区块链中的网络钓鱼攻击汇总
2020-04-24 11:45:21 Author: www.secpulse.com(查看原文) 阅读量:375 收藏

区块链中的网络钓鱼攻击汇总

感谢 CDra90n 大表哥的投稿

本文回顾和分类区块链项目中最著名的欺诈案件,描述实施攻击的方法、现有保护方法以及发展网络钓鱼防护的必要方向。

所有网络钓鱼攻击都可以分为两种类型:社会工程方案和技术方案。社会工程是基于欺骗和随后受害者的错误行为,而技术计钓鱼利用了漏洞以及软件和基础架构的缺陷。

1

0x01 Phishing Attacks

A.社会工程

这种方案的特殊性是网络用户直接参与其中。攻击是向用户发送虚假信息,并在户户执行某些操作(打开邮件,移动链接或下载恶意附件)后激活,根据研究有4%的用户会单击网络钓鱼链接。为了使攻击者进入系统,只需单击一下即可。


方案

项目

简介

克隆攻击

Blockchain.info, MyEtherWallet, Binance, IOTA

骗子利用同形异义词攻击来创建克隆,广告活动和发行。假冒的Blockchain.info网站上有5000万美元被盗。一个网络钓鱼网站用于生成私有IOTA钱包种子密码,收集了钱包密钥,估计盗窃了价值高达400万美元的MIOTA令牌。

骗子利用同形异义词攻击来创建克隆,广告活动和发行。 假冒的Blockchain.info网站上有5000万美元被盗。一个网络钓鱼网站用于生成私有IOTA钱包种子密码,收集了钱包密钥,估计盗窃了价值高达400万美元的MIOTA令牌。

社交网络

Telegram,Blockchain.info

骗子在冒充知名项目的社交网络中创建假账户。

骗子在冒充知名项目的社交网络中创建假账户。

膨胀

ChainCoin,HighCoin

人为创造的需求,在媒体和社交网络中的广告导致空前的增长以及随之而来的加密货币汇率的急剧下降。

人为创造的需求,在媒体和社交网络中的广告导致空前的增长以及随之而来的加密货

币汇率的急剧下降。

假虚ICO

PlexCoin, E-coin

项目既不拥有所声称的技术,也不拥有可以创建该产品的团队。SEC冻结了1500万美元的PlexCoin ICO。

项目既不拥有所声称的技术,也不拥有可以创建该产品的团队。 SEC冻结了1500万美元的PlexCoin ICO。

金字塔&庞氏骗局

Bitcoin, Bitconnect

所谓的庞氏骗局的组织者在在线比特币论坛上宣传了比特币“投资机会”。据称,投资者被承诺每周支付最高7%的利息,并且所投资的资金将用于比特币套利活动,以产生回报。相反,据称投资的比特币被用来支付现有投资者并兑换成美元来支付组织者的个人开支。Bitconnect承诺每天增加1%的投资资金。

所谓的庞氏骗局的组织者在在线比特币论坛上宣传了比特币“投资机会”。据称,投资者被承诺每周支付最高7%的利息,并且所投资的资金将用于比特币套利活动,以产生回报。相反,据称投资的比特币被用来支付现有投资者并兑换成美元来支付组织者的个人开支。Bitconnect承诺每天增加1%的投资资金。

针对性钓鱼

Enigma, Bee, Seele

黑客可以访问Enigma首席执行官Gaius Ziskind的电子邮件。结果向所有投资者发送了要约信息,要求他们参与转售代币,转账的账户详细信息也被盗了50万美元。通过黑客攻击公司的官方电子邮件列表,分别窃取了100万美元(Bee)和180万美元(Seele)。

黑客可以访问Enigma首席执行官Gaius Ziskind的电子邮件。结果向所有投资者发送了要约信息,要求他们参与转售代币,转账的账户详细信息也被盗了50万美元。通过黑客攻击公司的官方电子邮件列表,分别窃取了100万美元(Bee)和180万美元(Seele)。

假加密货币钱包

NEO, Tether, MetaMask

在Play Store中发现了四个**包。

Play Store中发现了四个**包。

克隆网络钓鱼:

为了进行这种类型的攻击,攻击者会在官方网站上创建网站的副本,具有类似名称的网站或伪造的页面,然后将包含伪造资源链接的链接发送给地址中的潜在受害者。值得信赖的组织。人为因素通常会忽略关键警告消息。

诈骗者经常使用Punycode编码来创建假页面和网站。此编码允许使用外来字符注册域。它通过仅使用ASCII字符将单个域标签转换为备用格式来工作。骗子最常在网站名称的拼写中使用西里尔字母。美国信息交换标准代码(ASCII)“ a”(U + 0061)和Cryillic的“ a”(U + 0430)是完全不同的字符,但是它们的显示方式完全相同。这意味着人眼无法分辨。结果,如果不彻底检查站点的URL,就不可能将网址识别为欺诈站点。这称为同形异义词攻击。

为了获得最大的相似度并减轻受害者的警觉,假网站和网页都配备了SSL证书,并使用了免费的Let's Encrypt和Comodo认证中心的90天证书,并通过虚拟主机在被黑客入侵的网站上拥有了必要证书的假页面。SSL证书以及伪造证书。

