Slow Mist: Phân tích kỹ thuật lừa đảo Web3

Tiêu đề gốc: "SlowMist: Phân tích kỹ thuật lừa đảo Web3"
Nguồn gốc: Nhóm bảo mật SlowMist

Gần đây, SlowMist đã bị ảnh hưởng bởi Lời mời tham gia tham dự Ethereum Web3 Security BootCamp do DeFiHackLabs tổ chức. Với tư cách là diễn giả khách mời, Thought, trưởng nhóm kiểm tra bảo mật SlowMist, đã hướng dẫn các sinh viên hiểu sâu về các thủ đoạn xấu xa và các phương pháp che giấu của tin tặc lừa đảo qua tám chương "Hàng giả, Mồi, Lure, Tấn công, Che giấu, Công nghệ, phân biệt đối xử và kiểm soát" kết hợp với các vụ việc thực tế và đưa ra các biện pháp phòng ngừa phù hợp. Câu cá là một trong những lĩnh vực bị ảnh hưởng nặng nề nhất trong ngành. Chỉ khi hiểu rõ bản thân và kẻ thù, bạn mới có thể làm tốt công việc phòng thủ. Bài viết này sẽ trích xuất nội dung chính từ buổi chia sẻ để giúp người dùng hiểu được hiện trạng các cuộc tấn công lừa đảo và tránh các mối đe dọa tấn công lừa đảo một cách hiệu quả.

Tại sao tôi bị lừa đảo

Trong thế giới Web3, các cuộc tấn công lừa đảo đã trở thành một trong những mối đe dọa bảo mật lớn. Trước tiên hãy xem lý do tại sao người dùng bị lừa đảo. Trên thực tế, ngay cả những người dùng có ý thức an toàn cao đôi khi cũng bày tỏ cảm giác “nếu thường xuyên đi bộ ven sông, giày của bạn sẽ không bị ướt, khó có thể duy trì mức độ cảnh giác cao nhất”. Bằng cách phân tích các dự án hấp dẫn gần đây, hoạt động cộng đồng, quy mô người dùng và các yếu tố khác, kẻ tấn công chọn các mục tiêu nổi bật và cẩn thận ngụy trang chúng, sau đó sử dụng mồi như airdrop và lợi nhuận cao để thu hút người dùng. Các phương thức tấn công này thường đi kèm với kỹ thuật lừa đảo xã hội và những kẻ tấn công rất giỏi sử dụng tâm lý người dùng để đạt được mục tiêu lừa đảo:

·  Xúc giục:Danh sách trắng đủ tiêu chuẩn Airdrop, khai thác đầu người, mật khẩu tài sản, v.v.

·  Tò mò/Tham lam:Chiến lược thoát khỏi top mà không sợ bán khống, đừng bỏ lỡ tiềm năng gấp 100 lần tiền tệ, hẹn gặp lại lúc 10 giờ giờ tối nay, link hội nghị https:// /us04-zoom[.]us/ (độc hại); không thể bỏ qua danh sách trắng airdrop $PENGU, https://vote-pengu[.]com/ (độc hại).

·  Sợ hãi:Cảnh báo khẩn cấp: Dự án XX đã bị hack, vui lòng sử dụng revake[.]cash (độc hại) để hủy ủy quyền nhằm tránh mất tiền.

·  Công cụ hiệu quả: công cụ airdrop, công cụ định lượng AI, khai thác bằng một cú nhấp chuột, v.v.

Lý do khiến kẻ tấn công tốn nhiều thời gian để tạo và đặt mồi là vì nó mang lại lợi nhuận. Thông qua các phương pháp trên, kẻ tấn công có thể dễ dàng lấy được thông tin/quyền nhạy cảm của người dùng. , rồi đánh cắp tài sản của người dùng:

·  Đánh cắp cụm từ ghi nhớ/khóa riêng:Lừa người dùng nhập cụm từ ghi nhớ hoặc khóa riêng.

·  Lừa dối người dùng sử dụng chữ ký ví: chữ ký ủy quyền, chữ ký chuyển khoản, v.v.

·  Đánh cắp mật khẩu tài khoản:Telegram, Gmail, X, Discord, v.v.

·  Đánh cắp quyền của ứng dụng xã hội:X, Discord, v.v.

·  Xúi giục cài đặt các chương trình độc hại:APP ví giả, APP xã hội giả mạo, APP hội nghị giả mạo, v.v.

