简要介绍
Web3的网络钓鱼日益增多,一些主要的网络钓鱼技术包括:使用不安全的Discord机器人在一些官方的Discord服务器上发布钓鱼链接;直接发送钓鱼链接;利用搜索引擎上的广告宣传虚假网站;通过假Discord机器人直接发送信息;与官方域名高度相似的域名及内容;利用Opensea等NFT交易平台推广虚假项目;使用虚假的合约地址。建议:
经常多渠道查看信息,不轻易信任「bot」或「官方链接」;警惕直接消息:官方机器人不会在DM中要求验证;仔细检查域名或合约地址;尽量减少Discord中的机器人数量;不要在浏览器中为一些敏感网站添加书签。网络钓鱼的定义
根据维基百科的定义,网络钓鱼是一种犯罪局,试图通过伪装成有信誉的法律实体的媒体,从电子通信中获取敏感的个人信息,如用户名、密码和信用卡详细信息。网络钓鱼通常是通过电子邮件或即时消息进行的。它通常会引导用户进入看起来与真实网站几乎相同的虚假网站,以输入个人信息。即使有强大的加密和SSL服务器身份验证,仍然很难检测一个网站是真是假。网络钓鱼是使用社会工程技术用户的一个例子。它依赖于当前Web安全技术的低亲和力。在Web3世界,网络钓鱼主要通过Discord、网站伪造等一系列手段实现。Web3典型的网络钓鱼案件
动态 | 区块链未能上榜汉语盘点2019年度国际词:汉语盘点2019年度候选字词中,巴黎圣母院、区块链、贸易摩擦、黑洞照片、脱欧上榜国际词。12月20日,国家语言资源监测与研究中心、商务印书馆、央视新闻等单位联合举办的“汉语盘点2018”揭晓仪式在北京举行。最终,“奋”“改革开放四十年”“退”“贸易摩擦”分别当选年度国内字、国内词、国际字、国际词。(央视新闻)[2019/12/21]
本文将揭示Web3世界中几种常见的网络钓鱼方法:1、Discord机器人
2022年5月23日,Discord的MEE6机器人遭到攻击,导致在一些Discord官方服务器中发布了有关铸币的钓鱼网站信息。
在2022年5月6日,Opensea的官方Discord被黑客入侵,黑客使用机器人账户在频道上发布虚假链接,声称「Opensea与YouTube合作,点击链接制造100个限量版的mintpassNFT」。
动态 | 中国日报网盘点2019年10月新闻热词汇总,区块链包含在内:11月1日,中国日报网盘点2019年10月新闻热词汇总,其中包括区块链技术应用。据悉,中共中央局10月24日下午就区块链技术发展现状和趋势进行第十八次集体学习。中共中央总书记在主持学习时强调,区块链技术的集成应用在新的技术革新和产业变革中起着重要作用,要加快推动区块链技术和产业创新发展。[2019/11/1]
最近,针对官方Discord服务器的攻击事件越来越多,原因可能如下:对项目方的员工进行钓鱼攻击,导致账户被盗;项目方下载恶意软件,导致账户被盗;项目方未设置双重认证,使用弱密码,导致账户被盗;项目方遭受钓鱼攻击,添加恶意书签绕过浏览器的登录规则,导致Discord代币被盗。小贴士:项目方应采用官方推荐的安全操作,如双重认证、设置强密码等,来保护自己的账户;警惕各种传统的网络攻击和社会工程攻击,避免下载恶意软件或访问钓鱼网站。Web3用户应该意识到Discord官方发布的版本可能也是钓鱼信息,官方并不保证绝对安全。此外,在任何需要我们自己授权或交易的地方,就更需要谨慎,并尽量交叉检查来自多个渠道的信息。2、周杰伦的NFT被一个Discord网络钓鱼攻击窃取
2022年4月1日,流行歌手周杰伦在Instagram上透露,他的BoredApeNFT被钓鱼网站窃取。
