Learn
慢霧:Web3 釣魚手法解析

慢霧:Web3 釣魚手法解析

中級
安全
2/10/2025, 1:29:22 PM
本文探討了 Web3 領域的釣魚威脅,攻擊者利用假賬號、搜索引擎廣告、TG 機器人、釣魚郵件等手法,結合貪婪、恐懼等心理,誘騙用戶洩露私鑰或授權交易,從而竊取資產。

背景
近期,慢霧(SlowMist) 受邀參加 DeFiHackLabs 舉辦的 Ethereum Web3 Security BootCamp。作為演講嘉賓,慢霧安全審計負責人 Thinking 從“偽、餌、誘、攻、隱、技、辨、御”八個章節,結合實際案例,帶領學員深入瞭解釣魚黑客的作惡方式及隱匿手段,並提出了相關防範措施。釣魚是行業重災區之一,知己知彼,才好做好防禦工作。本文將提取分享會中的關鍵內容,幫助用戶瞭解釣魚攻擊的現狀和有效規避釣魚攻擊威脅。

為什麼會被釣魚

Web3 世界中,釣魚攻擊已成為主要的安全威脅之一。我們先來看下,用戶為什麼會被釣魚。其實,即使安全意識較高的用戶有時也會發出“常在河邊走,哪有不溼鞋”的感概,畢竟一直保持最高警惕性是很難做到的。攻擊者通過分析近期熱點項目及社區活躍情況、用戶規模等因素,選擇高關注度的目標並精心偽裝,再通過空投、高收益等誘餌吸引用戶上鉤。這些攻擊手法通常伴隨社會工程學,攻擊者十分善於利用用戶心理實現詐騙目標:

  • 利誘:Airdrop 資格白名單,挖頭礦,財富密碼等。
  • 好奇/貪婪:無懼賣飛的逃頂策略,不容錯過潛在 100 倍幣,今晚 10 點不見不散,會議鏈接 https://us04-zoom[.]us/(惡意);$PENGU 空投白名單不容錯過,https://vote-pengu[.]com/(惡意)。
  • 恐懼:緊急告警:XX 項目被黑,請使用 revake[.]cash(惡意)取消授權,避免資金損失。
  • 高效工具:薅空投工具,AI 量化工具,一鍵挖礦薅羊毛等。

攻擊者費功夫製造並投放誘餌無非是因為有利可圖,通過以上手段,攻擊者便能輕鬆獲取用戶的敏感信息/權限,進而盜取用戶資產:

  • 盜取助記詞/私鑰:欺騙用戶輸入助記詞或私鑰。
  • 欺騙用戶使用錢包簽名:授權簽名,轉賬簽名等。
  • 盜取賬號密碼:Telegram,Gmail,X,Discord 等。
  • 盜取社交應用權限:X,Discord 等。
  • 誘導安裝惡意程序:假錢包 APP,假社交 APP,假會議 APP 等。

釣魚手段

接下來,我們看看常見的釣魚手段有哪些:
盜取賬號/高仿賬號
近期 Web3 項目方/KOL 的 X 賬號被盜事件頻發,攻擊者盜取賬號後常推廣虛假代幣,或是在發佈的“好消息”裡構建相似的域名誘騙用戶點擊。當然,也存在域名是真實的情況,因為攻擊者可能接管了項目方的域名。一旦受害者點進釣魚鏈接,進行簽名或者下載惡意軟件,便會被盜。

除了盜取賬號的方式,攻擊者在 X 上還常利用高仿的賬號在真實賬號的評論區留言以誘導用戶。慢霧安全團隊曾做過針對性的分析統計:約有 80% 的知名項目方在發佈推文後,評論區的第一條留言會被詐騙釣魚賬號所佔據。攻擊者利用自動化機器人關注知名項目方動態,在項目方發佈推文後,釣魚團伙的機器人會自動化第一時間留言以確保佔據第一條留言位置,蹭到高瀏覽量。由於用戶正在瀏覽的帖子是真實項目方發送的,且經過偽裝後的釣魚團伙賬號和項目方的賬號高度相似,這時只要用戶警惕性不夠,點擊高仿賬號裡空投等名義的釣魚鏈接,然後授權、簽名,便會損失資產。

