在加密货币领域,信任的代价是惨痛的

虽然加密货币的合法地位以及相应的法律规范还有待敲定,但诈骗者们却仍然在忙于挖掘这一数字淘金热的诈骗价值。除了黑掉加密货币交易所、利用智能合约漏洞和部署恶意挖矿软件之外,网络犯罪分子还会采用更传统的社工方法窃取价值数百万美元的加密货币。而且,他们的目标非常广,基本上涵盖了所有对加密货币感兴趣的人,而绝不仅仅是加密货币钱包的持有者。

明白加密货币的原理,以及加密货币钱包地址和私钥意味着什么,有助于我们了解诈骗者们是如何窃取钱财的。

加密货币基于使用公钥和私钥的非对称加密。钱包地址允许任何人向其中转账,它可以从公钥生成,而公钥又通过算法根据私钥来生成。因为所有钱包交易都需要私钥,所以诈骗者们对此很感兴趣。但请注意,攻击者并不总是想要受害者的私钥——其目标通常是让受害者将自己的资金转移到诈骗者账户中。让我们慢慢道来。

 

经典的网络钓鱼

加密货币交易所和钱包上的身份认证

买卖加密货币都是通过交易所这种专业服务机构来进行。交易所还提供加密存储服务,为客户持有的每种货币发行钱包,并为用户存储私钥。自然地,如果诈骗者获得了相关账户的身份认证信息,他们也就获得了其中加密货币的访问权限。这解释了为什么冒充流行加密货币交易网站的钓鱼网站如此之多。这些钓鱼网站通常非常具有迷惑性,除了URL不同之外,其与官方网站几无二致。

冒充合法的流行加密货币交易网站的钓鱼页面

另一种方法是渗透进交易平台并从用户账户中窃取加密货币。最近的一个事件来自韩国。该国最大的交易所Bithumb在被黑客窃取价值3200万美元的加密货币之后被迫暂停服务。而在此之前的20177月,Bithumb内部员工的电脑就遭到黑客入侵,3000名用户的详细个人信息被盗,随后黑客利用钓鱼等手段欺骗用户交出登录凭证,并以此盗取了大量加密货币。另一个韩国老牌交易所Youbit,甚至在去年年底遭到黑客攻击而丢失17%的资产,并最终导致破产。

因此,很多用户更喜欢将加密货币储存在自己的“钱包”中,其中包括两种类型:在线钱包和离线钱包(桌面、硬件、纸),也就是俗称的热钱包和冷钱包。热钱包并不比存储在交易所更安全:其私钥委托给第三方,钱包用户无法控制。被认为最安全的硬件钱包(生成和内部存储不可恢复的私钥的物理设备),在交易时,所有的操作都在钱包内执行,只有电子签名在外部发送。

据称是来自Luno团队的钓鱼邮件,该邮件警告用户他们的账户有可疑情况,并邀请他们点击一个链接来保护账户。

攻击者访问热钱包的方法与经典的钓鱼手段并无二致:他们常常会创建模仿目标网站的身份认证页面的网页。将受害者引向虚假钓鱼网页的链接一般通过邮件来分发,邮件中包含诸如用户账号被封锁或出现异常等能引起用户恐慌的典型信息。这个圈套就是为了说服用户让他们必须通过身份识别才能防止资金丢失。

模仿流行热钱包身份认证页面的网络钓鱼页面

深入观察钓鱼网站的脚本,会发现很明显除了登录名和密码之外,诈骗者还会搜集IP地址和用户代理字符串等信息,他们可以用这些数据伪装成账户所有人(冒用身份)来绕过一些反欺诈系统。

模仿BLOCKCHAIN.INFO钱包的钓鱼网页,以及产生并发送给诈骗者数据信息的代码片段

虚假注册

对那些没有钱包的人,诈骗者有一套单独的方案,通过允诺各种注册“红利”(比如奖励一笔加密货币)来引诱受害者前往假冒的钱包网站。

最简单的网络钓鱼页面只是收集用户的个人信息,然后将他们重定向到真正的官方站点。更危险的钓鱼页面则能用受害者的数据注册一个真实的钱包。结果,受害者在他们“注册”的邮箱中收到了确认消息,并且的确在真实网站上拥有了一个账户,从而使他们掉进一种虚假的安全感中。但是,他们的钱包账户从一开始就是不安全的,所以只要有资金进入其中就会被迅速盗走。

