадено. Атакувальники використовують цілеспрямовану рекламу в офіційних каналах Telegram, щоб заманити користувачів до кліку. Ці методи фішингу особливо хитрі, оскільки вони з'являються в легітимних каналах, через що користувачі вважають їх офіційними. Без достатньої обережності користувачі можуть натрапити на фішингового бота, ввести свої приватні ключі та втратити свої активи.

Додатково, недавно ми виявили Нова шахрайська схема: шахрайство з підробками Telegram. Багато користувачів були обмануті й запустили шкідливий код за інструкціями зловмисників, що призвело до крадіжки активів.

Магазини програм
Не всяке програмне забезпечення, доступне в магазинах додатків (Google Play, Chrome Store, App Store, APKCombo тощо), є оригінальним. Магазини додатків не завжди можуть повністю переглянути всі додатки. Деякі зловмисники використовують такі тактики, як покупка місць в рейтингу за ключовими словами або перенаправлення трафіку, щоб обманути користувачів і завантажити шахрайські додатки. Ми рекомендуємо користувачам уважно переглядати додатки перед завантаженням. Завжди перевіряйте інформацію про розробника, щоб переконатись, що вона відповідає офіційному ідентифікатору. Ви також можете перевірити рейтинги додатків, кількість завантажень та інші відповідні деталі.

Фішингові листи
Email phishing - один з найстаріших трюків у книжці, і він часто є простим, але ефективним. Зловмисники використовують шаблони фішингу, поєднані з оберненими проксі-серверами Evilngins, для створення електронних листів, подібних до показаного нижче. Коли користувачі натискають на «ПЕРЕГЛЯНУТИ ДОКУМЕНТ», вони перенаправляються на фальшиву сторінку DocuSign (яка зараз відключена). Якщо користувач натисне кнопку входу в Google на цій сторінці, він буде перенаправлений на фальшиву сторінку входу в Google. Після введення свого імені користувача, пароля та коду 2FA зловмисник отримує контроль над їх обліковим записом.

Вище наведений електронний лист з фішингом не був ретельно створений, оскільки електронна адреса відправника не була прихована. Давайте розглянемо, як нападник спробував її приховати у наступному прикладі: Електронна адреса нападника відрізняється від офіційної лише невеликою крапкою. Використовуючи інструмент, подібний DNSTwist, нападники можуть ідентифікувати спеціальні символи, які підтримуються Gmail. Без уважного спостереження ви можете помилитися і вважати це за брудний екран.

Зловживання функціями браузера
Для отримання додаткової інформації дивіться Slow Mist: Розкриття того, як зловмисні закладки браузера викрадають ваші токени Discord.

Виклики оборони

Тактики афери постійно еволюціонують і стають більш вдосконаленими. Наш попередній аналіз показав, що нападники можуть створювати веб-сайти, які дуже схожі на офіційні сторінки відомих проєктів, захоплювати домени проєктів, навіть фабрикувати цілі фейкові проєкти. Ці шахрайські проєкти часто мають велику кількість фейкових послідовників у соціальних мережах (куплені послідовники) та навіть мають репозиторії на GitHub, що ще більше ускладнює виявлення фішингових загроз користувачам. Більше того, вправне використання анонімних інструментів нападниками подальше ускладнює зусилля відстеження їхніх дій. Щоб приховати свою ідентичність, нападники часто покладаються на VPN, Tor або компрометовані хостові для здійснення своїх атак.

Після того як атакувальники отримали анонімну ідентичність, їм також потрібна базова інфраструктура, така як Namecheap, яка приймає платежі криптовалютою. Деякі сервіси вимагають лише електронної адреси для реєстрації і не потребують підтвердження KYC, що дозволяє атакувальникам уникнути відстеження.

Після того, як вони мають ці інструменти на місці, зловмисники можуть ініціювати атаки фішингу. Після крадіжки коштів вони можуть використовувати сервіси, подібні до Wasabi чи Tornado, щоб приховати сліди грошових переказів. Щоб подальш посилити анонімність, вони можуть обмінювати викрадені кошти на криптовалюти, спрямовані на конфіденційність, як от Monero.

Щоб приховати свої сліди та уникнути залишення доказів, зловмисники вилучать пов'язані розрішення доменів, шкідливе програмне забезпечення, сховища GitHub, облікові записи платформ та інше. Це ускладнює роботу командам безпеки у розслідуванні інцидентів, оскільки сайти для фішингу можуть вже бути недоступними, а шкідливе програмне забезпечення може вже не бути доступним для завантаження.

Стратегії захисту

Користувачі можуть визначити загрози фішингу, розпізнавши характеристики, зазначені вище, та перевіривши автентичність інформації перед діями. Вони також можуть покращити захист від фішингу, використовуючи наступні інструменти:

• Плагіни блокування ризику фішингу: Інструменти, такі як Scam Sniffer, можуть виявляти ризики з різних куточків. Якщо користувач відкриває підозрілу фішінгову сторінку, інструмент попередить його попередженням.
• Високо безпечні гаманці: Гаманці, такі як спостережний гаманець Rabby (який не вимагає приватного ключа), виявлення фішингових веб-сайтів, функція «що бачиш, те й підписуєш», виявлення підозрілих підписів та функції визнання історії шахрайства.
• Відоме антивірусне програмне забезпечення: Популярні програми, такі як AVG, Bitdefender і Kaspersky.
• Апаратні гаманці: Апаратні гаманці забезпечують офлайн-сховище для приватних ключів, що гарантує, що ключі не викладаються в Інтернеті при взаємодії з DApps, що значно зменшує ризик крадіжки активів.

Висновок

Фішинг-атаки поширені в світі блокчейну. Найголовніше - бути пильним і уникати непередбачуваних ситуацій. Переміщуючись в просторі блокчейну, основний принцип - прийняти мислення нульового довіри та постійно перевіряти все. Ми рекомендуємо прочитати і поступово освоїти «Посібник з саморятування у темному лісі блокчейну», щоб зміцнити свою оборону: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Заява:

1. Цю статтю воспроизведено з 【慢雾科技】, Авторські права належать початковому автору 【SlowMist Security Team】, якщо у вас є які-небудь зауваження щодо перепублікування, будь ласка, зв'яжіться з Gate Learn, команда вирішить це якнайшвидше згідно з відповідними процедурами.
2. Відмова від відповідальності: погляди і думки, висловлені в цій статті, відображають лише особисті погляди автора і не є інвестиційними порадами.
3. Інші мовні версії статті перекладені командою gate Learn. Якщо не зазначено інше, перекладена стаття не може бути скопійована, поширена або узята за основу.