攻擊者還會冒充管理員發佈假消息,尤其是在 Discord 上這種現象更為常見。Discord 支持用戶自定義暱稱和用戶名,於是攻擊者將頭像和暱稱改成與管理員一致的,然後在頻道內發佈釣魚信息或者私信用戶,用戶不點開賬號的資料查看用戶名的話,很難發現問題。此外,雖然 Discord 用戶名不可重複,但攻擊者可以使用與管理員用戶名高度相似的名字,比如僅在用戶名中多添加個下劃線或者一個英文句號,使得用戶難辨真假。

邀約釣魚
攻擊者常通過和受害者在社交平臺建立聯繫,向用戶推薦“優質”項目或者邀請用戶參加會議,引導受害者訪問惡意的釣魚站點,下載惡意的應用程序,此前便有用戶因為下載了假 Zoom 導致被盜的情況。攻擊者使用形如“app[.]us4zoom[.]us”的域名偽裝成正常 Zoom 會議鏈接,頁面與真 Zoom 高度相似。當用戶點擊“啟動會議”按鈕,便會觸發下載惡意安裝包,而非啟動本地 Zoom 客戶端或下載 Zoom 的官方客戶端。由於惡意程序在運行時就誘導用戶輸入密碼,並且後續的惡意腳本也會採集電腦中插件錢包數據和 KeyChain 數據(可能包含用戶保存在電腦上的各種密碼),攻擊者收集後就會嘗試解密數據,獲得用戶的錢包助記詞/私鑰等敏感信息,從而盜取用戶的資產。

利用搜索引擎排名
由於搜索引擎的排名結果可以通過購買 ad 推廣來提升,這也就導致釣魚網站排名可能還比真官網靠前的情況,用戶在不清楚官網網址的情況下,僅憑網站的展示頁面很難判斷出這是不是個釣魚網站,並且釣魚網站在 Google Ads 推廣功能中可以自定義 ad 展示的 URL,在 Sponsored 中展示的 URL 可能和官方的 URL 完全一致,但是用戶點擊 ad 的 URL 會跳轉到攻擊者構建的釣魚網站中。由於攻擊者製作出的釣魚網站與真官方網站極為相似,可以以假亂真,因此不建議用戶直接通過搜索引擎找官網,這樣很有可能會進到釣魚網站。

TG 廣告
近期因為假冒的 TG Bot 而受損的用戶大幅增加,多位用戶報告在使用交易機器人時,頻道頂部出現了一個新的機器人,以為是官方新推出的,於是點進新機器人導入私鑰綁定錢包,結果被盜。攻擊者利用 Telegram 精準投放廣告至官方的頻道,引誘用戶點擊。這類釣魚手法隱蔽性較高,由於這個廣告出現在官方頻道,用戶很容易下意識認為是官方發佈的機器人,一旦警惕性不夠,點進了釣魚 Bot,上傳私鑰進行綁定,便會被盜。

此外,我們近期還披露了一種新型手法|Telegram 假 Safeguard 騙局,不少用戶因為按照攻擊者的教程運行了惡意代碼導致被盜。

APP 商城
應用商城(Google Play,Chrome Store,App Store,APKCombo 等)上的軟件並不都是正版,很多時候商城沒有辦法對軟件進行完全的審核。一些攻擊者通過購買關鍵詞排名引流等方式誘導用戶下載欺詐 App,請廣大讀者注意甄別,在下載前,一定要先查看應用開發者信息,確保其與官方公佈的開發者身份一致,還可以參考應用評分、下載量等信息。

釣魚郵件
郵件釣魚是最經典的套路,可以說是“樸實無華”,攻擊者使用釣魚模板,再加上 Evilngins 反向代理,就可以構建類似下圖中的郵件:用戶點擊“VIEW THE DOCUMENT”後,便會跳轉到虛假的 DocuSign 界面(現已無法打開),隨後如果用戶在該界面點擊谷歌登錄,便會跳轉到被反向代理的谷歌登錄窗口,一旦輸入賬號、密碼、2FA,賬號便被攻擊者接管。