Các phương thức lừa đảo

Tiếp theo, chúng ta hãy xem các phương thức lừa đảo phổ biến:

Trộm cắp tài khoản/tài khoản giả mạo cao

Phát triển dự án Web3 gần đây /Tài khoản X của KOL thường xuyên bị đánh cắp. Sau khi đánh cắp tài khoản, những kẻ tấn công thường quảng bá token giả hoặc dựng các tên miền tương tự trong các “tin vui” được tung ra để lừa người dùng nhấp vào. Tất nhiên, cũng có trường hợp tên miền là thật vì kẻ tấn công có thể đã chiếm lấy tên miền của dự án. Khi nạn nhân nhấp vào liên kết lừa đảo, ký tên hoặc tải xuống phần mềm độc hại, nó sẽ bị đánh cắp.

Ngoài việc đánh cắp tài khoản, kẻ tấn công thường sử dụng tài khoản giả trên X để để lại tin nhắn trong khu vực bình luận của tài khoản thật nhằm dụ dỗ người dùng. Nhóm bảo mật SlowMist đã tiến hành phân tích và thống kê có mục tiêu: sau khi khoảng 80% các bên tham gia dự án nổi tiếng đăng tweet, tin nhắn đầu tiên trong khu vực bình luận sẽ bị chiếm giữ bởi các tài khoản lừa đảo lừa đảo. Những kẻ tấn công sử dụng robot tự động để theo dõi tin tức của các bên dự án nổi tiếng. Sau khi bên dự án đăng một tweet, robot của nhóm lừa đảo sẽ tự động để lại tin nhắn càng sớm càng tốt để đảm bảo rằng nó chiếm vị trí tin nhắn đầu tiên và có lượt xem cao. Vì bài đăng mà người dùng đang duyệt được gửi bởi bên dự án thực và tài khoản nhóm lừa đảo trá hình rất giống với tài khoản của bên dự án, miễn là người dùng không đủ cảnh giác, hãy nhấp vào liên kết lừa đảo trong tài khoản giả mạo với tên của airdrop, v.v., sau đó nếu bạn ủy quyền và ký tên, bạn sẽ mất tài sản.

Những kẻ tấn công cũng giả danh quản trị viên và đăng các tin nhắn giả mạo, đặc biệt là trong Discord This hiện tượng phổ biến hơn. Discord hỗ trợ người dùng tùy chỉnh biệt danh và tên người dùng nên kẻ tấn công thay đổi hình đại diện và biệt danh để phù hợp với quản trị viên, sau đó đăng tin nhắn lừa đảo trong kênh hoặc tin nhắn riêng tư tới người dùng. Người dùng khó có thể kiểm tra tên người dùng nếu không có. nhấp vào hồ sơ tài khoản. Tìm vấn đề. Ngoài ra, mặc dù tên người dùng Discord không thể lặp lại nhưng kẻ tấn công có thể sử dụng những tên rất giống với tên người dùng của quản trị viên, chẳng hạn như chỉ thêm dấu gạch dưới hoặc dấu chấm tiếng Anh vào tên người dùng, khiến người dùng khó phân biệt tính xác thực.

Mời đi câu cá

Những kẻ tấn công thường thiết lập liên hệ với nạn nhân trên nền tảng xã hội, giới thiệu các dự án "chất lượng cao" cho người dùng hoặc mời người dùng tham dự các cuộc họp, dẫn dắt nạn nhân truy cập các trang web lừa đảo độc hại và tải xuống các ứng dụng độc hại. người dùng đã tải Zoom giả và video của họ đã bị đánh cắp. Kẻ tấn công sử dụng tên miền ở dạng "app[.]us4zoom[.]us" để ngụy trang nó thành một liên kết cuộc họp Zoom thông thường. Trang này rất giống với Zoom thực. Khi người dùng nhấp vào nút "Bắt đầu cuộc họp", nó sẽ kích hoạt tải xuống gói cài đặt độc hại thay vì khởi động ứng dụng khách Zoom cục bộ hoặc tải xuống ứng dụng khách Zoom chính thức. Vì chương trình độc hại khiến người dùng nhập mật khẩu khi chạy và các tập lệnh độc hại tiếp theo cũng sẽ thu thập dữ liệu ví plug-in và dữ liệu KeyChain trên máy tính (có thể bao gồm nhiều mật khẩu khác nhau được người dùng lưu trên máy tính), kẻ tấn công sẽ cố gắng giải mã. chúng sau khi thu thập Dữ liệu, lấy cụm từ ghi nhớ/khóa riêng của người dùng và các thông tin nhạy cảm khác, từ đó đánh cắp tài sản của người dùng.

