原文来源:慢雾安全团队
机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。
机器人"(Captcha.bot)发来的链接后,是有让我进行人机验证的,但是当我验证通过后,发现它要求唤起我的小狐狸(MetaMask)钱包,唤起的钱包界面挺真实的,如下图所示,但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕,如果是插件唤起的就不会有这个"about:blank"的地址栏了。
接下来我随意输入了密码,并且通过审查元素查看,确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的,并不是真实的钱包界面,于是我开始调试这个钱包。
Connext:恢复空投申领后,已有超2.3万钱包地址领取2888万枚NEXT:金色财经报道,Layer2互操作性协议Connext发布空投申领问题事后分析,称攻击者故意对Tokensoft的API进行了拒绝服务 (DoS) 攻击,导致Connext的领取数据库和用户界面瘫痪。在此期间,来自 253 个之前被泄露的钱包(与 Connext 无关)的274,956枚NEXT被领取并售出,换取了约4万USDT。值得注意的是,Connext本身并未被泄露。尽管最初有担忧这是对空投合约的利用,但该可能性很快被排除。在DoS攻击结束后,领取活动恢复正常,超过2.3万个钱包地址已成功领取了28,884,594枚NEXT。Connext将在明日发布关于首次跨链空投的详细统计数据。
金色财经此前报道,据链上数据显示,0x44Af开头地址在过去1小时内通过230个账号领取大量Connext代币NEXT空投,并全部卖出换成ETH、USDT与USDC,收入约39,000美元。[2023/9/7 13:23:06]
在随意输入密码后,这个虚假的钱包界面进入到"SecurityCheck"界面,要求我输入助记词进行验证。注意,输入的密码和和助记词会被加密发送到恶意站点的服务端。
XTZ突破6美元关口:火币全球站数据显示,XTZ短线上涨,突破6美元关口,现报6.0007美元,日内跌幅达到10.17%,行情波动较大,请做好风险控制。[2021/5/13 21:59:42]
通过分析域名可以发现,这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一个举报了。
分析恶意账号
下载保存好恶意站点的源码后,我将情报发给了项目方团队,并开始分析这次钓鱼攻击的账号。由于我刚加入家人群,就收到了下面的这个地址发来的验证消息。经过分析,这个账号是一个伪装成Captcha.bot机器人的普通账号,当我加入到官方服务器后,这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接,从而引导我输入钱包密码和助记词。
动态 | eosnowbetext遭受攻击 攻击者已获利 ? ?:Beosin(成都链安)预警:今天下午17:09:42开始,根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,有黑客再次对EOS竞猜类游戏eosnowbetext发起攻击。经过成都链安技术团队初步分析,攻击者依然是通过交易阻塞的方式,操控多个小号对该游戏发起攻击,并已经获利。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性,同时提醒类似项目方全方面做好合约安全审计并加强风控策略,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计,防患于未然。[2019/4/1]
我在相关频道里面搜索了Captcha.bot,发现有好几个假Captcha.bot,于是将这几个账号也一并同步给了项目方团队,项目方团队很给力,也很及时地进行了处理,把这几个假Captcha.bot删除了,并一起讨论了可能的防范方式。
这次钓鱼者讲的故事是在链接中导入助记词进行身份验证,然而不是采用假小狐狸(MetaMask)的界面来用户,而是直接在页面上引导用户输入助记词了,这个钓鱼手法就没这么真。
钓鱼网站的域名和?IP是app.importvalidator.org47.250.129.219,用的是阿里云的服务,同样反手一个举报。
钓鱼防范方式
各种钓鱼手法和事件层出不穷,用户要学会自己识别各种钓鱼手法避免被,项目方也要加强对用户安全意识的教育。
用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识,学会识别伪装MetaMask的攻击手法,网页唤起MetaMask请求进行签名的时候要识别签名的内容,如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包,由于硬件钱包一般不能直接导出助记词或私钥,所以可以提高助记词私钥被盗门槛。
项目方团队也要时刻关注社区用户的反馈,及时在社区Discord服务器中删除恶意账户,并在用户刚加入Discord服务器时进行防钓鱼的安全教育。
Discord隐私设置和安全配置参考链接:
https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account
https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。