買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > FIL > Info

區塊鏈:小心你的數字錢包!不了解黑客的 7 種手段你可能是下一個受害者_ACK

Author:

Time:1900/1/1 0:00:00

近日,著名科技網站BleepingComputer公布了監測到的黑客針對加密貨幣的攻擊行為。報告稱,黑客利用名為「剪貼板劫持者」的惡意軟件,試圖對230個萬比特幣錢包發起攻擊,通過替換錢包地址來非法獲利。

此前,互聯網安全領域的巨頭卡巴斯基實驗室就已經對此類攻擊提出過警示。卡巴斯基安全報告指出,犯罪分子在過去一年中通過各種手段竊取了超過900萬美元的以太坊。

黑客攻擊利用的并非系統漏洞,而是人性弱點

每年,都有成千上萬的人成為克隆網站和網絡釣魚的受害者,他們心甘情愿的上套,給不法之徒雙手奉上價值不菲的加密貨幣,眼睜睜的看著自己的財富消失無蹤。

但與普通人的認知不同,許多加密貨幣專家都強調安全事件中用戶的個體責任。他們認為,大多數人都不是安全專家,對風險并不知情,但還是需要具備基本的安全常識。很多人在進行交易活動時都不采取任何安全防護措施。

前述BleepingComputer平臺也曾表達過類似觀點。他們不無遺憾的指出,大多數計算機用戶和加密貨幣愛好者之所以遭到黑客攻擊,并非由于攻擊者使用的工具強大到不能防范,而是,用戶根本不了解計算機系統的運行邏輯和基本概念,比如,硬件、文件存儲、操作系統、路由和基本的互聯網應用程序。

摩根大通CEO:買家需要小心加密代幣:摩根大通CEO戴蒙稱,買家需要小心(加密代幣)。(金十)[2021/11/24 7:07:04]

簡而言之,攻擊加密錢包的黑客利用的并非復雜的系統漏洞,而主要是人性的弱點:疏忽和自以為是。

讓我們看看黑客究竟有哪些手段,以及,如何保護我們的數字資產。

數億量級的潛在受害者

金融巨頭荷蘭國際集團的研究表明,大約9%的歐洲人和8%的美國居民擁有加密貨幣,25%的人計劃在不久的將來購買數字資產。

據測算,加密貨幣持有者的數量預計將在2024年達到2億左右。

全球范圍內的黑客活動對加密貨幣行業發展構成重大威脅。研究表明,71%的加密貨幣交易者認為,盜竊是市場的最大風險之一。

圖自Foley&Lardner

可以將針對加密貨幣的黑客攻擊行為分為三類:針對區塊鏈技術平臺、加密貨幣交易所發起的攻擊;發布隱秘挖礦軟件;針對用戶錢包的攻擊。

平臺選擇很重要雙因子身份驗證機制

公告 | 寶二爺辟謠沒有創辦“國際交易所火網”提醒人們小心上當:近日,網絡上流傳“寶二爺創辦了國際交易所火網”消息,對此,寶二爺發布微博稱沒有創辦該交易所,并提醒說,“大家小心上當”。[2019/3/8]

被攻擊的受害者通常是使用安卓操作系統的智能手機用戶,因其不使用雙因子身份驗證機制(2FA)。

傳統的密碼驗證由一組靜態信息組成,如:字符、圖像、手勢等,很容易被獲取。雙因子驗證是一種安全級別更高的密碼驗證方式。2FA是基于時間、歷史長度等自然變量和令牌、指紋等實物,結合一定的加密算法,組合出的一組動態密碼,一般每60秒刷新一次,不容易被獲取和破解。

由于開源,谷歌的安卓系統更容易被病侵襲,因此不如iPhone安全。黑客們可以將某些代表特定加密貨幣的應用程序添加到GooglePlay商店,用戶開啟應用程序后,輸入敏感數據時候,黑客就可以伺機訪問。

這類攻擊最著名的要數美國加密貨幣交易所Poloniex。黑客繞過Poloniex官方平臺,在GooglePlay上發布了冒牌的移動應用程序,供粗心大意的交易者下載,以便漁利。在該軟件被從GooglePlay刪除之前,已有5500名交易者受到影響。

聲音 | 上交所架構師:證券行業對于區塊鏈應秉承“大膽包容,小心落地”的態度:上交所技術有限責任公司架構師朱立今日發文就區塊鏈技術在證券行業的應用前景做簡要前瞻。朱立認為,法律監管、法幣上鏈以及區塊鏈隱私保護的技術問題阻礙了聯盟鏈的運用。雖然區塊鏈被稱為“顛覆性的技術”,但近期看,這種顛覆性對證券行業遠未成為現實。總的來說,證券行業對于新技術應該秉承“大膽包容,小心落地”的態度,不跟風、不盲從、不武斷。[2018/10/18]

