首頁為何頻頻出現高仿空投申領連結?

作者:Bitrace

隨著空投季的到來,一些 Web3 用戶迎來了黃金豐收時刻,同時,他們也成為了加密黑暗森林中犯罪集團的一大獵物。 Bitrace 注意到一些不法分子利用高仿推特帳號進行釣魚詐騙的現象,他們在官方推特帳號的評論區大量發布虛假的空投申領鏈接,誘使用戶點擊並嘗試領取代幣,用戶一旦疏忽大意,就可能遭受資金損失。

在這一背景下,「高仿推特號釣魚騙局」作為一種極具代表性的社媒平台釣魚產業化犯罪行為,憑藉其高度組織化、規模化運作的特性,對用戶的資金安全構成了嚴重威脅。

推特已成為詐騙活動新陣地

數月來,Bitrace 收到了若干名受害者的求助,他們點擊推特上的「空投申領連結」後被盜幣,而這些連結實則是由 Etherfi、Tabi、Zeta、Savm 等專案高仿號發布的釣魚連結。

以其中一名 Etherfi 高仿號受害者的案例為例。 3 月 15 日,ether.fi 宣布其代幣將上線 Binance、OKX 等知名交易所。但直到 3 月 18 日,專案才公佈官方的空投查詢連結。不法分子鑽了為期 3 天的空檔,在推特大肆傳播虛假 $ETHFI 的申領鏈接,導致受害人誤以為真,點擊釣魚鏈接交互後被騙取授權,丟失 136.2 枚 ETH。現該釣魚網頁已無法打開,高仿帳戶也消失無蹤。(真帳號為 @ether_fi,下圖假帳號為 @ethers_fi)

出現在受害者主頁的高仿號假鏈接

Bitrace 技術小組對若干此類案件受害者地址進行溯源追蹤後發現,案件中多起授權釣魚盜幣的攻擊者(spender)地址均為 0x0000db5c8B030ae20308ac975898E09741e70000,已被標記為 Inferno Drainer。

高仿號騙局產業化

事實上,高仿帳號騙局已然成為一條井然有序的黑色產業鏈。從「加密貨幣」相關推特帳號的買賣、推文定向推送、矩陣大面積鋪陳、釣魚網站的生成,高仿號詐騙不僅具有了明確的運作流程,還具有第三方接受加密貨幣支付相關服務的匿名場景。

1. Crypto Related 帳戶購買

知名專案方有大量粉絲、帳號藍標認證,因此高仿帳號也需要往此靠攏。詐騙者先購買符合上述條件的優質推特帳戶,復刻官方帳號的頭像、簡介,換上相差無幾的 ID ,一個極具迷惑性的高仿帳號就製作完畢了。

Bitrace 試著在 TG 輸入「Twitter account」等關鍵字,找到了大量推特帳號買賣群組,與多家溝通後發現,賣家均要求加密貨幣付款。對方主動提供的交易帳號多數與加密貨幣產業相關,具有一定的日活與粉絲基礎。

以上為 Bitrace 與一位賣家的聊天記錄

根據賣家提供的收款地址 TRapCVZZWVqZqiaxDS6Ne9aiR1dDXjP3Xz ,我們發現該地址曾多次與被標記為 “洗錢、網賭” 的高風險資金相關地址產生交易,而這只是冰山一角。買賣推特帳號看似無害,但其實便利了不法份子展開詐騙行動。為何專門培養 Crypto Related 推特帳號進行販售,賣出的帳號被用在何處,賣方真的毫無察覺?

2. 多號鋪陳釣魚鏈接

推特等社媒平台有非常成熟且清晰的內容推薦機制,透過對這類規則進行利用,詐騙集團將能夠有效將詐騙訊息推送到目標受眾的時間軸:

常用手段是評論區刷量,高仿號在官方推特帳號推文下發布虛假空投申領鏈接,並通過話術模仿與機器人刷點贊、轉發、回復量的方式,騙取受害人信任點擊,並最終非法取得代幣授權。

第三方推廣服務付費介面

許多受害者會被詐欺評論的互動量所迷惑,實際上這類刷量服務已經非常氾濫,是黑灰產普遍利用的工具之一。

另一個常用手段是 KOC 小號關鍵字污染,詐欺者以「檢查資格、申領空投、免費鑄造 NFT」等誘人宣傳話術組成內容,並結合特定區塊鏈協議的詐欺連結發布推文,當潛在受害者搜尋協議名稱+特定關鍵字時,推特就會有較大可能展現詐欺帳號的推文,進而對一般投資人構成威脅。

3. 購買推文推廣服務除了以上利用平台推薦機制的釣魚手段,推特、谷歌等社媒平台實質上也參與了作惡——在付費推廣環節未能對欺詐信息進行過濾,導致為釣魚鏈接提供了付費推廣。

例如 Bitrace 發現,早前 Solana 知名期權項目 $PRCL 即將空投的消息一經發布,就有大批推特藍標矩陣開始發布釣魚鏈接,併購買推特的推廣服務展開多號的大面積鋪陳,大量相同文案、相同配圖的釣魚推文被高密度推送給特定群體的時間軸。

4. 來自知名詐欺團體 Inferno Drainer 的技術支援在上文提及的案例中,多數被盜資金最終流向了被標記為 Inferno Drainer 的地址。 Inferno Drainer 是一種惡意軟體,專門設計用來非法清空或「排空」加密貨幣錢包。這種軟體被其開發者提供出租,意味著任何人付費使用該惡意工具。

Source Group-B

開發者提供給詐騙分子所需的釣魚網站以支持其詐騙活動,一旦受害者掃描釣魚網站上的二維碼並連接錢包,Inferno Drainer 就會檢查並定位錢包中最有價值且易於轉移的資產,啟動一個惡意交易。受害者確認這些交易後,資產便轉移到犯罪者的帳戶。被盜資產的 20% 歸 Inferno Drainer 的開發者所有,而 80% 則歸詐騙分子所有。

知名安全從業者 Cos 餘弦曾介紹過 Inferno Drainer ——「自己做的大惡絕對跳出來承認,這樣才能吸引更多釣魚運營方來狼狽為姦」。犯罪者不但不以詐騙為恥,反而將其視為吸引更多的「運作者」加入其行列的策略,以擴大犯罪網絡,增加犯罪活動的數量和規模,令人咋舌。

因應措施

以 Web3 使用者取得第一手資料的管道-推特,已然被不法分子污化。上網需謹慎,點擊連結需三思,Bitrace 提醒您:

  1. 對社媒的基本機制有所了解。牢記官方帳號的 ID(唯一且僅有),這是高仿號無法復刻的。將帳號下的共同 Follower 數量多少作為辨別真假帳號的重要依據,官方帳號往往會被大量好友一同關注。
  2. 多渠道驗證連結真實性。專案方一旦發布「空投資格查詢、空投申領」等重大訊息,不僅會透過推特發布消息,還會在如 Discord、Telegram、第三方媒體等其他管道發布資訊。因此,用戶可以透過多管道鎖定真實的空投連結。
  3. 辨識錢包插件的彈跳窗內容。如果無法確定交易背後的細節,就不要輕易簽署交易。
  4. 慎點 Thread 長文的評論區。官推的留言區有流量、自備詐騙分子的目標群體,往往是釣魚連結最猖獗的地方。專案方也意識到這個問題,紛紛在推文結束後加上封條,以提示用戶謹防被騙。

加密貨幣網路犯罪在產業化浪潮下變得愈發組織有序,不僅損害了用戶的利益,也有損整個加密貨幣產業的健康發展。如果您不幸遭受損失,可以隨時與我們聯繫以獲得協助。

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。