近期,歐科雲鏈發布2024年3月安全月報,全網3月安全事件全網累計造成損失約1.9億美元。其中釣魚事件損失佔16.72%,遠超過RugPull事件損失的9.64%,逐步開始成為駭客最青睞的一種新型詐騙方式。
同時,Scam Sniffer發布3月的網路釣魚報告,加密領域網路釣魚詐騙造成7,100 萬美元損失,比2月增加了50%。 2024 年第一季,網路釣魚詐騙共造成1.73億美元損失。先前Scam Sniffer報告稱,2023年加密貨幣網路釣魚攻擊導致32.4萬名用戶損失近3億美元。
那麼,釣魚攻擊究竟是什麼呢?近期有哪些項目被釣魚攻擊了?一般用戶如何應對這些欺詐手段?下文將針對這些問題作對應解答。
釣魚攻擊的手段究竟是什麼?毫無底線的攻擊者究竟是誰?
「釣魚」是一種針對加密使用者的網路欺騙手段,該手段透過創建偽裝成正式網站的假網站來竊取使用者的授權、簽名和加密資產。釣魚攻擊的路徑大多為項目的官推被盜之後,黑客在其官推上發布具有誘導性的釣魚鏈接,誘使用戶點擊鏈接、交互錢包之後直接竊取其資產。
簡單來說,就是駭客盜取專案方或KOL的推特帳號,然後發布虛假的連結再配以誘導性的文字,使用者出於對平台或KOL的信任以及利益誘惑,自然會點開迫切按照駭客的提示完成一系列操作,例如在虛假的網站上輸入自己的私鑰、密碼或其他敏感資訊。這些資訊一旦被攻擊者獲取,用戶的資產很快就會被偷走。毫無底線的竊取行為背後,暗藏著一條巨大的利益鏈— 釣魚攻擊軟體供應商及其客戶,也就是釣魚攻擊的發動者。
現在提起釣魚攻擊,很多從業者首先想到的就是詐騙集團Pink Drainer。 Pink Drainer團隊因推特和Discord等平台上的高調攻擊而臭名昭著,涉及Evomos、Pika Protocol和Orbiter Finance等事件。
Pink Drainer可以向居心不良的攻擊者提供一款惡意軟體即服務(Malware-as-a-Service,MaaS),能夠讓對方快速建立惡意的釣魚網址,透過該惡意軟體取得非法資產。
區塊鏈安全公司Beosin 指出,該釣魚網址使用加密錢包竊取工具,誘使用戶簽署請求。一旦請求被簽署,攻擊者將能夠從受害者的錢包中轉移NFT 和ERC-20代幣。得手後,Pink Drainer會向攻擊者收取被竊資產的30%作為費用。
Dune數據顯示,截止到4月4日,Pink Drainer發動的釣魚攻擊已累計造成1,3415人受害,在全行業累積竊取金額高達5,341萬美元。
釣魚攻擊氾濫成災,專案方和投資者一旦中招或將面臨萬劫不復的境地
釣魚攻擊者的魔爪正伸向越來越多的項目方。
根據歐科雲鏈發布的2024年3月安全月報顯示,當月官方社媒遭受詐騙與釣魚事件共發生50起,主要集中在X、Discord 及各類釣魚網站等管道。本文為日後梳理了開年以來部分遭遇釣魚攻擊的頭部項目或機構:
1月5日,CertiK 推特帳號短暫被竊;1月10日,SEC 推特帳號被盜系關聯電話號碼被非法佔用;1月26日,AltLayer 推特帳號遭攻擊;1月29日, Masa推特帳號疑似被盜;2月20日,ARPA官方推特帳號被盜並發布虛假代幣申領連結;3月6日,Aevo高仿推特帳號發布的空投釣魚連結;3月12日,beoble官方推特帳號疑似被盜並發布虛假空投連結;3月15日,動視暴雪官方推特帳號被盜; 3月20日,硬體錢包Trezor推特帳號被竊;3月23日,Cointelegraph推特帳號疑似失竊。
這其中,最令人錯愕的是身為行業權威安全機構的Certik帳號被盜,組件詐欺分子的技術更新迭代速度之快。就在1月5日Certik帳號被盜當日,攻擊者用其帳號發布了釣魚鏈接,但幸好CertiK很快發現了漏洞,並在幾分鐘內刪除了相關推文。事後Certik在社媒上表示,這是一起持續攻擊。
同樣是遭遇釣魚攻擊,並非所有人都像Certik這樣幸運。首先是資產被竊的用戶,他們無端承受巨額的資產損傷,卻無處追討,很多時候只能遷怒於專案方;同為受害者的專案方,大多時候也陷入了百口莫辯的困境,在事發後需要同時啟動賠償手續、危機公關和技術維護等多重工作,這就為專案營運帶來了巨大的損失。其中就有些項目方在遭受釣魚攻擊後,資產價格短時暴跌,例如:
3月6日,根據Scam Sniffer 監測,某用戶在因網路釣魚詐騙損失價值73.6萬美元的PAAL資產後,PAAL價格在1小時內的跌幅達到了7.96%。
從這血淋淋的教訓來看,如果任由釣魚攻擊氾濫,加密資產世界將陷入日益嚴峻的信任危機之中。
如何辨識釣魚鏈接,這些簡單實用的方法可在關鍵時刻助你避險
分析來看,釣魚攻擊具有強烈的迷惑性和隱藏性,事後受害者也很難追蹤躲在暗處的攻擊者。
對於廣大用戶來說,我們需要時時刻刻對所有連結保持警惕,否則點擊釣魚連結並按照對方的要求進行操作,就是萬劫不復的災難。在無法確定一個連結是否為釣魚攻擊連結時,可以採取以下措施進行辨別和防範:
1.檢查連結地址:釣魚連結通常會模仿真實網站的URL,但仔細檢查往往能發現細微差異。例如,冒牌網站的網址可能會在拼字上與正宗網站有所不同,或是使用類似的網域名稱;
2、安全性憑證驗證:查看網站是否有有效的SSL憑證。正規的網站會有安全的SSL加密,瀏覽器網址列會顯示「鎖」圖示。釣魚網站往往沒有這個安全證書;
3.網域解析檢查:可使用DNS查詢工具檢查網域解析,查看網域名稱註冊資訊是否與聲稱的機構相符;
4.搜尋引擎查詢:透過搜尋引擎尋找該連結所聲稱的網站或機構,比較官方網站資訊;
5、直接訪問官方網站:如果懷疑是釣魚鏈接,應直接輸入官方網站地址進行訪問,而不是通過鏈接點擊進入;
6.聯繫官方確認:對於可疑的鏈接,最好直接聯繫官方網站的客服進行確認;
7.安全意識培養:使用者應時刻保持高度的安全意識,不點擊來歷不明的鏈接,不隨意提供個人私鑰、密碼等敏感資訊;
8、使用安全軟體:安裝並使用專業的網路安全軟體,這些軟體可以偵測並阻止釣魚網站。
透過上述方法,加密資產圈的使用者可以大幅降低遭遇釣魚攻擊的風險,保護自己的資產安全。同時,廣大的專案開發者也需要積極關注網路安全教育,提升自身的網路安全素養。
