MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
2020-12-07 11:15:00 Author: www.4hou.com(查看原文) 阅读量:242 收藏

MetaMask.jpg

MetaMask钱包是世界上最优秀的以太坊资产管理钱包,可用于ETH和代币的管理,也可以用于一键发币等中心化应用(DApp)应用的交互。MetaMask是一款在谷歌浏览器Chrome上使用的插件类型的以太坊钱包,该钱包不需要下载,只需要在谷歌浏览器添加对应的扩展程序即可,非常轻量级,使用起来也非常方便。既然是一款运行在谷歌浏览器Chrome上的插件,当然首先需要先安装Chrome了。读者可以进入官网https://www.google.com/chrome/下载安装,进入后网站自动跳转到页面https://www.google.com/chrome/browser/desktop/index.html,点击页面上的下载按钮即可。不过需要提醒读者的是,从官网下载的Chrome安装文件其实是一个下载安装器,运行这个下载安装器之后,安装器再下载安装完整版的Chrome。由于MetaMask一直在向用户浏览的网站广播他们的以太坊钱包,允许第三方查看他们的以太坊地址,并可能将其与他们的网页浏览动态联系在一起。不过在2019年,根据MetaMask GitHub上提交的一个问题,该钱包有一个内置的“隐私模式”,可以阻止这种情况发生,但这需要用户手动激活。如果没有启用该功能,这个应用还是会将相关信息“同步到”用户浏览过的网站。这引起了用户的担忧,因为“任何广告或跟踪系统”都可以因此查到MetaMask用户的以太坊地址,从而将地址链接到用户的浏览活动——这对匿名性造成了影响。

这不在最近两天,有用户反映在谷歌的搜索框中输入搜索词“MetaMask”后,出现在谷歌广告中的第一个搜索结果是一个虚假的MetaMask网站,点击进去后就有用户的资金被一种伪装成流行加密钱包MetaMask的恶意Chrome浏览器扩展程序盗取。

诈骗过程

在过去的一周中,MetaMask加密货币钱包的用户随时可能遭受网络钓鱼诈骗的攻击,该骗局通过谷歌搜索广告诱骗潜在受害者。MetaMask拥有超过100万用户的社区,该网站通过浏览器扩展提供了一个浏览器中的Ethereum加密货币钱包,该浏览器扩展允许分布式应用程序从区块链读取数据。在安装合法扩展时,用户可以导入现有的钱包,也可以创建新的钱包以及允许访问该钱包的秘密种子密码。

尽管尚不清楚有多少MetaMask用户上当受骗,但一些人表示,只要他们点击了MetaMask网站宣传的虚假搜索广告后,钱包就被洗劫一空了。

网络钓鱼广告诈骗目前仍处于活动状态,并且不断通过Google搜索广告推广新域名。

在星期三,MetaMask向其社区发出了有关该骗局的警报,并建议使用直接链接到合法metamask.io URL的方式,并不要点击任何广告链接。

1.jpg

但是,对于某些用户来说,警告来得太晚了,因为一些用户报告说损失了数万美元。

投诉从本周开始大量涌现,所有投诉都描述了相同的情况:在尝试安装MetaMask浏览器扩展后,钱包就被洗劫一空了。

用户通过谷歌广告进入了一个假冒的MetaMask钓鱼页面,一旦进入该页面,用户就会被提示安装该扩展,用户可以选择是导入现有钱包还是创建新钱包。

2.jpg

虚假的MetaMask网络钓鱼页面

如果用户点击“创建钱包”按钮,则会被带到真实的MetaMask.io网站,因为其中没有要窃取的加密货币。但是,如果他们单击“导入钱包”选项,则会要求他们输入其现有钱包的关键字,然后将其发送给攻击者。

3.jpg

窃取钱包密码

一旦诈骗者得到了密码,他们就开始掏空受害者的钱包。在Twitter上回应MetaMask的警告时,一名用户表示,他们被抢走了近3万美元。

4.jpg

Google搜索广告中推送了多个欺诈性链接

诈骗者购买了Google广告,以定位在Google搜索引擎中搜索MetaMask的用户。这些广告导致假冒域名伪造了加密货币服务。

诈骗者注册了多个域名进行诈骗,该骗局目前仍在进行中,如BleepingComputer拍摄的以下屏幕截图所示:

5.jpg

Google搜索中的欺诈性MetaMask广告

当前,在Google上查找MetaMask时,域名maskmefa[.]io已在搜索广告中被大量推广。标题广告中的服务拼写应该是一个红色标记,但是大多数用户很可能会错过此标记(请注意顶级域名之前的俄语“к”和空格)。在Domaintools上进行的whois查询显示它仅注册了几天。

区块链取证公司CipherTrace在本周的一篇文章中提到了另外三个用于诈骗的域名:

maskmeha[.]io

installmetamask[.]com

meramaks[.]io

前两个分别是10天和9天,而第三个是前4天才注册的,所有这些都是通过同一个注册商NameCheap注册的。

登陆欺诈网站的用户将很难发现欺诈,因为它看起来几乎与合法的MetaMask页面相同。即使他们在地址栏检查了域名,也很有可能上当受骗。

6.jpg

假冒MetaMask网站

7.jpg

合法的MetaMask网站

对于大多数用户而言,原始MetaMask网站和假冒的网站之间的唯一区别是不明显的(按钮上的文字以获取扩展名)。

节假日期间,当消费者花更多的钱来享受折扣或特价优惠时,诈骗和恶意软件攻击的频率就会增加,并且更容易分散注意力。

注意下载源可减少被攻击的机会,MetaMask建议从直接的官方链接(例如,LinkedIn,Twitter,Facebook上的公司帐户)访问资源,并避免来自第三方的重定向(例如,消息中的URL),这是避免被骗的好方法。

本文翻译自:https://www.bleepingcomputer.com/news/security/metamask-phishing-steals-cryptocurrency-wallets-via-google-ads/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/0OlL
如有侵权请联系:admin#unsafe.sh