假冒BLOCKCHAIN.INFO钱包注册的网页(左上)、注册信息的确认邮件(右上)、受害者在注册后被重定向的假冒个人账户(下)

看上去似乎只有热钱包和交易所才是网络钓鱼攻击者的目标,但事实并非如此。例如假冒的MyEherWallet(一种方便使用储存在PC本地的加密货币进行交易的解决方案)也非常多。

精确复制MyEherWallet注册流程的假冒页面

假冒页面上的注册程序与官方程序完全相同,甚至连访问账户资金时需要下载的密码库文件都一样。在假冒页面注册后,用户的私钥就已经泄漏了,所有转移到这个钱包中的代币最后都会落到诈骗者的口袋。

假冒移动应用

另一个攻击途径是通过官方应用商店分发的假冒加密货币存储软件。这些程序的下载量通常都是top级的,就像假冒的MyEherWallet APP曾经雄踞App Store最受欢迎的金融App排行榜第三名一样。

投资

根据CoinSchedule 2018年的统计数据,截至7月初,今年已经举行了427ICO,募集资金总额超过了100亿美元。巨额资金、天花乱坠的宣传、很多国家缺乏立法监管,自然就使ICO成为了诈骗者们的目标。

窃取钱财最常见的方法之一就是向潜在投资者发送钓鱼邮件。当一项ICO被宣布时,通常会收集对此感兴趣的人的邮件地址,以便向他们发送诸如开始销售代币之类的通知。但潜在投资者们详细信息的资料库有可能落入坏人手中。在这种情况下,在ICO实际开始前不久,诈骗者就会发送邮件告知他们代币销售(或预售轮次)已经开始,并声明让投资者将代币转移到指定的钱包地址。

Bee Token ICO:诈骗者设法得到了潜在投资人的邮箱地址,然后发送一封完美的定时邀请邮件,其中包含了让受害人将ETH转移到指定电子钱包的地址。这个钱包共得到123.3275个ETH(约合84万美元)。诈骗者还创建了几个伪装成官方平台的钓鱼网站。

另一种常见的方法就是创建模仿官方ICO项目的虚假网站。

假冒ICO项目:左图是位于fantom.pub域的网页,也就是真实的FANTOM项目网站;第二页——位于sparkster.be——是一个SPARKSTER项目网页sparkster.me的假冒版本。

这些假冒网站不仅会通过邮件、短信、社交网络进行传播,而且还会通过主流搜索引擎广告进行推广。

搜索引擎广告推广将这个钓鱼页面推到了搜索结果的首条位置

ICO项目越受欢迎,假冒网站的数量就越多,以假乱真的水平就越高。比如TelegramICO项目目前保持了最高的融资纪录,有专业机构就发现许多利用此事件的网络钓鱼站点,其中一些看起来还非常专业。而且,受害者将资金转移到的钱包地址是为每个“投资者”单独创建的,这就使得追回资金变得更加困难。

 

代币分发

空投

加密货币空投是一种推广新的尚未在交易所上市的数字货币的营销方式。任何人都可以通过做某些推进这一项目的事情来换得一笔“空投”代币,比如关注该项目的Twitter账户、转发或撰写相关博客。注册之后,这个根本不存在的Tubig区块链空投项目就会通过验证钱包账户的网络钓鱼页面窃取资金。

诈骗者同样会使用类似的手段来吸引用户访问本不存在的空投网站,在注册之后,受害者会被引导到验证钱包账户的钓鱼网站,并被要求输入私钥或网络犯罪分子可以用来窃取资金的其他个人信息。模仿MyEherWallet加密货币钱包的钓鱼页面。注意看域名“myeherwałet”中的“ł”非常隐蔽,这令用户很难区分域名的真假。

讽刺的是,这种钓鱼页面的传播竟然是受害者们自己通过转发和关注假冒公司的社交媒体账号来完成的。

馈赠

最常见的诱饵之一是以“贡献一点,得到很多”之名,做出免费赠币的承诺。诈骗者称,用户的初始贡献是以验证钱包为目的。为了使承诺更有说服力,诈骗者会出示一个交易清单,其上显示了其他用户的资金是如何神奇地成倍增加的,但事实上,这仅仅是一张看上去漂亮的清单而已。

显示有用户“收入”的虚假交易清单

实际上,所有的资金都流到了诈骗者的钱包,这只需简单地检查一下对应钱包的交易即可确认。这种手段非常简单,但似乎还有很多用户上当。如上图所示,仅仅一个站点就收到了405.43ETH的“捐款”,约合24.5万美元。