社交网络钓鱼:

对社交网络的网络钓鱼攻击已经非常普遍。黑客入侵知名人物的帐户并代表他们发布包含网络钓鱼链接的帖子,创建克隆的知名人物、社区等的页面的情况越来越普遍。。诈骗者利用Facebook允许使用任何名称创建页面从假克隆页面进行活动,这些假克隆页面的名称与真实社区页面非常相似。

针对性网络钓鱼:

网络钓鱼的对象是大型投资者、钱包所有者、公司一把手、加密货币所有者。攻击者清楚地知道他们到底想攻击多少人。攻击者计算受害者在其他领域中的活动,并窃取模仿这些领域的必要数据,与受害者进行接触。

膨胀:

攻击者人为地提高价格,以便于管理流动性低,市值小的加密货币。空前的价格膨胀通过众多媒体渠道(YouTube,Twitter,Telegram)广泛报道,并受到大量广告宣传,有望为外部投资者带来高回报。在用户进行了大量投资之后,诈骗者停止支持加密货币的发展,其价格恢复到原始位置。

金字塔&庞氏骗局:

这些项目没有与交易所的任何块基础设施和通信,这些项目保证了对加密货币和区块链项目的投资具有很高的获利能力,以及新吸引用户的一定比例的投资。诈骗者在收集到必要的金额后会意外关闭每个人的项目。通常,这些方案用于虚构的云挖掘和伪造的加密货币交易所的组织中。

虚假ICO:

ICO(初始代币发行)是任何黑客的梦想。快速,非常简单的对加密货币服务和区块启动的攻击带来数百万美元的利润,而对犯罪分子的风险则最小。早期的ICO投资者最容易受到网络犯罪分子的攻击。2017年,ICO投资了16亿美元,其中1.5亿美元落入骗子手中。

由于大多数国家/地区的立法中存在加密货币流通方面的严重差距并且没有司法实践的事实,骗子发布没有真正产品的ICO项目,以诱人的方式吸引投资者,这保证了该项目的成功和高投资回报。为此诈骗者创建一个项目页面,该页面仅是该项目的视频或演示文稿,白皮书(至多)和一个用于投资的加密货币钱包。ICO在会议上被媒体广泛报道,直接吸引投资者,组织个人会议。

同样,诈骗者使用黑客入侵真实项目早期投资者的地址,随后以优惠条件邀请进行ICO,而转移资金的钱包属于诈骗者。

假的加密货币钱包:

骗子在流行的应用程序商店中放置**包。**包分为两类。第一个类别是启动后恶意应用程序从用户请求其私钥和钱包密码的类别。第二个不会通过生成公共地址和私钥来创建新的钱包。这些恶意应用仅显示攻击者的公共地址,而用户无法访问私钥。私钥归诈骗者所有。一旦启动了伪造的应用程序,用户就认为该应用程序已经生成了他的公共地址,用户可以在其中存储他的加密货币。如果用户将他的资金发送到此钱包,他将无法提取,因为他没有私钥。

B.技术钓鱼


方案

项目

简介

基于DNS

Blockchain.info,MyEtherWallet

替代DNS数据,用户被引流到恶意网站

替代DNS数据,用户被引流到恶意网站

会话劫持

Hardware wallet manufacturer Ledger

攻击者将负责创建收件人地址的代码替换为其自己的地址,结果所有以后的存款将发送给攻击者

攻击者将负责创建收件人地址的代码替换为其自己的地址,结果所有以后的存款将发送给攻击者

恶意软件

North Corean Cryptoexchanges

来自Lazarus Group的黑客在加密货币行业冒充“关键人物”,并在谈话中发布了一小段实际上是恶意软件的代码。如果用户下载了此代码,则黑客就有机会进入他的系统并窃取加密货币。

来自Lazarus Group的黑客在加密货币行业冒充“关键人物”,并在谈话中发布了一小段实际上是恶意软件的代码。如果用户下载了此代码,则黑客就有机会进入他的系统并窃取加密货币。

键盘记录器

Blockchain.info,Electrum wallet

数千比特币被利用键盘记录器偷走

数千比特币被利用键盘记录器偷走

基于DNS的网络钓鱼:

在此攻击中,攻击者最初会创建恶意访问点,并诱使客户端连接到运行假DNS服务器的访问点。该服务器将特定站点重定向到攻击者的网络钓鱼服务器。

会话劫持(cookie劫持):

该攻击基于使用有效会话(有时也称为会话密钥)来获得对计算机系统上信息或服务的未授权访问。特别是,它用于表示用于对远程服务器上的用户进行身份验证的cookie的盗窃。一种流行的方法是使用源路由的IP数据包。IP数据包通过B的计算机,这使得网络上B点的攻击者可以参与A和C之间的对话。

攻击者可以在原始路由被禁用的情况下盲目捕获,发送命令但看不到响应来设置允许从网上其他地方访问的密码。攻击者还可以使用嗅探程序“监视” A和C之间的对话。这就是“中间人攻击”。

