Buidler DAO x Beosin:Web 3.0 防钓鱼白皮书
成为 Web 3.0 最有影响力和生产力的
项目与人才孵化器
https://linktr.ee/buidlerdao
合作联系微信:shangruiruida(请备注来意)
Buidler DAO 重视 Web 3.0 生态安全,除孵化防钓鱼安全插件 MetaShield 外,Buidler DAO 投研公会与 Beosin 联合,输出研报《 Web 3.0 防钓鱼白皮书 》,旨在厘清 Web 3.0 钓鱼的源头与手法,并提供尽可能全面的防钓鱼的解决方案,在 Web 3.0 黑暗森林中保护用户加密财产安全。
左右滑动查看全文
研报pdf链接:Web 3.0 防钓鱼白皮书(点击阅读原文下载完整版PDF)
https://maifile.cn/dec/d58157721312@doc
研报notion链接:
https://www.notion.so/buidlerdao/Web-3-0-ebdd5a840cb94e22ae1b4cac2f3525cc
注:本报告内容并非引导读者对相关企业或产品进行投资或提供任何建议,其中的任何描述、表达或措辞均不得被解释为对该项目的肯定或确认。Buidler DAO与 Beosin 对因阅读本文之内容或牵涉所提供内容而导致的任何损失或支出,不承担任何法律责任。
研报部分摘要:
01 Web 3.0 网络钓鱼的起源与发展
02 Web 3.0 钓鱼防攻论
03 Web 3.0 防钓鱼解决方案
先看一组数据:
2021年,83%的组织报告称遭遇了网络钓鱼攻击。到2022年,预计还会发生另外60亿起攻击;2020年,大约有214345个独特的网络钓鱼网站被识别出来,自2020年初以来,近期网络钓鱼攻击的数量已经翻了一番。
大约90%的数据泄露都是由网络钓鱼引起的;大约65%的网络攻击者利用鱼叉式网络钓鱼电子邮件作为主要攻击媒介。在网络钓鱼攻击恢复方面,IBM 发布的《2021年数据泄露成本报告》发现,网络钓鱼是企业需要应对的第二大成本高昂的攻击媒介,平均损失高达465万美元。
思科安全研究团队(Cisco Talos)近期发布的一份报告中提到:社会工程攻击是那些采用加密货币、区块链和去中心化应用程序来满足其业务需求的人所面临的主要威胁——由于 NFT、DApps 均基于区块链技术,弱点变成了代币的所有者,而占领这个弱点的最简单方法是欺骗他们交出凭证。“当用户第一次适应新技术时,最大的风险之一是社会工程的威胁,”报告中解释道,“不熟悉的技术往往会导致用户做出错误的决定。Web 3.0 也不例外。”
反观历史,网络钓鱼是伴随上一代互联网浪潮兴起的社会工程学骗局,经过数十年的演变已经自成一体,有着成熟手法和工具。互联网革命对社会工程的影响也许没这么剧烈——尤其在骗局频发的当下,我们研究历史、研究攻防、研究钓鱼项目和解决方案,必是无本万利的 Web 3.0 冲浪之道。
Web 3.0
网络钓鱼的起源与发展
社会工程技术一直就是犯罪教科书的一部分。最早的网络钓鱼案例发生在90年代初期,攻击者将曾经流行的 AOL 平台锁定为目标,使用即时消息诱骗用户透露他们的口令。Web 2.0 时代,群发钓鱼邮件是最常见(也是最低端)的网络钓鱼形式。攻击通常依赖电子邮件进行,即伪造电子邮件标题(发件人字段),好让邮件看起来像是由可信任的发件人发送的,并试图诱骗收件人执行某种操作,通常是登录网站或下载恶意软件。需要注意的是,群发钓鱼邮件常通过钓鱼链接、恶意软件和克隆邮件的方式发起攻击。除此之外,经过20余年的演进,还发展出了高价值攻击(鱼叉式网络钓鱼)、大目标定点(鲸钓攻击)、多元媒介攻击(社媒、电话、短信钓鱼)。
