近期����,加密貨幣釣魚事件頻發(fā)���,造成損失無數(shù)�����。 2022 年10 月����,一個(gè)名為Monkey Drainer 的網(wǎng)絡(luò)釣魚詐騙組織竊取了價(jià)值數(shù)百萬美元的以太坊。網(wǎng)絡(luò)釣魚攻擊的類型多種多樣����,而且隨著技術(shù)的不斷發(fā)展,它們還可以承載多種惡意軟件和勒索軟件���,防不勝防�����。
一�����、什么是網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚(phishing,發(fā)音與英文單詞“fishing”相似)是指發(fā)送大量欺騙性垃圾郵件或IM 消息��,聲稱來自交易所或其他知名機(jī)構(gòu)����,目的是引誘收件人泄露敏感信息(例如用戶名、密碼��、帳戶ID、私鑰���、授權(quán)等)��。最典型的網(wǎng)絡(luò)釣魚攻擊將接收者引誘到精心設(shè)計(jì)的與目標(biāo)組織網(wǎng)站非常相似的釣魚網(wǎng)站��,并獲取接收者在該網(wǎng)站上輸入的敏感個(gè)人信息�。通常�,整個(gè)攻擊過程不容易被受害者察覺。
二����、網(wǎng)絡(luò)釣魚的類型
網(wǎng)絡(luò)釣魚攻擊可分為兩種類型:社會(huì)工程和漏洞利用。社會(huì)工程是基于受害者的欺騙和隨后的不當(dāng)行為�����,網(wǎng)絡(luò)用戶直接參與其中�����。
(相關(guān)資料圖)
社會(huì)工程調(diào)用方案主要包括以下四種攻擊方式:
(1)克隆釣魚:攻擊者會(huì)創(chuàng)建一個(gè)與官方網(wǎng)站名稱相似或頁面相似的假網(wǎng)站�����,并發(fā)布釣魚鏈接來欺騙用戶。
(2)社交網(wǎng)絡(luò)釣魚:黑客入侵知名人物賬戶�����,發(fā)布含有釣魚鏈接的帖子�,引導(dǎo)用戶點(diǎn)擊釣魚鏈接。
(3)有針對(duì)性的網(wǎng)絡(luò)釣魚:攻擊者主要針對(duì)一些大投資者和鯨魚賬戶�����。通過了解他們的動(dòng)態(tài)���,他們模仿并竊取他們?cè)谔摂M貨幣領(lǐng)域的關(guān)鍵數(shù)據(jù)��。
(4) 假錢包:攻擊者釋放假錢包���。假錢包啟動(dòng)后,惡意程序可以請(qǐng)求或獲取用戶的私鑰和錢包密碼��。
漏洞攻擊是利用漏洞和軟件架構(gòu)缺陷進(jìn)行攻擊的專業(yè)技術(shù)��。此類攻擊一般包括以下幾種攻擊方式:
(1) 基于DNS 劫持的網(wǎng)絡(luò)釣魚:攻擊者首先會(huì)創(chuàng)建一個(gè)惡意接入點(diǎn)��,并誘騙客戶端連接到運(yùn)行虛假DNS 服務(wù)器的接入點(diǎn)�����。該服務(wù)器將特定站點(diǎn)重定向到攻擊者的網(wǎng)絡(luò)釣魚服務(wù)器�。
(2) 會(huì)話劫持(cookie 劫持):這種攻擊基于使用有效會(huì)話(有時(shí)也稱為會(huì)話密鑰)來獲取對(duì)計(jì)算機(jī)系統(tǒng)上的信息或服務(wù)的未經(jīng)授權(quán)的訪問。特別是����,它用于表示用于對(duì)遠(yuǎn)程服務(wù)器上的用戶進(jìn)行身份驗(yàn)證的cookie 的盜竊。一種流行的方法是使用源路由IP 數(shù)據(jù)包�。 IP數(shù)據(jù)包經(jīng)過B的計(jì)算機(jī),這使得網(wǎng)絡(luò)上B點(diǎn)的攻擊者可以參與A和C之間的對(duì)話��。攻擊者可以在禁用原始路由的情況下盲目捕獲此信息�����,發(fā)送命令但看不到響應(yīng)來設(shè)置允許從網(wǎng)絡(luò)上其他地方訪問的密碼��。攻擊者還可以使用嗅探器程序來“監(jiān)視”A和C之間的對(duì)話��。這就是“中間人攻擊”����。
(3) 惡意軟件:當(dāng)使用基于惡意軟件的網(wǎng)絡(luò)釣魚時(shí),惡意軟件會(huì)將存儲(chǔ)在用戶計(jì)算機(jī)上的憑據(jù)發(fā)送給攻擊者�。
(4) 按鍵/屏幕記錄器:當(dāng)用戶從設(shè)備輸入信息時(shí)�����,虛擬鍵盤和觸摸屏向攻擊者發(fā)送屏幕截圖���。
三、Monkey Drainer釣魚方式分析
2023年2月21日���,發(fā)現(xiàn)一個(gè)釣魚網(wǎng)站:go-ethdenver[.]com���,這是一個(gè)假冒的ETHDenver網(wǎng)站。其釣魚地址0x69420e2b4EF22d935A4e2c194Bbf3A2F02F27BE1與Monkey Drainer有關(guān)�����。 go-ethdenver[.]com 通過偽造與官方域名高度相似的域名和內(nèi)容來竊取用戶錢包的內(nèi)容�。當(dāng)用戶連接錢包簽署惡意交易時(shí),它會(huì)要求用戶授權(quán)可以對(duì)錢包中的資產(chǎn)進(jìn)行操作的合約����。資產(chǎn)。