上圖中的釣魚郵件顯然處理得不夠精細,因為發送方的郵箱地址並未進行偽裝,我們看下圖中的攻擊者是如何偽裝的:攻擊者的郵箱地址僅比官方的地址多了個小點,攻擊者通過 DNSTwist 可以找到 Gmail 支持的特殊字符,不仔細看的話還以為是電腦屏幕不乾淨。

利用瀏覽器特性
詳情見慢霧:揭露瀏覽器惡意書籤如何盜取你的 Discord Token

防禦挑戰

攻擊者的手段在不斷進化,整體上往精細化,模板化的方向發展。此前我們分析發現,攻擊者不但能夠製造出與知名項目方官網高度相似的網頁和接管項目方的域名,還出現了一整套項目都是虛構的情況,虛假項目不但在社交媒體上有著眾多粉絲(買的),甚至還有 GitHub 倉庫,這給用戶識別釣魚威脅帶來了更大的挑戰。此外,攻擊者對匿名工具的熟練運用也使得追蹤他們的痕跡變得更為困難複雜。攻擊者為隱匿身份,常使用 VPN、Tor、甚至控制被黑的主機實施惡意行為。

有了匿名身份後,攻擊者為構建釣魚網絡,還需要採購基礎服務設施,如 Namecheap,支持加密貨幣付款,有些服務僅需一個郵箱便可註冊,無需 KYC 驗證,攻擊者也就能避免身份被追蹤到。

在上述基礎準備好後,攻擊者便可發動釣魚攻擊。獲利後的資金再利用 Wasabi、Tornado 等服務混淆資金路徑。為進一步增強匿名性,還可能將資金再換為門羅幣等具有高度匿名性的加密貨幣。

為避免留下樣本和證據,攻擊者會掃清痕跡,刪除相關域名解析、惡意程序、GitHub 倉庫、平臺賬號等,這也就導致安全人員在分析事故時常碰見釣魚網站已經打不開,惡意程序已無法下載的情況,增加了分析和追蹤難度。

防禦策略

用戶可以根據上圖中的特徵來識別釣魚威脅,並掌握驗證信息真偽的基本方式,還可以使用一些防禦工具提高防釣魚能力:

  • 釣魚風險阻斷插件:如 Scam Sniffer 可以多維度檢測風險,用戶在打開可疑的釣魚頁面時,工具會及時彈出風險提示。
  • 交互安全性高的錢包:如 Rabby 的觀察錢包(無需私鑰)、釣魚網站識別、所見即所籤、高風險簽名識別、歷史記錄 Scam 識別等功能。
  • 國際知名殺毒軟件:如 AVG、Bitdefender、Kaspersky 等。
  • 硬件錢包:硬件錢包提供了一種離線存儲私鑰的方式,使用硬件錢包和 DApp 進行交互的時候,私鑰不會暴露在網上,有效降低資產被盜風險。

寫在最後

在區塊鏈黑暗森林中,釣魚攻擊無處不在。修行就在起心動念處,需要看好自己的心念,避免於境“起心動念”而不自覺。行走於區塊鏈黑暗森林,最根本的是要養成保持零信任和持續驗證的習慣,建議大家深度閱讀並逐步掌握《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/。

聲明:

  1. 本文轉載自【慢霧科技)】,著作權歸屬原作者【慢霧安全團隊】,如對轉載有異議,請聯繫 Gate Learn 團隊,團隊會根據相關流程儘速處理。
  2. 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
  3. 文章其他語言版本由 Gate Learn 團隊翻譯, 除非另有說明,否則不得複製、傳播或抄襲經翻譯文章。
* 投資有風險,入市須謹慎。本文不作為 Gate.io 提供的投資理財建議或其他任何類型的建議。
* 在未提及 Gate.io 的情況下,複製、傳播或抄襲本文將違反《版權法》,Gate.io 有權追究其法律責任。

