CORD:釣魚網站“入侵”Web3 這些防騙技巧必須學會_NFT

在維基百科定義中，網絡釣魚（Phishing）是一種企圖從電子通信中，透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

這些通信都聲稱（自己）來自于風行的社交網站（YouTube、Facebook、MySpace）、拍賣網站（eBay）、網絡銀行、電子支付網站（PayPal）、或網絡管理者（雅虎、互聯網服務提供商、公司機關），以此來誘騙受害人的輕信。

網釣通常是透過e-mail或者即時通信進行。它常常導引用戶到URL與接口外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL服務器認證，要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例，它憑恃的是現行網絡安全技術的低親和度。

在web3世界中，網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現，通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊（詳見維基百科：社會工程學），讓人防不勝防。

本文將揭露其中幾種web3世界里常見的釣魚方法，跟我們一起來看看吧。

安全團隊：發現假冒的Uniswap x DOH空投釣魚網站，請勿與之交互:金色財經報道，據CertiK監測，發現假冒的Uniswap x DOH空投釣魚網站，不要與hxxps://uniswapdoh.com/ 互動。該網站會在用戶點擊認領按鈕時掃描其錢包。[2023/4/22 14:20:33]

Phishing

官方Discord被盜，發布釣魚信息

2022年5月23日，MEE6官方Discord遭受攻擊，導致賬號被盜，官方discord群里發布mint的釣魚網站信息。

2022年5月6日，NFT交易市場Opensea官方Discord遭受攻擊，黑客利用機器人賬號在頻道內發布虛假鏈接，并聲稱“OpenSea與YouTube達成合作，點擊鏈接可參與鑄造限量100枚的mint pass NFT”。

近期，官方discord遭遇攻擊的案例越來越多，經過成都鏈安安全團隊分析，其原因可能有：

Revoke.cash發布瀏覽器插件，可彈窗提示釣魚網站風險:7月30日消息，代幣余額與權限查詢協議Revoke.cash發布基于Chromium的開源瀏覽器插件，當用戶與疑似釣魚網站交互時，能夠以彈窗形式提示用戶注意授權風險，該瀏覽器插件適用于任何基于EVM的鏈上網絡。

目前該擴展程序可通過Chrome Web Store在Chrome、Brave、Edge和其他基于Chromium的瀏覽器上使用，將來可能會添加對其他瀏覽器（例如Firefox或Safari）的支持。[2022/7/30 2:47:27]

項目方員工遭受釣魚攻擊，導致賬戶被盜；

項目方下載惡意軟件，導致賬戶被盜；

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜；

項目方遭受釣魚攻擊，添加惡意書簽從而繞過瀏覽器同源策略，導致項目方Discord token被盜。

防騙技巧

周杰倫遭遇釣魚攻擊，價值百萬NFT被盜

2022年4月1日愚人節，周杰倫在Instagram上發文稱持有的BAYC#3738 NFT已被盜。

LBank藍貝殼官方聲明：謹防釣魚網站，警惕虛假信息:據LBank藍貝殼官方消息，今日有人假冒LBank藍貝殼官方網站，偽造了釣魚網站進行不法活動，請用戶警惕虛假信息。

對此，LBank藍貝殼鄭重聲明：LBank藍貝殼官方網站為LBK.la和LBank.me，請廣大用戶務必通過正規渠道下載和使用LBank藍貝殼APP，謹防上當受騙。同時，LBank藍貝殼嚴重警告相關不法分子立即停止此類違法犯罪行為，并保留對其追究法律責任的權利。[2021/5/1 21:16:12]

據了解，該 NFT 在今年1月由黃立成贈送。在成都鏈安安全團隊的查看之后，發現周杰倫其0x71de2開頭的錢包地址先去mint新項目后遭遇到釣魚鏈接，隨后在11點左右簽名了授權（approve）交易，將NFT的權限授予了0xe34f0開頭的攻擊者錢包，可能這時候杰倫還沒意識到自己的NFT，已經處于風險之中。

僅僅過去幾分鐘，攻擊者就在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中，隨后在LooksRare和OpenSea上將盜取的NFT賣掉，獲得約169.6 ETH。

