Stu Sjouwerman 是安全意識培訓和模擬網絡釣魚平台KnowBe4 Inc. 的創始人兼首席執行官。
互聯網的最新迭代是Web3,這是一種基於區塊鏈的去中心化網絡,被科技巨頭、區塊鏈愛好者和加密貨幣社區譽為在可預見的未來將徹底改變計算的東西。雖然Web3 究竟會發展成什麼還有待觀察,但加密貨幣和NFT 等早期應用程序已經越來越受歡迎,為投機的網絡犯罪分子創造了一個新的遊樂場。僅在2021 年,詐騙者就竊取了價值高達140 億美元的加密,幾乎是2020 年被盜金額的兩倍。
可以說,因為Web3 基於區塊鏈技術,所以它本質上是安全的。但事實仍然是,人類總是容易受到操縱,這就是為什麼網絡釣魚仍然是主要的攻擊媒介之一。此外,區塊鏈使攻擊者能夠保持匿名,並且被盜資金通常是無法追回的。
讓我們探索一些最近浮出水面的頂級加密貨幣和區塊鍊網絡釣魚詐騙。
1. 惡意空投
空投是組織用來激勵用戶使用其產品、服務或平台的一種營銷或促銷工具。企業通常將加密貨幣(或金錢)空投到用戶的錢包地址,以換取一些活動,例如新產品發布、新硬幣發行或推廣品牌(註冊時事通訊、關注社交媒體句柄等)。 . 由於存在免費資金和FOMO(害怕錯過)的吸引力,空投在早期加密貨幣投資者中變得流行。
但是,也可以利用空投來進行網絡釣魚活動。例如,用戶可以收到一封電子郵件、短信或社交媒體消息,說明一些隨機加密貨幣已通過空投添加到他們的錢包中。然後受害者被引導到另一個可以出售硬幣的交易所。該網站要求受害者連接他們的錢包,卻發現他們的所有資金都已被提取。去年年底,惡意空投的NFT 幫助攻擊者從OpenSea NFT 市場竊取了價值“數十萬美元”的收藏品。
2. 種子短語網絡釣魚
所謂的種子短語是一個主密鑰,可以解鎖對所有加密貨幣資產的訪問。這就像向某人提供你的銀行帳戶用戶名和加密貨幣。一些網絡釣魚詐騙會誘騙用戶洩露他們的助記詞,從而導致他們丟失存儲在數字貨幣包中的資金。
在最近的一個例子中,網絡釣魚者使用Google Ads 來宣傳他們的騙局,並將用戶引導至網絡釣魚網站或看似合法的瀏覽器擴展程序。作為註冊或帳戶恢復過程的一部分,毫無戒心的受害者被要求進入由不良行為者提供的恢復階段。然後犯罪分子使用相同的短語立即耗盡受害者的錢包。
流行的數字貨幣包Metamask 警告用戶使用Twitter 機器人,該機器人要求用戶在Google 表單上提供助記詞,作為帳戶恢復過程的一部分。
3. 冰上網絡釣魚
與現實世界中的冰釣相似,冰釣是在結冰的湖中挖一個洞來捕魚,冰釣是一種新穎的Web3 點擊劫持方案,可誘騙用戶將用戶令牌的批准分配或委託給網絡犯罪分子。根據微軟的說法,智能合約用戶界面不會讓受害者明顯看出交易已被篡改。攻擊者所需要做的就是將花費者的地址修改為攻擊者的地址,然後等待受害者授權交易,從而批准攻擊者的賬戶。(用加密貨幣術語來說,“支出者”可以代表所有者進行支出。)
在這種特殊情況下,攻擊者能夠通過將惡意腳本注入智能合約前端來修改智能合約UI。去年年底,BadgerDAO 交易所發生了類似的攻擊,當時攻擊者利用冰網絡釣魚竊取價值1.2 億美元的加密。
4. 欺詐性電子郵件、網站和社交媒體賬戶
網絡釣魚電子郵件和虛假URL 可能是本書中最古老的技巧之一。同樣,Web3 也充斥著山寨網站、社交媒體賬戶和欺詐性電子郵件。從快速致富計劃到拉高出貨計劃、虛假促銷,再到有前途的新加密貨幣,電子郵件詐騙每年給用戶造成數百萬美元的損失。
去年,一家領先的加密交易所損失了5500 萬美元,只是因為一名加密貨幣開發人員不小心打開了一封帶有惡意附件的網絡釣魚電子郵件。社交媒體上與加密貨幣相關的欺詐行為呈指數級增長。詐騙者經常冒充真實來源、名人、朋友或家人,鼓勵用戶訪問假冒網站或進行虛假投資。一旦投資獲得吸引力,兩面派的開發商就會執行著名的“拉扯”,讓投資者獲得毫無價值的投資。2021 年,拉地毯詐騙使投資者損失高達28 億美元。
現在很明顯,無論從安全角度來看,Web3 有多無懈可擊,它都無法將我們從網絡釣魚詐騙中拯救出來。用戶需要警惕這些騙局,組織必須始終如一地投資於教育,並圍繞攻擊者採用的最新計劃和策略提高安全意識。用戶應該被視為安全解決方案的一部分,而不是安全問題的一部分。
福布斯技術委員會是一個面向世界級CIO、CTO 和技術高管的僅限邀請的社區。我有資格嗎?
資訊來源:由0x資訊編譯自FORBES。版權歸作者所有,未經許可,不得轉載