分享

目錄

為什麼會被釣魚

釣魚手段

防禦挑戰

防禦策略

慢霧:Web3 釣魚手法解析

中級2/10/2025, 1:29:22 PM
本文探討了 Web3 領域的釣魚威脅,攻擊者利用假賬號、搜索引擎廣告、TG 機器人、釣魚郵件等手法,結合貪婪、恐懼等心理,誘騙用戶洩露私鑰或授權交易,從而竊取資產。
安全

為什麼會被釣魚

釣魚手段

防禦挑戰

防禦策略

背景
近期,慢霧(SlowMist) 受邀參加 DeFiHackLabs 舉辦的 Ethereum Web3 Security BootCamp。作為演講嘉賓,慢霧安全審計負責人 Thinking 從“偽、餌、誘、攻、隱、技、辨、御”八個章節,結合實際案例,帶領學員深入瞭解釣魚黑客的作惡方式及隱匿手段,並提出了相關防範措施。釣魚是行業重災區之一,知己知彼,才好做好防禦工作。本文將提取分享會中的關鍵內容,幫助用戶瞭解釣魚攻擊的現狀和有效規避釣魚攻擊威脅。

為什麼會被釣魚

Web3 世界中,釣魚攻擊已成為主要的安全威脅之一。我們先來看下,用戶為什麼會被釣魚。其實,即使安全意識較高的用戶有時也會發出“常在河邊走,哪有不溼鞋”的感概,畢竟一直保持最高警惕性是很難做到的。攻擊者通過分析近期熱點項目及社區活躍情況、用戶規模等因素,選擇高關注度的目標並精心偽裝,再通過空投、高收益等誘餌吸引用戶上鉤。這些攻擊手法通常伴隨社會工程學,攻擊者十分善於利用用戶心理實現詐騙目標:

  • 利誘:Airdrop 資格白名單,挖頭礦,財富密碼等。
  • 好奇/貪婪:無懼賣飛的逃頂策略,不容錯過潛在 100 倍幣,今晚 10 點不見不散,會議鏈接 https://us04-zoom[.]us/(惡意);$PENGU 空投白名單不容錯過,https://vote-pengu[.]com/(惡意)。
  • 恐懼:緊急告警:XX 項目被黑,請使用 revake[.]cash(惡意)取消授權,避免資金損失。
  • 高效工具:薅空投工具,AI 量化工具,一鍵挖礦薅羊毛等。

攻擊者費功夫製造並投放誘餌無非是因為有利可圖,通過以上手段,攻擊者便能輕鬆獲取用戶的敏感信息/權限,進而盜取用戶資產:

  • 盜取助記詞/私鑰:欺騙用戶輸入助記詞或私鑰。
  • 欺騙用戶使用錢包簽名:授權簽名,轉賬簽名等。
  • 盜取賬號密碼:Telegram,Gmail,X,Discord 等。
  • 盜取社交應用權限:X,Discord 等。
  • 誘導安裝惡意程序:假錢包 APP,假社交 APP,假會議 APP 等。

釣魚手段

接下來,我們看看常見的釣魚手段有哪些:
盜取賬號/高仿賬號
近期 Web3 項目方/KOL 的 X 賬號被盜事件頻發,攻擊者盜取賬號後常推廣虛假代幣,或是在發佈的“好消息”裡構建相似的域名誘騙用戶點擊。當然,也存在域名是真實的情況,因為攻擊者可能接管了項目方的域名。一旦受害者點進釣魚鏈接,進行簽名或者下載惡意軟件,便會被盜。

除了盜取賬號的方式,攻擊者在 X 上還常利用高仿的賬號在真實賬號的評論區留言以誘導用戶。慢霧安全團隊曾做過針對性的分析統計:約有 80% 的知名項目方在發佈推文後,評論區的第一條留言會被詐騙釣魚賬號所佔據。攻擊者利用自動化機器人關注知名項目方動態,在項目方發佈推文後,釣魚團伙的機器人會自動化第一時間留言以確保佔據第一條留言位置,蹭到高瀏覽量。由於用戶正在瀏覽的帖子是真實項目方發送的,且經過偽裝後的釣魚團伙賬號和項目方的賬號高度相似,這時只要用戶警惕性不夠,點擊高仿賬號裡空投等名義的釣魚鏈接,然後授權、簽名,便會損失資產。