Sử dụng thứ hạng của công cụ tìm kiếm

Bởi vì kết quả xếp hạng của công cụ tìm kiếm có thể được mua bằng cách mua quảng cáo Điều này dẫn đến tình trạng trang web lừa đảo có thể được xếp hạng cao hơn trang web chính thức thực sự nếu người dùng không biết địa chỉ trang web chính thức thì rất khó để đánh giá đó có phải là trang web lừa đảo hay không nếu chỉ dựa vào trang hiển thị của trang web. và các Trang web lừa đảo có thể tùy chỉnh URL để hiển thị quảng cáo trong chức năng quảng cáo của Google Ads. URL hiển thị trong Được tài trợ có thể giống hệt với URL chính thức, nhưng người dùng nhấp vào URL quảng cáo sẽ chuyển đến trang web lừa đảo do kẻ tấn công tạo ra. . Vì trang web lừa đảo do kẻ tấn công tạo ra rất giống với trang web chính thức thực sự và có thể bị nhầm lẫn với trang web thật nên người dùng không nên trực tiếp tìm kiếm trang web chính thức thông qua các công cụ tìm kiếm, vì điều này có thể dẫn đến lừa đảo trang web.

Quảng cáo TG

Gần đây do TG Bot giả mạo Số lượng người dùng bị thiệt hại đã tăng lên đáng kể. Nhiều người dùng báo cáo rằng khi sử dụng robot giao dịch, một robot mới xuất hiện ở đầu kênh. Họ tưởng đây là sản phẩm mới ra mắt chính thức nên đã nhấp vào robot mới để nhập khóa riêng. để ràng buộc chiếc ví nhưng nó đã bị đánh cắp. Những kẻ tấn công sử dụng Telegram để đặt quảng cáo chính xác trên các kênh chính thức nhằm thu hút người dùng nhấp chuột. Loại phương thức lừa đảo này được che giấu rất kỹ vì quảng cáo này xuất hiện trên kênh chính thức nên trong tiềm thức người dùng có thể dễ dàng nghĩ rằng đó là một bot được phát hành chính thức. Một khi họ không đủ cảnh giác và nhấp vào bot lừa đảo, hãy tải lên khóa riêng để ràng buộc. , nó sẽ bị đánh cắp.

Ngoài ra, gần đây chúng tôi đã tiết lộ một phương thức mới | Telegram giả mạo Safeguard lừa đảo, nhiều người dùng bị đánh cắp vì chạy mã độc theo hướng dẫn của kẻ tấn công.

Trung tâm mua sắm APP

Không phải tất cả phần mềm trên các trung tâm ứng dụng (Google Play, Chrome Store, App Store, APKCombo, v.v.) đều là chính hãng và nhiều khi trung tâm thương mại không có cách nào đánh giá đầy đủ phần mềm. Một số kẻ tấn công khuyến khích người dùng tải xuống ứng dụng gian lận bằng cách mua thứ hạng từ khóa và các phương pháp khác. Bạn nên chú ý sàng lọc trước khi tải xuống, hãy nhớ kiểm tra thông tin của nhà phát triển ứng dụng để đảm bảo rằng thông tin đó phù hợp với danh tính nhà phát triển chính thức. cũng tham khảo xếp hạng ứng dụng, lượt tải xuống và thông tin khác.

Email lừa đảo

Email lừa đảo là thủ đoạn kinh điển nhất, có thể nói là "khiêm tốn". Kẻ tấn công sử dụng các mẫu lừa đảo và thêm proxy ngược của Evilngins để xây dựng một email tương tự như email dưới đây: người dùng nhấp vào "XEM TÀI LIỆU", nó sẽ chuyển sang giao diện DocuSign giả mạo (hiện không thể mở được). Sau đó, nếu người dùng nhấp vào đăng nhập Google trên giao diện này, nó sẽ chuyển sang cửa sổ đăng nhập Google proxy ngược. Sau khi nhập số tài khoản, mật khẩu, 2FA , tài khoản sẽ bị kẻ tấn công chiếm đoạt.

Email lừa đảo trong hình trên rõ ràng là không được xử lý đủ cẩn thận, vì địa chỉ email của người gửi không được ngụy trang. Hãy xem kẻ tấn công ngụy trang như thế nào trong hình bên dưới: địa chỉ email của kẻ tấn công chỉ hơn địa chỉ chính thức. Một lưu ý nhỏ là kẻ tấn công đã sử dụng DNSTwist Bạn có thể tìm thấy các ký tự đặc biệt được Gmail hỗ trợ. Nếu không nhìn kỹ, bạn có thể cho rằng màn hình máy tính bị bẩn.

Sử dụng các tính năng của trình duyệt

Để biết chi tiết, hãy xem Sương mù chậm: Tiết lộ cách dấu trang của trình duyệt độc hại đánh cắp mã thông báo Discord của bạn.

