By:Thinking@慢雾安全团队
事件背景
5月16日凌晨,当我在寻找家人的时候,从项目官网的邀请链接加入了官方的?Discord?服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。
钓鱼手法分析
我访问"机器人"(Captcha.bot)发来的链接后,是有让我进行人机验证的,但是当我验证通过后,发现它要求唤起我的小狐狸(MetaMask)钱包,唤起的钱包界面挺真实的,如下图所示,但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕,如果是插件唤起的就不会有这个"about:blank"的地址栏了。
BMEX:谨防假冒BMEXAPP及官方网站:据BMEX官方消息称,近期市场出现不法分子使用仿冒BMEXAPP,恶意引导用户注册、充值、交易,并进行合伙人招募。BMEX在此严正声明,BMEX是一家专注于数字资产合约交易的平台,不发币、不上币、不融资,请大家务必提高警惕,谨防钓鱼网站,增强资产安全意识,避免资金损失。
目前BMEX已持有美国与加拿大双监管牌照,技术团队成员逾200人,并获上市公司技术支持。成为BMEX合伙人将会获得24小时专属客服服务、百万推广补贴、一级服务商奖励、专注社区活动定制等一系列支持。BMEX官网域名:bmex.onl,下图为假冒BMEXAPP的图标及页面。[2021/4/21 20:43:50]
接下来我随意输入了密码,并且通过审查元素查看,确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的,并不是真实的钱包界面,于是我开始调试这个钱包。
分析 | 近期市场情绪或将持续平静,建议交易者谨慎控制持仓头寸,谨防“插针”行情:据Bgain Digital投研数据:截止北京时间12月26日18:00点,BTC价格7211美元,24小时内BTC价格下跌0.27%,结合量化交易的BTC本位增强指数均略有下跌,其中Bgain交易指数下跌0.09%,CTA指数下跌0.14%,对冲交易指数下跌0.01%。截至18点,OKEX精英用户多空占比为51%/45%;火币精英用户多空占比45%/54%,Bitfinex多/空保证金占比为91%/9%,BitMEX多空仓位占比为49%/51%,市场情绪相对看空。币价24小时内波动平缓,整体波动仅50点,随着年底临近,多空双方博弈意愿都有所降低,近期市场情绪或将持续平静,建议交易者谨慎控制持仓头寸,谨防“插针”行情。[2019/12/26]
在随意输入密码后,这个虚假的钱包界面进入到"SecurityCheck"界面,要求我输入助记词进行验证。注意,输入的密码和和助记词会被加密发送到恶意站点的服务端。
EOP官方:谨防山寨EOP空投:随着EOS主网启动、账户封仓,EOP通过智能合约实现了对EOS的1:1空投。据EOSpace.io负责人王赟明介绍,Chaince、gate.io 、okex等交易所已支持EOP的糖果空投,截至目前空投数量已超过1亿枚。近日市场已惊现各类山寨EOP,对此王赟明表示,用户在领取EOP糖果时一定要警惕,认准官网EOSpace.io,谨防被。[2018/6/5]
通过分析域名可以发现,这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一个举报了。
全国政协委员王茜:精准脱贫可借助大数据、区块链技术,谨防养懒汉:全国政协委员、陕西省大数据集团总裁王茜表示,通过应用大数据与区块链等新技术,可以更好地解决精准脱贫工作中的这些问题,让识别更精准,施策更科学。王茜建议相关部委鼓励地方应用大数据、区块链等新技术,实现数据“可用不可见”“可用不可取”“用后即焚”,解决部门和各方数据权责不清、难保安全、难全面归集、难有质量、难共享、难开放等痛点,构建责权清晰、安全可信的扶贫数据共享服务体系,重点将扶贫、、民政、社保、医院、金融等十多部门的数据上链,通过沙盒模式和智能合约技术,最大程度保障数据的安全使用,保证数据权属不发生变化,解决数据共享部门的后顾之忧,实现贫困人口数据全面掌握,支撑完善建档立卡、实现扶贫对象动态管理。[2018/3/9]
分析恶意账号
下载保存好恶意站点的源码后,我将情报发给了项目方团队,并开始分析这次钓鱼攻击的账号。由于我刚加入家人群,就收到了下面的这个地址发来的验证消息。经过分析,这个账号是一个伪装成Captcha.bot机器人的普通账号,当我加入到官方服务器后,这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接,从而引导我输入钱包密码和助记词。
我在相关频道里面搜索了Captcha.bot,发现有好几个假Captcha.bot,于是将这几个账号也一并同步给了项目方团队,项目方团队很给力,也很及时地进行了处理,把这几个假Captcha.bot删除了,并一起讨论了可能的防范方式。
再次收到钓鱼链接
事情还没结束,第二天早上又一位慢雾的小伙伴加入到官方Discord服务器中,再次收到恶意账户发来的私信,里面包含着一个钓鱼链接,不同的是,这次的钓鱼者直接伪装成官方的账户发送私信。
这次钓鱼者讲的故事是在链接中导入助记词进行身份验证,然而不是采用假小狐狸(MetaMask)的界面来用户,而是直接在页面上引导用户输入助记词了,这个钓鱼手法就没这么真。
钓鱼网站的域名和?IP?是app.importvalidator.org47.250.129.219,用的是阿里云的服务,同样反手一个举报。
钓鱼防范方式
各种钓鱼手法和事件层出不穷,用户要学会自己识别各种钓鱼手法避免被,项目方也要加强对用户安全意识的教育。
用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识,学会识别伪装MetaMask的攻击手法,网页唤起MetaMask请求进行签名的时候要识别签名的内容,如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包,由于硬件钱包一般不能直接导出助记词或私钥,所以可以提高助记词私钥被盗门槛。
项目方团队也要时刻关注社区用户的反馈,及时在社区Discord服务器中删除恶意账户,并在用户刚加入Discord服务器时进行防钓鱼的安全教育。
Discord隐私设置和安全配置参考链接:
https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account
https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。