與之相比,蘋果的IOS平臺審核機制更為嚴苛,比較不太容易受攻擊。

隨著移動互聯網時代到來,針對主流的應用平臺GooglePlay和AppStore,專家建議:不要隨便安裝不太需要的手機應用程序;在智能手機上對應用程序進行雙因子身份驗證;使用過程中,務必查看官網上的應用程序連接。

謹慎使用Slack機器人

去年以來,Slack機器人成為熱門應用,迅速成為增長最快的企業級聊天軟件之一。不幸的是,Slack機器人也可以被居心不良的黑客利用,用于竊取數字貨幣。通常,黑客們快捷的創建一個機器人,并通知用戶,他們的加密貨幣出現了問題,誘使目標點擊鏈接,輸入私鑰。即便技術人員迅速響應,但還是有人中招,黑客在成功的竊取了財產后逃之夭夭。

金色財經獨家采訪 NULS聯合發起人冉小波:漏洞很正常 開發者需要萬分的小心:近日,360公司Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。對此,NULS聯合發起人冉小波表示:EOS有漏洞是很正常的,每一個區塊鏈項目都要經歷無數的BUG修復過程,在區塊鏈的世界里,這些都與經濟是緊密結合的,因此開發者要萬分小心,要對代碼進行多次review。EOS在主網上線之前發現漏洞其實是萬幸,如果在主網啟動之后出現這種情況,可能只能用硬分叉的方式來解決了,而這又可能會造成社區的分裂。[2018/5/29]

此前,黑客通過Slack機器人已經從用戶手中騙到了價值50萬美金的以太坊。

專家建議:舉報Slack機器人,或將其屏蔽;忽略機器人的活動;如非必須,慎用Slack工具,或者全程使用主流的殺軟件或安全瀏覽器。

圖自Steemit@sassal

網絡瀏覽器插件

網絡瀏覽器提供了一些擴展插件以供用戶自定義界面,更輕松的訪問加密貨幣交易所,或使用錢包應用。通常,這些擴展是基于JavaScript腳本開發。他們能夠輕易的讀取你在訪問時輸入的所有信息,極易受到黑客攻擊。

瑞典央行行長:比特幣高度波動、缺乏監管,投資者應小心:巴塞爾委員會全球監管機構主席兼瑞典央行行長斯特凡·英格維斯(Stefan Ingves)表示:目前投資比特幣前景非常兇險。如果你回過頭看看上個世紀發生的事情,那些諸如郁金香或其它類似的東西,當它們達到這個高度的時候,它還能繼續下去的幾率有多大。這恐怕會讓那些對此仍抱有幻想的人們大失所望。[2017/12/12]

近年來,隨著Web2.0和Ajax等交互式網頁開發技術的普及,各種漏洞變得極為常見。

專家建議:進行加密貨幣相關操作時,使用單獨的瀏覽器;選擇匿名模式;不要下載任何加密貨幣插件;在進行加密貨幣交易時,使用專用的電腦或智能手機。

手機短信驗證

用戶們都已經習慣了用智能手機進行一切操作,包括加密貨幣交易。但網絡安全專業企業已經證明,通過SS7信令系統協議,在全球范圍內攔截帶密碼確認內容的短信是多么容易。

SS7信令系統是由國際電信聯盟電信標準分局定義的一組電信協議,主要用于為電話公司提供局間信令。

研究表明,黑客可以利用蜂窩網絡數據漏洞攔截用戶短信。

專家建議:關閉呼叫轉移功能;盡量不要使用手機短信作為雙因子身份驗證手段,使用其它替代方案。

公共Wi-Fi

在路由器的Wi-Fi保護訪問協議中,存在不可恢復的漏洞。在執行基本KRACK攻擊之后,用戶的設備能夠重新連接到與黑客相同的的Wi-Fi網絡中。由此,用戶通過網絡下載或發送的所有信息都可供攻擊者使用,包括加密貨幣錢包私鑰。

在火車站、機場、酒店等人流量較大的公共區域,Wi-Fi網絡尤其不安全。

專家建議:永遠不要在公共Wi-Fi環境下交易加密貨幣,即使在使用VPN服務;經常更新路由器硬件。

克隆網站和釣魚軟件

這種黑客攻擊方法由來已久,但現在仍然奏效。黑客們創建一個原始站點的完整副本,僅僅修改域名的一個字符,或對瀏覽器地址的字段進行替換,引誘用戶訪問克隆網站,讓他們輸入帳戶密鑰。