攻擊者還會冒充管理員發佈假消息,尤其是在 Discord 上這種現象更為常見。Discord 支持用戶自定義暱稱和用戶名,於是攻擊者將頭像和暱稱改成與管理員一致的,然後在頻道內發佈釣魚信息或者私信用戶,用戶不點開賬號的資料查看用戶名的話,很難發現問題。此外,雖然 Discord 用戶名不可重複,但攻擊者可以使用與管理員用戶名高度相似的名字,比如僅在用戶名中多添加個下劃線或者一個英文句號,使得用戶難辨真假。

邀約釣魚
攻擊者常通過和受害者在社交平臺建立聯繫,向用戶推薦“優質”項目或者邀請用戶參加會議,引導受害者訪問惡意的釣魚站點,下載惡意的應用程序,此前便有用戶因為下載了假 Zoom 導致被盜的情況。攻擊者使用形如“app[.]us4zoom[.]us”的域名偽裝成正常 Zoom 會議鏈接,頁面與真 Zoom 高度相似。當用戶點擊“啟動會議”按鈕,便會觸發下載惡意安裝包,而非啟動本地 Zoom 客戶端或下載 Zoom 的官方客戶端。由於惡意程序在運行時就誘導用戶輸入密碼,並且後續的惡意腳本也會採集電腦中插件錢包數據和 KeyChain 數據(可能包含用戶保存在電腦上的各種密碼),攻擊者收集後就會嘗試解密數據,獲得用戶的錢包助記詞/私鑰等敏感信息,從而盜取用戶的資產。

利用搜索引擎排名
由於搜索引擎的排名結果可以通過購買 ad 推廣來提升,這也就導致釣魚網站排名可能還比真官網靠前的情況,用戶在不清楚官網網址的情況下,僅憑網站的展示頁面很難判斷出這是不是個釣魚網站,並且釣魚網站在 Google Ads 推廣功能中可以自定義 ad 展示的 URL,在 Sponsored 中展示的 URL 可能和官方的 URL 完全一致,但是用戶點擊 ad 的 URL 會跳轉到攻擊者構建的釣魚網站中。由於攻擊者製作出的釣魚網站與真官方網站極為相似,可以以假亂真,因此不建議用戶直接通過搜索引擎找官網,這樣很有可能會進到釣魚網站。

TG 廣告
近期因為假冒的 TG Bot 而受損的用戶大幅增加,多位用戶報告在使用交易機器人時,頻道頂部出現了一個新的機器人,以為是官方新推出的,於是點進新機器人導入私鑰綁定錢包,結果被盜。攻擊者利用 Telegram 精準投放廣告至官方的頻道,引誘用戶點擊。這類釣魚手法隱蔽性較高,由於這個廣告出現在官方頻道,用戶很容易下意識認為是官方發佈的機器人,一旦警惕性不夠,點進了釣魚 Bot,上傳私鑰進行綁定,便會被盜。

此外,我們近期還披露了一種新型手法|Telegram 假 Safeguard 騙局,不少用戶因為按照攻擊者的教程運行了惡意代碼導致被盜。

APP 商城
應用商城(Google Play,Chrome Store,App Store,APKCombo 等)上的軟件並不都是正版,很多時候商城沒有辦法對軟件進行完全的審核。一些攻擊者通過購買關鍵詞排名引流等方式誘導用戶下載欺詐 App,請廣大讀者注意甄別,在下載前,一定要先查看應用開發者信息,確保其與官方公佈的開發者身份一致,還可以參考應用評分、下載量等信息。

釣魚郵件
郵件釣魚是最經典的套路,可以說是“樸實無華”,攻擊者使用釣魚模板,再加上 Evilngins 反向代理,就可以構建類似下圖中的郵件:用戶點擊“VIEW THE DOCUMENT”後,便會跳轉到虛假的 DocuSign 界面(現已無法打開),隨後如果用戶在該界面點擊谷歌登錄,便會跳轉到被反向代理的谷歌登錄窗口,一旦輸入賬號、密碼、2FA,賬號便被攻擊者接管。