动态 | 证券日报发布2018年区块链行业焦点盘点:证券日报发布《2018年区块链行业焦点盘点:乱象频发币圈狼藉监管筑篱》文章称,很多人将此轮区块链热潮与20年前的互联网泡沫相比。可以确定的是,区块链“泡沫”一定有,但区块链能否如互联网般改造世界,尚难下定论。监管部门去年以来重拳出击,规范资本市场“炒链”行为,严厉惩治ICO。从中央到地方,掀起防范以“区块链”名义进行非法集资的高潮,不断给区块链“排瘦身”。而瘦身后的区块链也正逐步回归理性——币圈萧条,市场开始重新审视以比特币为代表的加密数字货币的价值与意义;去芜存菁,越来越多的企业沉下心转向技术应用开发;人才成本也挤出“泡沫”,回归同行业正常水平。[2019/1/4]
我们发现周杰伦在11点左右签署了以0x71de2开头的钱包地址来批准交易,从而将NFT批准授予给攻击者的钱包。在这个时候,周杰伦并不知道他的NFT,已经处于危险之中。
盘点:红杉资本曾投资火币、Filecoin、Orchid Protocol、IOSToken、Ontology等加密数字货币项目:今日币安赵长鹏在推特宣布,未来所有在币安上币的项目都需要披露是否与红杉资本有直接或间接的关联。消息一出,多个与红杉资本的项目在币安的价格大幅下跌,业内人士认为这是赵长鹏对红杉资本起诉币安的一次强力反击。早在2014年,红杉资本投资火币,是火币第一大机构股东,目前火币是全球排名前三的交易所。红杉资本还曾投资过Filecoin、Orchid Protocol、IOSToken、Ontology等加密数字货币。[2018/5/7]
过了几分钟后,攻击者在11:07时将BoredApebayc#3738NFT转移到他们自己的钱包地址,然后在LooksRare和OpenSea上以约169.6ETH的价格出售了被盗的NFT。
小贴士:不要轻易相信私信。攻击者通常会通过私信或电子邮件引诱我们点击钓鱼网站的链接。所有信息应首先在官网进行核实,用多种渠道验证其真实性。周杰伦被钓鱼的案例是在铸造了一个新项目之后,他当时可能对网络钓鱼攻击不那么警惕。所以用户必须时刻保持警惕,确保每一步都是安全的。3、谷歌广告上的钓鱼网站
雅虎财经2018年2月7日加密峰会盘点:
1. 摩根大通区块链负责人Farooq:区块链将从根本上改变商业的运作;数字货币必须解决问题。
2.Blockchain CEO:数字货币最厉害之处,就是在与任何国家无关的情况下成为金融体系的一部分。
3.DCG(数字货币集团)创始人Barry Silbert:大多数币种没有真正的实用性;希望未来让DCG上市。
4.Fundstrat Global Advisors联合创始人Tom Lee:数字货币市场不仅仅是个“十年的故事”,它将持续存在30年。数字货币市场像新兴市场。如果相信区块链,那就必须相信比特币、以太坊以及所有的公链。
5.Indiegogo股权众筹和加密货币投资负责人:最终将需要与监管机构来一次有意义的、权威的对话。
6.Chain联合创始人兼CEO Adam Ludwin:人们其实希望对数字货币进行监管;以加密方式上发行传统货币以后将是这个领域中的很大一部分。
7.瑞波CEO:瑞波超过50%合作金融机构为日本公司,瑞波币将在3-5年内成功;长期看好比特币,认为比特币不会灭亡,但也不会解决付款问题。
8.Goodwin Procter律所合伙人Grant Fondo:不管某个项目看起来有多好,别把鸡蛋放在一个篮子里。
9.数字商会总裁Perianne Boring:数字货币投资者需要做好研究,同时要有批判性思维。[2018/2/8]
2022年5月10日,@Serpent发推文称NFT交易平台X2Y2在Google搜索页面上的第一个搜索结果是一个欺诈网站,该网站利用谷歌广告中的漏洞使真实网站和欺诈URL看起来相同,大约100ETH已经被盗。