釣魚網站模仿“Privnote.com”，可自動替換通訊中的比特幣地址:KrebsonSecurity發文稱，一釣魚網站“Privnotes.com”正在模仿合規的隱私型通訊網站“Privnote.com”，當用戶通過該釣魚網站發送任何包含比特幣地址的消息時，該網站會自動將地址替換，消息的發送方和接收方看到的地址截然不同。（KrebsonSecurity）[2020/6/14]

防騙技巧：

Google廣告漏洞置頂的釣魚網站

2022年5月10日，Discord和加密威脅緩解系統Sentinel創始人Serpent發推表示，NFT交易平臺X2Y2在Google搜索頁面的首個搜索結果是詐騙網站，它利用 Google 廣告的漏洞，使真實網站和詐騙URL看起來完全相同，已經有約100 ETH被盜。

動態 | MEET.ONE：社區需警惕REX釣魚網站:據MEET.ONE消息，一個名為rexexchanger的合約賬戶發起批量誘導轉賬，并在MEMO中試圖引導用戶進入一個REX釣魚網站，以騙取用戶私鑰。該合約利用區塊鏈瀏覽器解析的規則， 偽裝成eosio帳號發出REX，試圖欺騙用戶。若用戶有REX購買需求，可以通過“MEET.ONE錢包-發現-REX 交易”進行購買以及總覽當前全網 REX 交易情況。[2019/5/11]

假機器人偽裝成項目方私聊發送釣魚網站

最近，筆者在關注某一新項目時，從項目官網加入到了官方discord社群，加群后按照國際慣例先進行官方機器人身份驗證，然而這一條驗證消息卻是機器人私信發過來的，此時內心有些疑問，但是看到有“機器人”的提示標簽后，也沒多想。

但當我再打開鏈接的時候，發現它自動喚起了我的Metamask錢包，要求輸入密碼，此時基本確定網站有問題。后經過調試分析發現，該網站并非真正的Metamask彈出的，而是虛假網站仿冒的Metamask錢包界面。而如果你輸入密碼，就會要求助記詞驗證，最后密碼和助記詞都會發送到攻擊者的后臺服務器，自此，你的錢包就已經被盜了。

高仿域名和內容的釣魚網站

目前筆者在市場上發現了各種各樣的假冒網站，它們大多對官方網站進行域名、內容等超高程度的模仿。這種方式應該是網絡釣魚中最普遍的存在的，其歸納分析，其主要有以下幾種形式：

（1）更換頂級域名，主名不變。例如下圖中官網頂級域名是.com，釣魚網站頂級域名為.fun。

（2）主名添加單詞或符號進行混淆，比如opensea-office，cyber-kongz等。

（3）添加二級域名進行混淆，進行釣魚欺騙。

上線了opensea的釣魚項目

筆者前段時間在opensea遨游的時候，發現了一個官網還未開售的項目，卻在opensea上掛牌了10k，接近5.4kowner。一時間警惕心大起，仔細分析發現了釣魚的新套路。這個項目首先利用方式5制作了高仿的官網和相似域名，后在opensea上線了相似名字的項目，且加上free mint等字樣吸引眼球。

此外，還有些釣魚網站也會聯合釣魚twitter一起進行詐騙：

真假合約地址

在今年3月出現了一種新騙局，也是讓人開了眼界。APEcoin項目的合約地址為：

0x4d224452801ACEd8B2F0aebE155379bb5D594381

而攻擊者偽造了前后幾位均相同的假合約，聯合釣魚宣傳一起進行釣魚詐騙，假合約為：

0x4D221B9c0EE56604186a33F4f2433A3961C94381

這種攻擊方式不多見，但是迷惑性很強。不少有安全意識的人會下意識看下合約地址前后幾位是否正常，卻幾乎不會有人全部記下來的。

馬上進行資產隔離，盡快將剩余資產轉移到安全位置，避免更大的損失；

主動發布聲明，告知大家被盜賬戶的相關信息，避免危及朋友和社區；

盡可能保留證據，尋求項目方或機構進行后續處理；

可尋求專業的安全公司進行資金追蹤，如成都鏈安。

最后，建議記錄并分享被騙經歷，與大家共勉。反釣魚反詐騙，需要每個人都重視，也需要每個人都參與。

Tags：NFTCORDORDPENNFTDCORD價格CORD幣PEND

BTC