本文將解析知名專案方評論區釣魚團夥的作案流程。
作者:山:Liz
背景
近期慢霧安全團隊陸續收到多起被盜求助,在分析被盜事件后,我們發現多數被盜原因竟然是:知名專案方推特下方的釣魚留言導致!
隨後慢霧安全團隊做了針對性的分析統計:約有 80% 的知名專案方在發佈推特后,評論區的第一條留言會被詐騙釣魚帳號所佔據。 鑒於釣魚團夥的自動化程度之高、部分加密貨幣從業者安全意識較低,本文將解析知名專案方評論區釣魚團夥的作案流程,給加密貨幣從業者以警示。
作案流程
1. 購買推特帳號。 我們發現 Telegram 中存在許多售賣推特帳號的群,這些帳號有粉絲量、有一定數量的帖子、註冊時間也不一,買家可以根據需要挑選合適的帳號。 翻看群裡的歷史記錄發現,該群裡售賣的多為加密貨幣行業相關的號以及網紅號。
除了 Telegram 上的賣號群外,還有專門賣推特賬號的網站。 這類網站上售賣各年份的推特帳號,同時支援特定相似賬號購買,如使用者名與 Optimism(真帳號)高度相似的 Optimlzm(假帳號)。 這類網站也接受加密貨幣付款。
2. 買到現成的帳號后,釣魚團夥會用推廣工具買粉絲互動,增加帳號可信度。 這類推廣工具同樣支援加密貨幣付款,出售國外主流社交平臺的點讚,轉發,粉絲量等服務,買家輸入要推廣的連結和要求的數量即可購買。
據該平臺客服所說,僅該平臺就有超 130 萬筆訂單,已有兩萬人使用過他們的服務。
3. 經過以上的準備,釣魚團夥就獲得了一個有足夠多的帖子、粉絲的推特帳號,然後再將帳號裡面的資訊照著專案方的帳號去模仿,這時對於一部分人來說這兩個帳號就有些真假難辨了。 接下來就到了釣魚團夥實施釣魚的關鍵步驟:
- 自動化機器人關注知名專案方動態;
- 專案方發佈推特后,釣魚團夥的機器人會自動化第一時間留言以確保佔位第一條留言位置,蹭到高流覽量;
- 由於使用者正在流覽的帖子的真實專案方發送的,且經過偽裝后的釣魚團夥帳號和專案方的帳號高度相似,這時只要使用者放鬆警惕,點擊假帳號里空投等名義的釣魚連結,然後授權、簽名,便會損失資產。
實例
1 月 12 號,Optimism 的官方推特號發送了一條推文,在這條推文下面的第一條評論就是釣魚團夥的發佈的,這條評論有很高的互動量,且附上了官網的連結,然而其文字部分的連結卻是個釣魚鏈接,見下圖。 同日,慢霧 CISO @IM_23pds 在推特上發出警告,請廣大使用者警惕專案方評論區的高仿號釣魚。
釣魚團夥利用了推特的改名機制,使用者可以修改自己的推特顯示名稱(Display Name),但這不會改變其在推特上的唯一標識,即推特的使用者名(Handle),通常以 @ 符號開頭。 這個假帳號的顯示名稱改成了和官方號一樣的,都叫 Optimism,但是仔細看就會發現高仿號的使用者名和官方號有細微差別,假帳號將官方號的使用者名中的 “is” 換成了 “lz”,這種釣魚手法在黑手冊中已有介紹。
MistTrack 分析
使用鏈上追蹤工具 MistTrack 查詢在 Telegram 上售賣推特帳號的人的位址 0xd02c75102ed941b26e318c0896c5b5aeb4ddc965,我們發現給這個位址轉帳的位址均被 MistTrack 標記為與釣魚、盜幣等行為相關的惡意位址,按兩下這些位址後,又追蹤到更多惡意位址,可見這個黑市之大。
應對措施
1. 反釣魚外掛程式的優化。 區塊鏈行業 90% 的 NFT 釣魚都跟虛假功能變數名稱有關,有即時跟進釣魚虛假功能變數名稱的提醒是關鍵,如使用者打開一個釣魚頁面,相關的外掛程式、瀏覽器就能直接提示風險,這樣就沒有了後面騙簽名的可能,把風險阻斷在第一步。
2. 錢包所見即所簽、交互安全識別的功能。 如果錢包有騙簽識別功能,能夠不錯的展示出使用者要簽名的詳細資訊,如授權什麼、多少、給誰等人類可讀數據,那麼至少可以讓使用者一目了然的看到授權細節,建立最後一道屏障,攔住馬上要掉入陷阱的使用者。
3. 建立個人安全意識。 任何的產品、文章、提醒都是輔助,建立自己的安全意識,在點擊鏈接,授權、簽名前都再三確認,才可以遠離丟幣、被騙的困擾。
總結
本文基於知名專案方推特評論區的釣魚留言現象,解析釣魚團夥的作案流程,希望説明廣大用戶認識這一釣魚手法,提高警惕,避免資產被盜。
最後,建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 以獲取更多安全知識。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
