各種釣魚手法和事件層出不窮,用戶要學會自己識別各種釣魚手法避免被騙,項目方也要加強對用戶安全意識的教育。

作者: Thinking@慢雾安全團隊

事件背景

5 月 16 日凌晨,當我在尋找家人的時候,從項目官網的邀請鏈接加入了官方的 Discord 服務器。在我加入服務器後立刻就有一個” 機器人”(Captcha.bot) 發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。

釣魚手法分析

我訪問” 機器人”(Captcha.bot) 發來的鏈接後,是有讓我進行人機驗證的,但是當我驗證通過後,發現它要求喚起我的小狐狸 (MetaMask) 錢包,喚起的錢包界面挺真實的,如下圖所示,但是我看到了錢包的地址欄顯示”about:blank” 這引起了我的警惕(平時審計了不少插件錢包),如果是插件喚起的就不會有這個”about:blank” 的地址欄了。

接下來我隨意輸入了密碼,並且通過審查元素查看,確定這個小狐狸 (MetaMask) 界面是由虛假網站”https://captcha.fm/” 彈出的,並不是真實的錢包界面,於是我開始調試這個錢包。

在隨意輸入密碼後,這個虛假的錢包界面進入到”Security Check” 界面,要求我輸入助記詞進行驗證。注意,輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。

通過分析域名可以發現,這惡意域名 captcha.fm 解析到了 172.67.184.152 和 104.21.59.223,但是都是託管在 cloudflare 上,只能是反手一個舉報了。

分析惡意賬號

下載保存好惡意站點的源碼後,我將情報發給了項目方團隊,並開始分析這次釣魚攻擊的賬號。由於我剛加入家人群,就收到了下面的這個地址發來的驗證消息。經過分析,這個賬號是一個偽裝成 Captcha.bot 機器人的普通賬號,當我加入到官方服務器後,這個假 Captcha.bot 機器人立刻從官方服務器私發我假的人機驗證鏈接(看著像是自動化識別新加入的用戶,自動構造鏈接並私發釣魚鏈接),從而引導我輸入錢包密碼和助記詞。

我在相關頻道裡面搜索了 Captcha.bot,發現有好幾個假 Captcha.bot,於是將這幾個賬號也一併同步給了項目方團隊,項目方團隊很給力,也很及時地進行了處理(此時已是凌晨了),把這幾個假 Captcha.bot 刪除了,並一起討論了可能的防範方式。

再次收到釣魚鏈接

事情還沒結束,第二天早上又一位慢霧的小伙伴(感謝 @Victory 提供素材)加入到官方 Discord 服務器中,再次收到惡意賬戶發來的私信,裡麵包含著一個釣魚鏈接,不同的是,這次的釣魚者直接偽裝成官方的賬戶發送私信。

這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證,然而不是採用假小狐狸 (MetaMask) 的界面來欺騙用戶,而是直接在頁面上引導用戶輸入助記詞了,這個釣魚手法就沒這麼真(釣魚手法太粗糙)。

釣魚網站的域名和 IP 是 app.importvalidator.org 47.250.129.219,用的是阿里雲的服務,同樣反手一個舉報。

釣魚防範方式

各種釣魚手法和事件層出不窮,用戶要學會自己識別各種釣魚手法避免被騙,項目方也要加強對用戶安全意識的教育。

用戶在加入 Discord 後要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識,學會識別偽裝 MetaMask 的攻擊手法(比如查看是否有地址欄,如果是插件發起的是沒有地址欄的),網頁喚起 MetaMask 請求進行簽名的時候要識別簽名的內容,如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與 Web3 項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包,由於硬件錢包一般不能直接導出助記詞或私鑰,所以可以提高助記詞私鑰被盜門檻。

項目方團隊也要時刻關注社區用戶的反饋,及時在社區 Discord 服務器中刪除惡意賬戶,並在用戶剛加入 Discord 服務器時進行防釣魚的安全教育。

Discord 隱私設置和安全配置參考鏈接:

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。