小贴士:搜索引擎很方便,但不一定正确,搜索引擎广告系统很容易被恶意网站利用。尽量通过官方twitter或谷歌认证的官方网站入口进入,确认官方信息时进行交叉核对。注意细节。来自搜索引擎的结果,如果是广告,就会有广告这个词。避免点击带有「广告」字样的链接。4、通过假机器人发私信
最近,一个用户加入了官方的Discord社区,加入服务器后,一个bot直接发送消息要求进行验证。
然而,当点击链接时,它会自动弹出Metamask钱包并要求输入密码,这时用户几乎可以肯定网站出了问题。后来经过调试和分析,发现该网站弹出的不是一个真正的Metamask,而是一个伪造的Metamask钱包界面。如果有人输入了密码,它会要求助手验证,最后,密码和助手都将被发送到攻击者的后端服务器,钱包就会被窃取。小贴士:警惕Discord的私信:官方机器人不会要求在DM中进行验证。身份验证过程不需要连接钱包。一定要注意那些奇怪或不正常的操作,并一定要交叉验证更多的信息。5、域名与内容高度相似
目前,市场上存在各种各样的假冒网站,其中大部分是模仿域名和内容相似程度高的官方网站。这是最常见的网络钓鱼方式,其主要形式如下。更改顶级域名,主域名保持不变。例如,下图中官方网站的顶级域名为.com,钓鱼网站的顶级域名为.fun;
在主域名中添加一些词,如openesa-office,xxxmint等。
添加一个二级域名用于混淆和网络钓鱼:
小贴士:当进入一个网站时,首先找到官方推特或discord,并逐一比较链接,看看他们是否正确。始终保持警惕:虽然这类钓鱼网站最容易识别,但其数量非常大,如果不小心,用户很容易被。增加反网络钓鱼插件,有效协助识别部分恶意网站。6、Opensea上的钓鱼项目
前一段时间,我们在Opensea上发现了一个项目,这个项目还没有正式开放出售,但是这个项目已经列出了1万件物品。经过仔细分析,我们发现了一种新的网络钓鱼方式。该项目先是利用上述手法伪造了一个类似官网和类似域名,然后在Opensea上列出了一个类似项目,用「免费造币」等词语来吸引眼球。
此外,还有钓鱼网站和钓鱼推特一起宣传:
小贴士:仔细识别推特账户。有时钓鱼账号也有大量粉丝,但大多数评论都是假的。或帐户创建日期较早,但最近才活跃等。Opensea上的项目并不总是官方网站上的真实项目。网站上仍然有很多假冒和钓鱼项目,所以用户需要仔细筛选。始终从多个渠道获取信息。交叉检查来自官方网站、opensea项目、推特、discord等的信息。也可以直接与官方联系,核实真实性。7、假的合约地址
今年3月出现的新局也令人大开眼界。攻击者伪造一份前后相同位数的合约,利用网络钓鱼链接进行。真正的APEcoin合约地址是:0x4d224452801ACEd8B2F0aebE155379bb5D594381。虚假合约是:0x4D221B9c0EE56604186a33F4f2433A3961C94381这种类型的攻击并不常见,但令人困惑。通常人们会检查合约地址的前面和后面来判断是否正常,但很少有人会检查完整的地址。小贴士:对于直接转账交易,最好检查完整的合约地址是否正确。确保从官方通道获取地址,避免被中间攻击者修改。解决方法
以上仅列出了网络钓鱼常用的策略,然而随着Web3的不断流行,网络钓鱼的方式也越来越多。用户需要记住上述提示。然而,万一被了,可以采取以下步骤来尽可能进行补救:立即隔离资产,并尽快将剩余资产转移到安全的地方,以避免更大的损失。主动发布声明,告知他人有关账户的信息,以免危害朋友和社区。尽可能保存证据,并寻求项目方或机构的后续帮助。寻找专业公司进行资金追查。最后,如果不幸被或网络钓鱼,建议在社交媒体上记录并与他人分享自己的经历。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。