APT:谨防：Discord 私信钓鱼手法分析_bptchain

By：Thinking@慢雾安全团队

事件背景

5月16日凌晨，当我在寻找家人的时候，从项目官网的邀请链接加入了官方的?Discord?服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

钓鱼手法分析

我访问"机器人"(Captcha.bot)发来的链接后，是有让我进行人机验证的，但是当我验证通过后，发现它要求唤起我的小狐狸(MetaMask)钱包，唤起的钱包界面挺真实的，如下图所示，但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕，如果是插件唤起的就不会有这个"about:blank"的地址栏了。

火币官方：坚决打击网络欺诈，谨防虚假客服电话:据官方消息，近日，火币收到部分用户反馈，有团伙冒用火币客服身份致电用户，以火币名义添加用户微信，招揽用户进入假冒微信社群进行带单直播，造成用户损失。火币配合多地，对此类电话团伙进行了打击，目前已有多名犯罪嫌疑人落网。

火币郑重提醒，火币官方从未组建且也不会组建“老师带单”、“指导炒币”类投资社群，凡是打着火币投资炒币类名义联系用户的，皆视为行为；此外，火币致力于保护用户隐私，不会以任何形式向外界泄露任何用户信息，也不会以任何形式向用户索要账号密码、验证短信及谷歌验证码等信息。火币坚决打击网络，请各位用户警惕虚假宣传，仔细甄别推销，所有与火币相关的活动、社群信息，务必以官网公告为准，以免造成资产损失。

火币全球站现已上线官方验证通道https://www.huobi.com/zh-cn/verification，供用户辨别虚假行为，用户可随时通过该验证通道确认联系您的电话、微信等是否为火币官方渠道。[2020/9/24]

接下来我随意输入了密码，并且通过审查元素查看，确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的，并不是真实的钱包界面，于是我开始调试这个钱包。

Yam官方警告用户谨防丢币：唯一与YAM兼容的Uniswap池是YAM/yCRV:8月12日，DeFi项目Yam官方发布推文提醒称，唯一与YAM兼容的Uniswap池是YAM/yCRV （Curve yPool tokens），而为Uniswap平台其他池提供流动性是危险的。YAM的持有者可以通过治理建议来批准添加流动池。与此同时，Yam官方警告，Uniswap平台上YAM/ETH池仍有很大的吸引力，如果有用户正是该池的流动性提供者，请取消继续提供流动性（交易）。除了YAM/yCRV之外的任何Uniswap v2池将不会收到今天的重新设定后的币。需要说明的是，今天所有的代币都是重新设定的，但在YAM/ETH池中，如果投入代币，基本就是把自己的代币直接留给了第一个交易的人。[2020/8/12]

在随意输入密码后，这个虚假的钱包界面进入到"SecurityCheck"界面，要求我输入助记词进行验证。注意，输入的密码和和助记词会被加密发送到恶意站点的服务端。

政策 | 中国央行：谨防个别机构冒用人民银行名义发行或推广法定数字货币:12月11日，中国人民银行发文表示，近期，网传消息称人民银行已发行法定数字货币，更有个别机构冒用人民银行名义，将相关数字产品冠以“DC/EP”或“DCEP”在数字资产交易平台上进行交易。现就有关情况公告如下：

一、人民银行未发行法定数字货币（DC/EP），也未授权任何资产交易平台进行交易。人民银行从2014年开始研究法定数字货币，目前仍处于研究测试过程中。市场上交易“DC/EP”或“DCEP”均非法定数字货币，网传法定数字货币推出时间均为不准确信息。

二、目前网传所谓法定数字货币发行，以及个别机构冒用人民银行名义推出“DC/EP”或“DCEP”在资产交易平台上进行交易的行为，可能涉及和，请广大公众提高风险意识，不偏信轻信，防范利益受损。（中国人民银行官网）[2019/12/11]

通过分析域名可以发现，这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一个举报了。

声音 | 人民法院报：谨防“区块链”沦为“区块”:人民法院报今日发表李红军署名短评《谨防“区块链”沦为“区块”》，文章指出全国目前监测到的区块链公司中，带有“区块链”三个字，或经营范围内带有区块链的大约有32000多家，但经过实际监测真正拥有区块链技术的企业实际上大概只有这个数量的10%左右。此外，文章还特别“点名”了“量子阅读”涉嫌欺诈，并指出两方面要求：一方面，国家相关部门要加强对这方面的监管，不能让其野蛮生长；另一方面，自身的防范意识不可或缺。文章最后强调市场经济是一种法治经济，绝不是随心所欲的噱头经济，以“区块链”之名行坑人钱之实，既为人们所不齿，也为法律所不容。[2019/11/24]

分析恶意账号

下载保存好恶意站点的源码后，我将情报发给了项目方团队，并开始分析这次钓鱼攻击的账号。由于我刚加入家人群，就收到了下面的这个地址发来的验证消息。经过分析，这个账号是一个伪装成Captcha.bot机器人的普通账号，当我加入到官方服务器后，这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接，从而引导我输入钱包密码和助记词。

我在相关频道里面搜索了Captcha.bot，发现有好几个假Captcha.bot，于是将这几个账号也一并同步给了项目方团队，项目方团队很给力，也很及时地进行了处理，把这几个假Captcha.bot删除了，并一起讨论了可能的防范方式。

再次收到钓鱼链接

事情还没结束，第二天早上又一位慢雾的小伙伴加入到官方Discord服务器中，再次收到恶意账户发来的私信，里面包含着一个钓鱼链接，不同的是，这次的钓鱼者直接伪装成官方的账户发送私信。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证，然而不是采用假小狐狸(MetaMask)的界面来用户，而是直接在页面上引导用户输入助记词了，这个钓鱼手法就没这么真。

钓鱼网站的域名和?IP?是app.importvalidator.org47.250.129.219，用的是阿里云的服务，同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷，用户要学会自己识别各种钓鱼手法避免被，项目方也要加强对用户安全意识的教育。

用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识，学会识别伪装MetaMask的攻击手法，网页唤起MetaMask请求进行签名的时候要识别签名的内容，如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。

项目方团队也要时刻关注社区用户的反馈，及时在社区Discord服务器中删除恶意账户，并在用户刚加入Discord服务器时进行防钓鱼的安全教育。

Discord隐私设置和安全配置参考链接：

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

标签：APTTCHPTCCAPaptos币怎么参与hitchain币利好消息bptchainCAPY价格

LTC热门资讯