上圖中的釣魚郵件顯然處理得不夠精細,因為發送方的郵箱地址並未進行偽裝,我們看下圖中的攻擊者是如何偽裝的:攻擊者的郵箱地址僅比官方的地址多了個小點,攻擊者通過 DNSTwist 可以找到 Gmail 支持的特殊字符,不仔細看的話還以為是電腦屏幕不乾淨。

利用瀏覽器特性
詳情見慢霧:揭露瀏覽器惡意書籤如何盜取你的 Discord Token

防禦挑戰

攻擊者的手段在不斷進化,整體上往精細化,模板化的方向發展。此前我們分析發現,攻擊者不但能夠製造出與知名項目方官網高度相似的網頁和接管項目方的域名,還出現了一整套項目都是虛構的情況,虛假項目不但在社交媒體上有著眾多粉絲(買的),甚至還有 GitHub 倉庫,這給用戶識別釣魚威脅帶來了更大的挑戰。此外,攻擊者對匿名工具的熟練運用也使得追蹤他們的痕跡變得更為困難複雜。攻擊者為隱匿身份,常使用 VPN、Tor、甚至控制被黑的主機實施惡意行為。

有了匿名身份後,攻擊者為構建釣魚網絡,還需要採購基礎服務設施,如 Namecheap,支持加密貨幣付款,有些服務僅需一個郵箱便可註冊,無需 KYC 驗證,攻擊者也就能避免身份被追蹤到。

在上述基礎準備好後,攻擊者便可發動釣魚攻擊。獲利後的資金再利用 Wasabi、Tornado 等服務混淆資金路徑。為進一步增強匿名性,還可能將資金再換為門羅幣等具有高度匿名性的加密貨幣。

為避免留下樣本和證據,攻擊者會掃清痕跡,刪除相關域名解析、惡意程序、GitHub 倉庫、平臺賬號等,這也就導致安全人員在分析事故時常碰見釣魚網站已經打不開,惡意程序已無法下載的情況,增加了分析和追蹤難度。

防禦策略

用戶可以根據上圖中的特徵來識別釣魚威脅,並掌握驗證信息真偽的基本方式,還可以使用一些防禦工具提高防釣魚能力:

  • 釣魚風險阻斷插件:如 Scam Sniffer 可以多維度檢測風險,用戶在打開可疑的釣魚頁面時,工具會及時彈出風險提示。
  • 交互安全性高的錢包:如 Rabby 的觀察錢包(無需私鑰)、釣魚網站識別、所見即所籤、高風險簽名識別、歷史記錄 Scam 識別等功能。
  • 國際知名殺毒軟件:如 AVG、Bitdefender、Kaspersky 等。
  • 硬件錢包:硬件錢包提供了一種離線存儲私鑰的方式,使用硬件錢包和 DApp 進行交互的時候,私鑰不會暴露在網上,有效降低資產被盜風險。

寫在最後

在區塊鏈黑暗森林中,釣魚攻擊無處不在。修行就在起心動念處,需要看好自己的心念,避免於境“起心動念”而不自覺。行走於區塊鏈黑暗森林,最根本的是要養成保持零信任和持續驗證的習慣,建議大家深度閱讀並逐步掌握《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/。

聲明:

  1. 本文轉載自【慢霧科技)】,著作權歸屬原作者【慢霧安全團隊】,如對轉載有異議,請聯繫 Gate Learn 團隊,團隊會根據相關流程儘速處理。
  2. 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
  3. 文章其他語言版本由 Gate Learn 團隊翻譯, 除非另有說明,否則不得複製、傳播或抄襲經翻譯文章。
* 投資有風險,入市須謹慎。本文不作為 Gate.io 提供的投資理財建議或其他任何類型的建議。
* 在未提及 Gate.io 的情況下,複製、傳播或抄襲本文將違反《版權法》,Gate.io 有權追究其法律責任。
即刻開始交易
註冊並交易即可獲得
$100
和價值
$5500
理財體驗金獎勵!