Thử thách phòng thủ

Các phương thức của kẻ tấn công không ngừng phát triển và nhìn chung đang phát triển theo hướng sàng lọc và mẫu. Phân tích trước đây của chúng tôi cho thấy những kẻ tấn công không chỉ có thể tạo các trang web rất giống với các trang web chính thức của các bên dự án nổi tiếng và chiếm lấy tên miền của các bên dự án mà còn có cả một loạt các dự án hư cấu. các dự án giả mạo không chỉ có nhiều người hâm mộ trên mạng xã hội ( (đã mua) và thậm chí cả kho lưu trữ GitHub, điều này đặt ra thách thức lớn hơn cho người dùng trong việc xác định các mối đe dọa lừa đảo. Ngoài ra, việc kẻ tấn công sử dụng các công cụ ẩn danh một cách tinh vi khiến việc theo dõi dấu vết của chúng trở nên khó khăn và phức tạp hơn. Để che giấu danh tính, những kẻ tấn công thường sử dụng VPN, Tor hoặc thậm chí kiểm soát các máy chủ bị hack để thực hiện các hành vi độc hại.

Sau khi có danh tính ẩn danh, kẻ tấn công cũng cần Mua sắm các cơ sở dịch vụ cơ sở hạ tầng , chẳng hạn như Namecheap, hỗ trợ thanh toán bằng tiền điện tử. Một số dịch vụ chỉ yêu cầu địa chỉ email để đăng ký mà không cần xác minh KYC và những kẻ tấn công có thể tránh bị truy tìm danh tính.

Sau khi chuẩn bị xong những điều cơ bản trên, kẻ tấn công có thể thực hiện một cuộc tấn công lừa đảo. Sau khi kiếm được lợi nhuận, các quỹ này sẽ sử dụng các dịch vụ như Wasabi và Tornado để làm xáo trộn đường dẫn vốn. Để nâng cao hơn nữa tính ẩn danh, tiền cũng có thể được đổi lấy các loại tiền điện tử có tính ẩn danh cao như Monero.

Để tránh để lại mẫu và bằng chứng, kẻ tấn công sẽ quét sạch dấu vết, xóa liên quan phân giải tên miền, chương trình độc hại, kho GitHub, tài khoản nền tảng, v.v. Điều này cũng dẫn đến việc nhân viên bảo mật thường gặp phải tình huống không thể mở được trang web lừa đảo và không thể tải xuống chương trình độc hại khi phân tích sự cố, khiến việc phân tích và theo dõi trở nên khó khăn hơn.

Chiến lược phòng thủ

Người dùng có thể xác định các mối đe dọa lừa đảo dựa trên các đặc điểm trong hình trên và nắm vững các phương pháp cơ bản để xác minh tính xác thực của thông tin. Họ cũng có thể sử dụng một số công cụ phòng thủ để cải thiện khả năng chống lừa đảo của mình:

·  plugin chặn rủi ro lừa đảo:Ví dụ: Scam Sniffer có thể phát hiện rủi ro ở nhiều khía cạnh. Khi người dùng mở một trang lừa đảo đáng ngờ, công cụ này sẽ kịp thời bật lên lời nhắc về rủi ro.

·  Các ví có tính bảo mật tương tác cao:chẳng hạn như ví quan sát của Rabby (không cần khóa riêng), nhận dạng trang web lừa đảo, những gì bạn thấy chính là những gì bạn ký, rủi ro cao nhận dạng chữ ký, nhận dạng Lừa đảo trong lịch sử và các chức năng khác.

·  Phần mềm diệt virus nổi tiếng thế giới: chẳng hạn như AVG, Bitdefender, Kaspersky, v.v.

·  Ví phần cứng:Ví phần cứng cung cấp cách lưu trữ khóa riêng tư ngoại tuyến. Khi sử dụng ví phần cứng để tương tác với DApp, khóa riêng tư sẽ không bị lộ trực tuyến, giúp giảm thiểu rủi ro tài sản một cách hiệu quả. của trộm cắp.

Viết ở cuối

Trong khu rừng đen tối của blockchain, các cuộc tấn công lừa đảo diễn ra ở khắp mọi nơi. Tu luyện nằm ở nơi tư tưởng khởi lên, bạn cần chăm sóc tốt cho tư tưởng của mình và tránh những tình huống tư tưởng khởi lên mà không nhận ra. Khi đi trong khu rừng tối blockchain, điều cơ bản nhất là phát triển thói quen duy trì độ tin cậy bằng 0 và xác minh liên tục. Mọi người nên đọc sâu và dần dần nắm vững "Sách hướng dẫn tự giải cứu khu rừng tối Blockchain".

Do giới hạn về không gian nên bài viết này chỉ giới thiệu nội dung chính của buổi chia sẻ, Gần 70 trang PPT hiện được công khai.

Liên kết gốc