恶意软件:

当使用基于恶意软件的网络钓鱼时,恶意软件被用来在受害者计算机上存储凭据并将其发送给所有者,即发送给钓鱼者。例如,可以通过带有附件doc文件的恶意垃圾邮件来传递威胁,该文档文件包含下载恶意软件的Powershell脚本。然后,它找到存储的钱包和凭证并将其上载到C2。攻击者使用的恶意程序的数量一直在增加,并且工具本身也在不断地被修改。木马AZORult和Pony Formgrabber以及bot Qbot是最常用的恶意程序。同时,网络犯罪分子继续使用以前针对银行攻击的工具,现在成功地使用它们来破解加密钱包,钱包和访问用户的个人数据。

按键/屏幕记录器:

当用户从其设备输入信息时,它们将用于窃取数据。随着虚拟键盘和触摸屏的出现,使用了屏幕截图将其发送给入侵者。

2

0x02 Analisys

网络钓鱼已成为实施电子犯罪的更常见手段。据统计,网络钓鱼电子邮件在全球邮件流量中所占的份额超过50%,用户的15%至少遭受一次网络钓鱼攻击,攻击公司的比例为85%。大约80%的攻击是盗窃资金。大多数网络钓鱼活动都是短期的。

每次研究人员想出任何发现和预防网络钓鱼的想法时,网络钓鱼者都会使用当前解决方案中发现的漏洞来更改其攻击策略。网络钓鱼诈骗可以通过恶意软件或社会工程来执行,后者指的是使用假冒的网页或电子邮件。

当前,没有任何工具可提供100%的防护以防止网络钓鱼攻击,因为这些攻击大多数都是人为因素。由于区块链是一项需要投资的快速发展的新技术,因此对区块链项目的网络钓鱼攻击数量每年都将增加。

受网络钓鱼攻击影响的人员和公司最常见的错误是:

1)对基础设施的保护不足;

2)转到从信件到虚假网站的链接;

3)从骗局消息中启动恶意脚本;

4)信任欺诈性的广告活动,保证快速简便的收入;

5)社交网络中的保护水平不足;

6)对包含SSL证书的网站的过度信任;

7)投资ICO时对项目的了解不足;

8)无法使用现代的防御网络钓鱼攻击的方法(防病毒,特殊扩展和附加组件)。

3

0x03 Prevention of Phishing

针对社会工程钓鱼:


类型

解决方案

假ICO,膨胀,金字塔&庞氏骗局

检查项目文件和现场流量;避免冒险的金融投资

检查项目文件和现场流量; 避免冒险的金融投资

克隆,针对性钓鱼,社交网络,假加密钱包

保护邮件服务器,员工,客户,投资者的数据库;跟踪公司页面和社区页面上的活动

保护邮件服务器,员工,客户,投资者的数据库; 跟踪公司页面和社区页面上的活动

针对技术钓鱼:


类型

解决方案

基于DNS

开发DNS替代方案,例如ENS(以太坊)

开发DNS替代方案,例如ENS(以太坊)

劫持

核实接收和发送地址

核实接收和发送地址

恶意软件

不要打开和安装附件

不要打开和安装附件

键盘记录器

在设备的任务管理器上监视进程,检查签名,在屏幕键盘上使用,密码钱包。

在设备的任务管理器上监视进程,检查签名,在屏幕键盘上使用,密码钱包。

整体解决方案:

1)使用书签代替链接;

2)使用带有反网络钓鱼扩展名的浏览器,

3)安装反网络钓鱼软件,

4)禁止点击链接和下载可疑附件;

5)使用服务之前对SSL证书进行身份验证;

6)发布加密钱包的离线副本;

7)使用双重身份验证复杂密码(至少14个符号);

8)拒绝公共Wi-Fi,使用安全网关。

4

0x04 Conclution

长期以来,使用欺诈网站黑名单(Yandex,Google和其他类似产品)进行保护一直是反网络钓鱼保护中使用的唯一方法。现代反网络钓鱼防护是基于对机器学习和人工智能最常用的多种技术和方法的使用。

为了识别网络钓鱼站点,正在不断开发和改进大量算法。现有的大多数反网络钓鱼算法都是基于对网站的搜索和比较,以及与原始网站的比较:比较网站名称的地址栏中的写入和显示,比较网站的内容。此类算法允许为浏览器实施特殊扩展,以通知用户该网站的不可靠性以及邮箱中可能存在的网络钓鱼攻击和垃圾邮件过滤器。为了防止网络钓鱼,积极使用了用户密码保护,它使用的不是密码而是Hash,而是存储密码。

尽管许多公司花费大量资金来研究网络钓鱼并开发用于检测和阻止网络钓鱼的特殊工具和算法,但没有工具能够提供100%的防护以防止此类攻击。由于网络钓鱼攻击通常是在受害者的参与下进行的,因此,网络钓鱼防护方法包括技术和社会工程工具的组合。

本文作者:Azeng

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/129191.html


文章来源: https://www.secpulse.com/archives/129191.html
如有侵权请联系:admin#unsafe.sh