Monkey Drainer 的方法還不止于此��。 Monkey Drainer 劫持了Web3 游戲初創(chuàng)公司Restrict Break 首席執(zhí)行官Gabriel Leydon 的Twitter 帳戶����,并使用機(jī)器人發(fā)送垃圾郵件進(jìn)行網(wǎng)絡(luò)釣魚。通常這些網(wǎng)站的后端連接到Monkey Drainer 地址���。 Monkey Drainer 還參與了NFT 網(wǎng)絡(luò)釣魚詐騙�����。他們發(fā)布虛假的NFT Mint 網(wǎng)站來誘導(dǎo)用戶���,并在OpenSea、Rarible���、X2Y2 等市場(chǎng)上出售盜取的NFT���。此前,推特用戶@ssstafford發(fā)布的mechaapesnft[.]art網(wǎng)站是一個(gè)與Monkey Drainer相關(guān)的NFT釣魚網(wǎng)站��。通過域名查詢發(fā)現(xiàn)�����,該網(wǎng)站是四個(gè)月前注冊(cè)的���,目前已使用一年����。
以上幾種方式是最常見的釣魚方式,用戶很容易上當(dāng)受騙��。 ChainAegis調(diào)查發(fā)現(xiàn)���,這些釣魚網(wǎng)站主要來自假大V Twitter賬號(hào)和Discord服務(wù)器�。例如�����,airdrop[.]zskync[.]fi 是一個(gè)網(wǎng)絡(luò)釣魚空投��,來自Monkey Drainer 的假Twitter 帳戶(@zksync_io)��。此外�����,Monkey Drainer還偽造了@AptosFoundation����、@AptosLabs�����、@LayerZero_Labs等多個(gè)賬戶,這些賬戶均被用來推廣假冒釣魚網(wǎng)站�����。虛假空投通過谷歌廣告大規(guī)模推廣��,獲得用戶簽名后錢包內(nèi)資產(chǎn)將被轉(zhuǎn)移����。因此,謹(jǐn)防釣魚鏈接����,通常有以下幾種方式:
(一)經(jīng)常多角度、多渠道查看官方信息��,不要輕易相信“機(jī)器人”或所謂的“官方鏈接”���;
警惕直接消息:官方機(jī)器人不會(huì)要求在私信中進(jìn)行驗(yàn)證����;仔細(xì)檢查域名或合約地址,找到域名和合約創(chuàng)建時(shí)間�。 (4)項(xiàng)目組將盡量減少Discord中的機(jī)器人數(shù)量,避免假冒機(jī)器人誤導(dǎo)用戶的現(xiàn)象��。
四�����、Monkey Drainer鏈上行為分析
據(jù)ChainAegis鏈上數(shù)據(jù)顯示�,釣魚攻擊造成的財(cái)產(chǎn)損失不斷增加,鏈上釣魚交易活躍�。以0x6942為例,在鏈上進(jìn)行追蹤�����。進(jìn)一步發(fā)現(xiàn)�,該地址的鏈上資產(chǎn)全部來自0xd361e29c48841c40506fc6e6211f68a203ec1ef1,這也是一個(gè)釣魚地址����。
同時(shí),0xd361將資金轉(zhuǎn)移到多個(gè)地址���。以0x8452開頭的地址于2023年1月21日將400ETH轉(zhuǎn)入Tornado Cash�����。
除0x8452地址外�����,其他幾個(gè)地址的傳輸模式普遍呈現(xiàn)出傳輸量小�、傳輸頻率高的趨勢(shì)�����。采用這種模式不引人注目�����,并且使跟蹤變得更加困難���,但會(huì)導(dǎo)致更高的Gas 成本��。
通過跟蹤鏈上地址并分析鏈上交易行為����,我們可以得出Monkey Drainer交易模型如下:
結(jié)合資金鏈接轉(zhuǎn)賬全景圖,不難看出這是一個(gè)有組織���、有預(yù)謀�����、劃分明確的加密貨幣釣魚黑客團(tuán)隊(duì)���。 Monkey Drainer主要通過虛假釣魚網(wǎng)站(如*federalagent.eth、go-ethdenver[.]com)竊取資金��,然后通過合約內(nèi)部交易將竊取的資金收集到以0xd361e開頭的地址����。在評(píng)估的前提下,可以借助多個(gè)地址進(jìn)行資金轉(zhuǎn)移��。根據(jù)上述釣魚網(wǎng)站的操作方式我們可以發(fā)現(xiàn)�����,他們通常通過簡(jiǎn)單粗暴的批量部署來直接竊取用戶資產(chǎn)���。
五���、防范策略
通過以上分析����,我們應(yīng)該可以看到����,雖然與傳統(tǒng)互聯(lián)網(wǎng)賬戶密碼體系不同,但區(qū)塊鏈賬戶也面臨著私鑰被盜��、授權(quán)不當(dāng)?shù)娘L(fēng)險(xiǎn)�。由于私鑰和授權(quán)通常與加密資產(chǎn)相關(guān)����,關(guān)系密切,其安全風(fēng)險(xiǎn)較高�����。以下是一些安全提示:
(1)增強(qiáng)私鑰保護(hù)意識(shí)��,對(duì)您訪問的網(wǎng)頁或下載安裝的錢包保持警惕�����,防范釣魚攻擊。
防范垃圾郵件并安裝防病毒和防火墻系統(tǒng)�。 (3)妥善保管您的私鑰和個(gè)人信息,不要輕易授權(quán)地址��。
來自https://www.freebuf.com/articles/blockchain-articles/358662.html
