钓鱼软件猖獗:该如何保护投资者的钱包?
摘要: 网络钓鱼事件与拒绝服务攻击、热钱包防护问题、内部攻击、软件漏洞和交易可锻性一同被列入数字货币交易平台常见的六类隐患和漏洞之一。防止钓鱼软件可以通过密切注意URL,检查连接安全指示标志,查看证书详细信息等。
请看紧你的数字货币钱包,黑客正在打它的主意,尤其是大户们。
今日(9月25日)EOS持有者再次出现被钓鱼盗币事件,而且还是个持有211万个EOS(约7400万元)的大户。据IMEOS,今日凌晨3点,该账号被更新owner和active私钥,之后,黑客将所有EOS进行赎回操作,并变卖了大量糖果。
这极有可能是一次钱包钓鱼事件,EOS核心仲裁论坛(ECAF)工作人员表示EOS持仓大户gm3dcnqgenes疑似曾使用过一款名为 EOS Wallet的钓鱼软件。
黑客盯上热门币种和交易所
数字货币正成为黑客们的一方“沃土”,热门的币种和交易所也是最受钓鱼网站喜爱的“鱼塘”。
热门数字货币EOS钓鱼事件也是屡屡发生,IMEOS近日还提醒,有钓鱼网站伪装成EOS Authority,诱导用户输入公私钥进行验证,用户在任何地方输入私钥时都应该谨慎辨别,请保管好自己的私钥。
早在5月份,imToken就曾针对EOS发布提醒, EOS主网上线临近, 最近一周团队接收到用户举报的EOS非法钓鱼网站。盗取 EOS 渠道主要有以下几种:
1.EOS 空投钓鱼网站;2. 虚假 EOS 映射教程;3. MyEtherWallet 钓鱼网站;4. Telegram 钓鱼电报群;5. 冒充 imToken 官方人员回答用户映射问题。近日,imToken再次提醒谨防假冒EOS空投的钓鱼网站。
不仅是钱包,数字货币交易所钓鱼情况也时常出现,如今年3月,币安交易所就发生黑客钓鱼事件,黑客首先先在谷歌搜索投放大量钓鱼广告,由此获取了一些英语语言区用户的账号;在当晚22.58-22.59两分钟里,被盗账户买入大量VIA,由此触发风控,系统自动停止提币;币安经过排查发现负责输送利益的31个黑客账户,截获输送利益的币并扣留了黑客的VIA。
韩国大型加密货币交易所Bithumb此前也曾邀请其投资者来到韩国首尔的总部,提高加密货币投资者对各种加密货币诈骗和网络钓鱼攻击的防范意识,对电话诈骗和日益增多的直接网络钓鱼诈骗行为发出了警告。
“即使是久经加密货币沙场投资老手也可能瞬间沦为钓鱼攻击的受害者,尤其是在不经意间。”Bithumb人士称,
数字货币黑产渐盛,10%ICO币被盗
钓鱼、撞库…互联网黑产军团转移到数字货币领域,试图拿到大户们的私钥或者交易所密码,有黑客曾预计,今年下半年针对数字货币的黑产链条将彻底形成,届时绝大部分币民将处于安全危机下。
这个看似骇人听闻的说法,还有不少案例和数据佐证。
安全公司趋势科技(Trend Micro)近日最新安全报告指出,2018年上半年钓鱼网站攻击次数刷新了历史最高值,其中针对虚拟货币交易所账户认证信息的攻击占总次数的18.5%;恶意挖矿软件Coinminer的检出次数高达41万次。
据反钓鱼工作组(APWG)5月发布的最新报告,从2017年起约12亿美元数字货币被盗,该统计数据包括已报告与未报告的被盗数字货币,约有20%或更低比例的被盗数字货币已被追回。
安永早前研究报告显示,数字货币ICO的资金有超过10%在黑客攻击中丢失或被盗。安永分析了超过372个ICO,发现这些项目迄今为止筹集的37亿美元资金中约有4亿美元被盗,占比10.8%。
邮件ICO钓鱼事件频发,促使了电子邮件分发自动工具MailChimp在4月30日后禁止数字货币和ICO的市场营销活动,指出这些活动“经常与欺诈、网络钓鱼以及潜在的误导性商业行为相关联”。
防钓鱼指南
网络钓鱼事件与拒绝服务攻击、热钱包防护问题、内部攻击、软件漏洞和交易可锻性一同被列入数字货币交易平台常见的六类隐患和漏洞之一。如何防钓鱼成为重要课题。
据信息安全服务商数安时代,识别钓鱼网站主要有密切注意URL、查看证书详情信息、寻找信用徽章等。
密切注意URL
网络钓鱼的主要策略之一就是创建一个原网站高度一致的伪网站。为达到这一目的,黑客和网络犯罪分子们在复制URL方面都有着精巧的技艺。在这种能够创造出以假乱真的子域名的才能和浏览器混乱的短URL影响下,人们就会很容易受骗。
检查连接安全指示标志
互联网一般建立在HTTP(超文本传输协议)上,这种协议默认情况下是不安全的。任何通过HTTP进行的通信都可能被截获、操纵、窃取。为了避免这种情况,网络安全人员开发了SSL(安全套接层),组成HTTPS。SSL后来被TLS(传输层安全)所继承,一般把二者都称为SSL。
上图这两种标志表明该网站使用的是HTTPS,并且这个连接是安全的。如果你看到其中任何一个,说明你访问连接是安全的,而且你与URL指向的网站所进行的通信是私密的。
查看证书详情信息
点击证书信息的时候,就可以获得CA在颁发证书前核实的所有信息。
查看这一证书主体与你要访问的网站主体是否是同一家公司。倘若该网站是由相应的公司注册的,用户基本上可以信任这个网站了。
寻找信用徽章
当公司或机构对客户的安全进行投资时,一般会需要良好的信誉。这是信用徽章存在的原因之一。用户也许在互联网上很可能已经见过很多信用徽章了。
此外,还可以根据网站的其他提示识别虚假或者欺诈的网站,如使用安全可靠的浏览器、寻找网页内容上的错误,点击查看联系我们看是否是正确的公司信息,如果出现频繁的广告就需要留意。
(作者:PANews,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?