查看原文
其他

险象环生:警惕假记者钓鱼攻击

慢雾安全团队 慢雾科技 2023-11-11

By: Lizi


背景


10 月 14 日,据推特用户 Masiwei 反馈的信息,最近出现针对 friend.tech 的盗号恶意代码。


(https://twitter.com/0xmasiwei/status/1713188711243104467)


慢雾安全团队分析后,发现攻击者发来的链接里包含一段恶意 JavaScript 脚本,攻击者会诱骗用户添加其为书签,为后续作恶做准备。随后,慢雾安全团队在推特上发出安全警告。慢雾安全团队此前也写过一篇浏览器恶意书签攻击的文章——慢雾:揭露浏览器恶意书签如何盗取你的 Discord Token


(https://twitter.com/SlowMist_Team/status/1713168236483584018)


10 月 17 日,friend.tech 用户 Double Wan 发推称其 friend.tech 资产被盗。慢雾安全团队第一时间协助受害者进行追踪调查,经过慢雾安全团队的努力和 OKX 的协助,被盗资金被成功拦截。下面我们将对假记者钓鱼攻击的过程进行梳理,希望帮助大家提高对这类骗局的防范意识。


攻击过程


伪装身份


所谓出门在外,身份是自己给的,攻击者将自己的身份伪装成知名报社的记者,在推特上还有一万多的粉丝。


确定目标


这段 JavaScript 恶意脚本是用于攻击 friend.tech 用户的,攻击者自然把目标对象挑选为 KOL,而且 KOL 有一定的知名度,收到采访邀请时也觉得这个行为是合理的。


攻击者会提前在推特上关注你正在关注的人,这样你在打开攻击者的推特主页后,发现有你和他有一些共同关注,便会觉得这个人是圈内人。


加强信任


约好采访时间后,攻击者会引导你去 Telegram 参加采访,还给你一份采访提纲。


(https://twitter.com/iamdoublewan/status/1714127044358066310)

 

(https://twitter.com/0xmasiwei/status/1713188713742876739)


就这样,你按照攻击者发来的采访提纲认真准备,然后参加了两个小时的采访,还听着两位“主持人”一唱一和,想着这个采访可能要被发布在知名的新闻网站上了,一切看起来都很正常。


猎杀时刻


采访结束后,攻击者会请你填一份表单,打开攻击者发来的钓鱼链接,可以看到在 Verify 的下方还对为什么需要及如何验证做了详细解释:为防止冒名顶替,您必须验证 friend.tech 账号的所有权。请按照以下说明完成验证过程。要验证您的 friend.tech 账户,请将“验证”按钮拖到书签栏,然后进入 friend.tech 网站,点击书签进行验证。

 


一旦用户在 friend.tech 页面打开含有恶意 JavaScript 脚本的书签,恶意代码会诱骗盗取用户的密码(即 friend.tech 的 2FA),并盗走 friend.tech 账号及其使用的嵌入式钱包 Privy 有关的 Token。这就意味着用户的 friend.tech 账号及相关资金都会被盗走。

 

(https://twitter.com/evilcos/status/1713164067358294293)

 

(https://twitter.com/evilcos/status/1713164067358294293)


慢雾(SlowMist) 创始人 Cos 还强调,如果你被盗走独立密码,即 friend.tech 的 2FA,如果你设置了 friend.tech 及其使用的嵌入式钱包 Privy 有关的 Token 等信息(包括 localStorage 里其他有关的信息), 那么你的私钥明文也就可以被盗走。也意味着,你的帐号已经作废,除非 friend.tech 愿意给你换个私钥及对应的钱包地址。

 

(https://twitter.com/evilcos/status/1714237137829458335)


防范措施


  • 提高对社会工程攻击的警惕性

  • 不点击不明链接

  • 掌握钓鱼链接的基本识别方法,如: 检查域名的拼写是否有错误,乱序,额外的标点符号,交叉比对其与官方的域名是否一致

  • 安装防钓鱼插件,见往期公众号文章——NFT 防钓鱼指北:如何选择一款防钓鱼插件


总结


如今社会工程攻击和钓鱼骗术不断更新,这起事件的受害者只是抱着练习英语口语的目的接受采访,没想到最后 friend.tech 资金被全部盗走。虽然这些骗术我们不见得都听说过,但通过一些方法可以很大程度上避免钓鱼攻击,例如:不点击不明链接;掌握基本的识别钓鱼链接的方法;对要授权、输密码的行为都保持怀疑和持续验证等。最后,建议阅读慢雾出品的《区块链黑暗森林自救手册》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。


往期回顾

慢雾招募令:共建香港 Web3 安全生态

慢雾(SlowMist) 创始人受邀出席中国企业家论坛

慢雾(SlowMist) 与日本野村证券、Kudasai 株式会社共同助力 Web3 教育

慢雾|智能合约安全审计技能树

黑暗“天使” —— Angel Drainer 钓鱼团伙揭秘

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存