近期,欧科云链发布2024年3月安全月报,全网3月安全事件全网累计造成损失约 1.9亿美元。其中钓鱼事件损失占比为16.72%,远超过RugPull事件损失的9.64%,逐步开始成为黑客们最青睐的一种新型诈骗方式。
与此同时,Scam Sniffer发布3月份的网络钓鱼报告,其中加密领域网络钓鱼诈骗造成7100 万美元损失,比2月增加了50%。2024 年第一季度,网络钓鱼诈骗共造成1.73亿美元损失。此前Scam Sniffer报告称,2023年加密货币网络钓鱼攻击导致32.4万名用户损失近3亿美元。
那么,钓鱼攻击究竟是什么?近期有哪些项目被钓鱼攻击了?普通用户如何应对这些欺诈手段?下文将针对这些问题作对应解答。
“钓鱼”是一种针对加密用户的网络欺骗手段,该手段通过创建伪装成正式网站的假网站来窃取用户的授权、签名和加密资产。钓鱼攻击的路径大多为项目的官推被盗之后,黑客在其官推上发布具有诱导性的钓鱼链接,诱使用户点击链接、交互钱包之后直接窃取其资产。
简单来说,就是黑客盗取项目方或者KOL的推特账号,然后发布虚假的链接再配以诱导性的文字,用户出于对平台或KOL的信任以及利益诱惑,自然会点开迫切按照黑客的提示完成一系列操作,比如在虚假的网站上输入自己的私钥、密码或其他敏感信息。这些信息一旦被攻击者获取,用户的资产很快就会被盗走。毫无底线的窃取行为背后,暗藏着一条巨大的利益链条 — 钓鱼攻击软件提供商及其客户,也就是钓鱼攻击的发起者。
现在提起钓鱼攻击,很多从业者首先想到的就是诈骗团伙Pink Drainer。Pink Drainer团队因在推特和Discord等平台上的高调攻击而臭名昭著,涉及Evomos、Pika Protocol和Orbiter Finance等事件。
Pink Drainer可以向居心不良的攻击者提供一款恶意软件即服务(Malware-as-a-Service,MaaS),能够让对方快速建立恶意的钓鱼网址,通过该恶意软件获取非法资产。
区块链安全公司 Beosin 指出,该钓鱼网址使用一种加密钱包窃取工具,诱使用户签署请求。一旦请求被签署,攻击者将能够从受害者的钱包中转移 NFT 和 ERC-20代币。得手后,Pink Drainer会向攻击者收取被盗资产的30%作为费用。
Dune数据显示,截止到4月4日,Pink Drainer发起的钓鱼攻击已累计造成13415人受害,在全行业累计窃取金额高达5341万美元。
钓鱼攻击者的魔爪正伸向越来越多的项目方。
据欧科云链发布的2024年3月安全月报显示,当月官方社媒遭受诈骗与钓鱼事件共发生50起,主要集中在X、Discord 及各类钓鱼网站等渠道。本文为以后梳理了自开年以来部分遭遇钓鱼攻击的头部项目或机构:
1月5日,CertiK 推特账号短暂被盗;1月10日,SEC 推特账号被盗系关联电话号码被非法占用;1月26日,AltLayer 推特账号遭到攻击;1月29日,Masa推特账号疑似被盗并发布虚假空投链接;2月3日,Blockworks创始人推特账号疑似被盗;2月20日,ARPA官方推特账号被盗并发布虚假代币申领链接;3月6日,Aevo高仿推特账号发布的空投钓鱼链接;3月12日,beoble官方推特账号疑似被盗并发布虚假空投链接;3月15日,动视暴雪官方推特账号被盗;3月20日,硬件钱包Trezor推特账号被盗;3月23日,Cointelegraph推特账号疑似被盗。
这其中,最令人错愕的是身为行业权威安全机构的Certik账号被盗,组件欺诈分子的技术更新迭代速度之快。就在1月5日Certik账号被盗当日,攻击者用其账号发布了钓鱼链接,但幸好CertiK很快发现了漏洞,并在几分钟内删除了相关推文。事后Certik在社媒上表示,这是一起持续性地攻击。
同样是遭遇钓鱼攻击,并非所有人都像Certik这样幸运。首先是资产被盗的用户,他们无端承受巨额的资产损伤,却无处追讨,很多时候只能迁怒于项目方;同为受害者的项目方,大多数时候也陷入了百口莫辩的困境,在事发后需要同时启动赔偿手续、危机公关和技术维护等多重工作,这就给项目运营带来了巨大的损失。其中就有些项目方在遭受钓鱼攻击后,资产价格短时暴跌,比如:
3月6日,据 Scam Sniffer 监测,某用户在因网络钓鱼诈骗损失价值73.6万美元的PAAL资产后,PAAL价格在1个小时内的跌幅达到了7.96%。
从这一血淋淋的教训来看,如果任由钓鱼攻击泛滥,加密资产世界将陷入日益严峻的信任危机之中。
分析来看,钓鱼攻击具有很强的迷惑性和隐蔽性,事后受害者也很难追查躲在暗处的攻击者。
对于广大用户来说,我们需要时时刻刻对所有链接保持警惕,否则点击钓鱼链接并按照对方的要求进行操作,就是万劫不复的灾难。在无法确定一个链接是否是钓鱼攻击链接时,可以采取以下措施进行辨别和防范:
1、检查链接地址:钓鱼链接通常会模仿真实网站的URL,但仔细检查往往能发现细微差异。例如,冒牌网站的网址可能会在拼写上与正宗网站有所不同,或是使用类似的域名;
2、安全证书验证:查看网站是否具有有效的SSL证书。正规的网站会有安全的SSL加密,浏览器地址栏会显示“锁”图标。钓鱼网站往往没有这个安全证书;
3、域名解析检查:可以使用DNS查询工具检查域名解析,查看域名注册信息是否与声称的机构相符;
4、搜索引擎查询:通过搜索引擎查找该链接所声称的网站或机构,对比官方网站信息;
5、直接访问官方网站:如果怀疑是钓鱼链接,应直接输入官方网站地址进行访问,而不是通过链接点击进入;
6、联系官方确认:对于可疑的链接,最好直接联系官方网站的客服进行确认;
7、安全意识培养:用户应时刻保持高度的安全意识,不点击来历不明的链接,不随意提供个人私钥、密码等敏感信息;
8、使用安全软件:安装并使用专业的网络安全软件,这些软件可以检测并阻止钓鱼网站。
通过上述方法,加密资产圈的用户可以大大降低遭遇钓鱼攻击的风险,保护自己的资产安全。同时,广大的项目开发者也需要积极关注网络安全教育,提升自身的网络安全素养。
来源:金色财经