Web 3.0 时代的“钓鱼攻击(Phishing)”,依然指的是攻击者伪装成可以信任的人或机构,通过邮件、通讯、社媒等渠道骗取受害者的用户名、密码、私钥、钱包地址等私密信息。Web 3.0 的安全性在很大程度上取决于区块链做出承诺的特殊能力和对人类干预的弹性,但由于交易通常是不可逆的,使其成为了攻击者越来越垂涎的目标。同时,网络钓鱼成功依赖于低技术含量的智力游戏,而不是复杂的漏洞或对单一系统的集中攻击。对于没有知识或技术专长的人,欺骗账户所有者交出他们的密钥可能是窃取Web 3.0 红利的最有效方法。
Web3.0 钓鱼防攻论
攻:钓鱼攻击设计方法论
正如查理芒格强调的逆向思维:“如果我知道我会死在哪儿,那我一辈子都不会去那里”。防范或规避钓鱼攻击,我们首先要深刻理解钓鱼攻击设计的要素。钓鱼攻击需要什么?作为一个传承了30余年的“产品”,其核心组件的拆解并不复杂,一个优秀的钓鱼攻击仅需包含以下四要素:令人信服的钓鱼网站、完美的诱骗借口、有效的触达渠道、特殊的反钓鱼工具。
令人信服的钓鱼网站
攻击者在网络钓鱼攻击中使用的最常见技巧之一就是创建一个知名品牌的虚假官方页面(如NFT mint)。攻击者倾向于从真实网站复制设计元素(如组织的徽标以及相关的登录表单),这就是为什么用户很难区分虚假页面和官方页面的原因。甚至网络钓鱼页面的域名也常常看起来像某个品牌的真实网址,因为诈骗者在 URL 中包含了他们冒充的公司或服务的名称。这个技巧被称为组合抢注,其特点是通过向知名域名添加其他关键词的方式,构造并注册新的域名;这种域名可以用于钓鱼、恶意软件传播、APT 攻击、品牌滥用等行为。
完美的诱骗借口
一个完美的诱骗借口是钓鱼成功与否的关键因素。因此在实施钓鱼攻击之前需要做充足的信息收集,一方面是针对高价值受害者发起鱼叉式攻击时,黑客可以长时间关注他们的社交账户(如Twitter & Discord)和链上数据;另一方面是充分利用大众的 FOMO 心态,在项目开售的前后1-2天,甚至前后数小时内将虚假 mint 链接送达手中。Web 3.0 时代设计完美的诱骗借口目的非常明确,是让受害者在虚假网站或虚假地址完成钱包授权、虚假交易或安全授权等操作。因此往往需要伪装成合法且紧迫的请求,让受害者可以在慌忙中点击钓鱼链接并完成操作。
有效的触达渠道
加密货币攻击者可以以极快的速度执行 C 端攻击(只要一个错误的链接,就可以不可逆转地盗取某散户的财产),因此劫持 Discord 服务器、批量发送钓鱼邮件、Twitter 1 for 10(虚假支付返利活动)、假 App 和假工作人员等,都是同时锁定大量用户的有效方法。在当下,由于没有足够“中心化”安全保护的沟通渠道,所有社交渠道似乎都充满着风险,特别是那些可以通过机器人批量操作的沟通渠道。
特殊的反钓鱼工具
钓鱼网站可以被添加到反钓鱼数据库中而有效阻止,攻击者的解法之一是快速而大量生成网站,而反钓鱼工具的引入再次降低了这一行当的技术门槛。它们由现成的模板和脚本组成,可用于快速、大规模地创建网络钓鱼页面。这非常有趣,值得我们花更多篇幅来分析。通常反钓鱼工具包具有两个基本能力:
一是快速复制官方网站页面,提供攻击者现成的加载页面,并且包含它们的元素(图像、表单、网络钓鱼脚本、文本片段等),以及从这些元素创建新页面的单独脚本。