网络犯罪分子经常假大家熟知的加密货币钱包、交易所或ICO之名,行诈骗之实:

一个似乎是代表著名交易所Binance赏金计划给予代币奖励的网页。诈骗者在该网页上承诺会有10倍的回报,用户要想获得“奖励”,就必须从自己的钱包中将0.3-5 ETH转到网站指定的钱包来验证其身份。

有时,宣布馈赠代币是为了感谢用户或标志着公司的成功;而假冒网页上关于获得收益的虚假评论则会让受害者纷纷上钩。

乍一看,上图中的链接指向的是Bitfinex网站,但其实用户被重定向到了网络钓鱼页面:

虚假代币馈赠同样会假借著名项目的名义。在过去几年里,Twitter已经成为假冒知名公司和人物账户的温床,而这通常会以某种方式与加密货币行业联系在一起。比如Twitter上就有很多假冒Vitalik Buterin(以太坊联合创始人)名字的账户发布有关以太坊社区馈赠100 ETH的信息。为了得到这些馈赠的代币,用户需要将特定数量的ETH转移到指定钱包。诈骗者通常会以回复、转发帖子的形式来传播这些信息。

因为Buterin的名字经常被诈骗者利用,所以他将自己的账户名称改为VitalikNot give away ETHButerin 真实的账户有一个特殊的认证标识,可以确保账户所有者的真实身份。

虚假账户通常在账号名称右侧没有社交网络平台的官方认证标识,只有很少的关注者,并且注册时间很短。但是蓝色的认证标识并不代表绝对可靠:曾经就有网络犯罪分子购买过认证账户并更改账户名称的情况(比如改成Telegram创始人Pavel Durov的名字)。

如果蹭上相关的热点新闻,攻击就会更加成功。例如,当Telegram遭到攻击并且Pavel Durov发布了关于此事的推文时,众多假冒Pavel Durov的账号都发推文以他的名义提供5-100 ETH的“补偿”。为了获得“补偿”,用户必须点击一个链接到相应网页,并将一定的金额转移到指定的钱包。

假冒的Pavel Durov账号

也有很多假冒Elon Musk(特斯拉和SpaceX创始人)的账户,发布大额“馈赠”各种加密货币的推文,同样地,假冒账户承诺,如果用户将0.3-2 ETH转账到指定钱包,就会获得10倍的收益。推文中的链接指向的网站与上面提到的类似,其中会指定一个钱包地址,并且会频繁显示“交易列表”。诈骗者使用机器人来增加虚假账户推文消息的喜欢数量,并进行热情而积极的评论。

诈骗者还会假借特斯拉的名义进行假冒的代币馈赠来欺骗用户

据估计,诈骗者们以受信任账户之名在社交网络上获取的代币价值约合490万美元。

另外也不要忘了,诈骗者自己有时也会将一些代币转账到他们指定的钱包,以减轻用户对其合法性的怀疑。但是,上面的例子表明,虚假交易清单的图片就已经足够让很多用户上钩了。比如在流行的Etherscan代币项目的评论中有很多衷心的请求,但仔细一看,要么是来自受骗的用户,要么就是来自试图博得同情的诈骗者:

一个给诈骗者转账20 ETH的用户的评论

无论如何,幻想着通过向诈骗者转账以获得更大“奖励”的天真的用户数量很多,而且还在持续增加中。

 

如何避免自己上钩?

诈骗者对加密货币失去兴趣的可能性为零:这一行的准入门槛很低,而且潜在的选择也太多了。粗略估计(基于来自网络犯罪分子使用的逾1000个钱包数据),网络犯罪分子去年就骗取了超过2.1万个ETH(按当时汇率接近1000万美元),这甚至还不包括通过经典网络钓鱼等手段获得的代币。鉴于此,如果你决定做一个投资加密货币,请务必始终遵循下面的规则:

l  请记住,唯一的免费奶酪就是捕鼠器上的那块,拿之前一定要慎重再慎重。

l  对于代币馈赠和“慈善”等好处,请在官方和独立信息源等确认这些信息的准确性。

l  使用二次认证或多因素身份认证。

l  使用第三方资源验证钱包上的交易。

l  在骗局中发现的钱包要经常标记上令牌跟踪器和区块探测器(用于查看有关加密货币交易详细信息的在线工具)。

l  经常检查超链接地址和URL

l  为钱包地址添加书签,并且只从书签中访问钱包。

(完)