還有另外一種情況,發送一封偽造的電子郵件,誘使用戶點擊鏈接并輸入個人信息。每年都有價值不菲的加密貨幣被這種拙劣手法騙走。

專家建議:確認加密貨幣相關網站的HTTPS協議信息;使用谷歌瀏覽器時,定制擴展名;當收到任何來自加密貨幣網站的相關信息時,將鏈接復制到瀏覽器地址欄,跟原始網址對比是否一致;收到可疑郵件,不去點擊,立即刪除。

加密貨幣劫持:隱秘挖礦

由于加密貨幣服務日益普及,用戶安全意識逐步提高,黑客通過野蠻攻擊獲利的可能性在逐漸降低,他們逐漸將目光轉向了隱秘挖礦。

據安全網絡公司McAfeeLabs測算,2018年第一季度,全球范圍內共出現了290萬個用于隱秘挖礦的病腳本,比2017年第四季度增加了625%。

截至2018年7月,暗網上大約有12000個交易平臺,為黑客們提供三萬多種惡意軟件。在這樣的平臺上,惡意攻擊軟件的平均價格僅為200美元。

圖自CarbonBlack

舉例來說,6月末,用戶發現了一個名為All-Radio4.27Portable的程序,當安裝該程序后,就無法刪除。該軟件偽裝成內容查看器,其實是典型的“加密貨幣劫持”。該軟件包內含有一個隱藏礦工,會嚴重拖慢計算機的運行速度。此外,當用戶復制并粘貼密碼時,它會自動收集比特幣錢包地址。

做好安全防范,不輕信,不盲從

黑客能夠侵入用戶系統的方法五花八門,加密渠道、安全軟件、多重驗證等等手段,都只能在一定程度上保護你的財產。最關鍵的是,做好一切防范措施,掌握基本常識。在訪問涉及財產的任何網站或使用相關應用時,仔細,再仔細,不輕信,不大意,使用正版軟件,遵守安全規則。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

加密谷Live

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3626972.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

下一篇:

黑客大軍「撞庫」攻擊交易所,是誰泄露了用戶數據?

Tags:加密貨幣區塊鏈ACKLAC數字貨幣和加密貨幣的區別和聯系區塊鏈dapp開發費多少錢JACKRBLACKHOLE

FIL
BTC:BTC場外交易亂象:掮客掀“非吸”漩渦 玩家被圈近3億元_萊特幣相較于比特幣的優勢有

立案告知書。 李想在燒餅鋪群里的交易過程截圖。李想給沒發幣的客戶發賠償金截圖。浙江杭州曝一起比特幣非法吸收公眾存款案,兩名“搬磚工”以“類期貨”交易低價優勢和借幣付息為“誘餌”,圈百余人超七千枚.

1900/1/1 0:00:00
比特幣:文摘 | 打破區塊鏈中 5 個最常見的誤區_CORE

原文閱讀時長7分鐘:https://medium.com/@prashantramnyc/5-most-common-myths-about-the-blockchain-technology-.

1900/1/1 0:00:00
比特幣:黑客:沒有內疚,這是“倒霉鬼”應得的_USD

丟幣一直是加密世界中老生常談的話題,無論是個人用戶還是交易所都曾因為數字資產被盜而麻煩上身。作為罪魁禍首的黑客,早已成為個人用戶的眼中釘、交易所的肉中刺.

1900/1/1 0:00:00
ADA:公告中心 | TRP交易大賽獎勵公示_Bitcoin Galaxy

尊敬的BITKER用戶:“TRP交易大賽”活動已經于2019年5月15日23:59:59圓滿結束,感謝用戶的大力支持,所有獎勵都已經發放至您的個人賬戶,敬請查收,感謝您的支持與參與.

1900/1/1 0:00:00
區塊鏈:貿易戰升溫 BTC何去何從_BTC

5月16日美國商務部工業與安全局將華為列入“實體名單”,谷歌撤銷了華為的Android許可證,除了谷歌之外,受美國政府禁令影響,包括英特爾、高通、賽靈思和博通也都正在切斷與華為的交易.

1900/1/1 0:00:00
OIN:魏斯評級發布最新加密貨幣評級,首次披露評級依據_BLU

魏斯評級是目前唯一一家提供加密貨幣評級的金融評級機構,本周,該公司公布了93個加密貨幣評級的名單,其中包括BTC、ADA、EOS、ETH、XRP、XLM和TRX.

1900/1/1 0:00:00
ads