二是确保受害者在钓鱼页面上输入的数据发送给攻击者,它通常是一个解析网络钓鱼数据输入表单的简单脚本。
此外,一些高级的工具包还有着更强大的反钓鱼功能。如:内嵌用户界面的控制中心,攻击者可以用此调整钓鱼页面的功能(例如指定被盗数据返回方式、多国语言界面等);用脚本在生成的页面和纯“垃圾”代码添加各种混淆选项(凯撒密码、页面源编码、字符串分割、HTML 标签属性值的随机化等),旨在使反网络钓鱼解决方案更难检测和阻止这些页面。
防:钓鱼防范策略方法论
钓鱼攻击如同魔术:一旦你理解它的手法与原理,并时刻警醒自己防范,它便变得愚蠢起来。除“保持警惕”四个字应作为防钓鱼的座右铭外,我们的防范策略主要包括两类:交叉核验与借助工具。
交叉核验
思科安全研究团队提到:用户和企业保护自己的最佳方式是在处理未经请求或可疑的信息和通信时采取基本的预防措施,而不是点击链接或附件,在有疑问时,直接通过电子邮件或电话与供应商联系。在钓鱼项目乱飞的今天,警惕含有催促或威胁意味的托辞,不要在直接链接跳转的网站上输入凭据或私钥显得至关重要。此外,官方社交帐号、官方 Discord、官网被单一仿冒的攻击越来越多,但是注重交叉核验三者的一致性,将极大降低钓鱼成功的概率。
借助工具
对于普通 C 端用户,老生常谈的方法是在交易时尽可能的使用硬件钱包,但奈何使用成本过高而常常忽略,因此各类反钓鱼插件和软件的引入,显得至关重要。我们会在本报告第三部分详细盘点市面上可用、好用的防钓鱼解决方案,希望读者都可以在自己电脑上部署一两个工具,并经常检查反钓鱼服务是启动的。
Web 3.0 钓鱼手法及案例
钓鱼攻防论的最后:再次熟悉你的敌人——Web 3.0 钓鱼。Buidler DAO 联合 Beosin 安全团队,总结出如下五类最常见的钓鱼手法及案例:
◻️Web 3.0 邮件钓鱼
◻️高仿 NFT 域名
◻️MetaMask假钱包
◻️Discord 假机器人
◻️官方 Discord 被盗
Web 3.0 防钓鱼解决方案
最后,为了给大家切实可行的落地建议,研究团队梳理了国内外五大 Web 3.0 防钓鱼解决方案,我们从厂商背景、产品简介、使用体验、产品评价四个维度,为大家解读不同解决方案的落地效果与发展前景:
◻️去中心化的实时自动扫描工具:Forta
◻️服务开发者的安全组件:OpenZeppelin Defender
◻️浏览器安全插件:Phishfort
◻️Web3反钓鱼数据库:MobyMask
◻️防钓鱼安全插件:MetaShield
Buidler DAO 聚集一批 Web 3.0 的实干家,包括区块链技术大牛、各赛道深度研究者、二级市场操盘手等早期 Buidler。我们致力于打造最优质的孵化、投研、教育、技术、运营五大公会,共同聚焦四项工作:创造 Web 2.0 用户迈入 Web 3.0 的学习环境、帮助 Web 3.0 新人突破认知成长为 KOL、提供项目孵化所需的人才、资源和市场解决方案、推动中文 Web 3.0 优质内容和项目国际化。如果想参与到更多建设中请填写链接:
https://tally.so/r/wA7LlN
研究员:@Frank @Davion @Beosin
设计:@Rui
排版:@Coucou
文章:@Buidler DAO
往期回顾
Buidler DAO
MOVE OVER HODL,
IT'S TIME TO BUIDL!
https://linktr.ee/buidlerdao