标题|干货分享|年关将近,加密版「百世可乐」「王仔牛奶」已上架,解锁反钓鱼新姿势!
商纣王暴虐,周文王决心推翻暴政。
太公姜子牙受命下界帮助文王。申公豹听说此事后决定冒充姜子牙,于是在文王回都途中,变幻为姜子牙模样坐于河边,用没有鱼饵的直钩钓鱼。
我们都知道鱼钩本该是弯的,但是申公豹反其道而行之,文王见到大为惊奇,上前查探,然卒。
看来钓鱼这一行为除了陶冶情操,还具备相当的危害性。
比如网络钓鱼攻击。
当然,实际上的钓鱼攻击历史才十余年,却让很大一部分人深受其苦。
从它的英文Phishing一词中可以看出,原本的鱼-Fishing的F变成了Ph,这个Ph来源于单词Phone,寓意钓鱼攻击黑客始祖们最开始选择的是通过电话手段来进行攻击。
德克萨斯州证券委员会对两起加密局发出紧急停牌令:9月3日,德克萨斯州证券委员会(TSSB)专员Travis J. Iles对两起名为Forex Birds和PEK Universe的加密局发出了紧急停牌令。Kumar Babu Bondesi和Darwin Eric Balusek被控是这些阴谋的操纵者,Balusek还被称为“比特币教皇”。他们被控欺诈发行与外汇(forex)和加密货币相关的证券。Forex Birds涉嫌向投资者承诺高达11%的收益,其存款最高可达100万美元。该监管机构表示,Forex Birds和Pek Universe都没有在德克萨斯州注册从事证券交易,根据官方命令,被告将面临1万美元的罚款或2到10年监禁,或者并处。被调查者必须要求在9月31日前与监管机构举行听证会。(Cointelegraph)[2020/9/7]
作为一种社会工程攻击手段,网络钓鱼攻击通常用于窃取用户数据,包括登录凭证和钱包或资产信息。
研究:俄罗斯加密局在2020年上半年增长三倍:网络安全公司Kaspersky Labs研究发现,2020年上半年,俄罗斯与加密相关的呈指数级增长。研究人员确认了23000个涉及加密的网站,这些网站以新的受害者为目标,这一问题是去年同期的三倍。[2020/7/30]
研究表明,2020年全球75%的组织经历了某种网络钓鱼攻击。
在这些钓鱼攻击中,96%的攻击来自于电子邮件——黑客们也在与时俱进。
随着加密世界的发展,钓鱼攻击的魔爪逐渐从网络伸至加密领域并且造成了更多的危害和损失。
在加密领域中,攻击者会设立一个钓鱼网站,试图受害者们将敏感信息或是钱包连接到一个恶意浏览器扩展中。这一攻击的目标有时是个人,更多时候针对的是受害者可访问的多个系统。
动态 | Block.one联合创始人Brock Pierce被指责支持疑似加密局的EXW Wallet:Block.one及Blockchain Capita联合创始人、加密市场亿万富翁之一Brock Pierce最近被指责为一个潜在的加密局EXW Wallet背书。他参加了2020年初由EXW Wallet团队举办的一次会议。然而,鉴于该项目的结构类似于以前的局,加密社区一些利益相关者对其合法性提出担忧。Brock Pierce后来删除了他支持EXW Wallet的推文。据称,该项目承诺向存入数字资产的用户提供0.33%的日投资回报。此外,EXW Wallet还与Crypto Trust Consulting合作,后者声称是在英国法律范围内注册。然而,英国FCA的记录却描述了一个不同的故事,Crypto Trust Consulting似乎并没有进行相关注册。该公司也在奥地利金融市场管理局的黑名单上,因为它发现该公司的投资者在资金损失方面没有受到任何保护。(Bitcoin Exchange Guide)[2020/1/9]
网络钓鱼攻击的几种类型
动态 | BBC Sounds播客节目讲述加密局OneCoin创始人Ruja Ignatova的故事:BBC Sounds新播客《失踪的加密女王》调查了一起加密货币局和一起数十亿英镑国际欺诈案的责任人。该播客讲述了Ruja Ignatova的故事,她是OneCoin创始人,于2017年失踪。2019年3月,她在美国被指控、电汇和证券欺诈,美国司法部称OneCoin为老式计划。Konstantin Ignatov在她失踪后接管OneCoin,他于2019年3月因共谋实施电信欺诈而被捕,预计将在美国受审。 BBC获得的数据显示,这场局在全球范围内价值在36-40亿英镑之间。受害者来自175个国家,这可能是有史以来最大的加密局,至今仍在继续。(BBC)[2019/9/18]
虚假浏览器扩展近期出现了大量不同功能的浏览器扩展工具,尤其是加密货币方面的。
而其中就有子创建的虚假钱包扩展——类似于MetaMask。子通过这一虚假扩展从用户那里窃取资金。
同时大家要注意,虽然浏览器是合法的,但不代表它的所有扩展都是合法的。
如果大家选择下载加密货币扩展,那么一定记得检查其信息页面,确保它评论众多,还有一个值得信赖的开发商。
虚假应用程序几个月前,有个叫做Saitama的项目十分火爆,它的官方应用程序SaitaMask还没出来之前,GooglePlay商店里就有一个假App上线。
对没错,欺诈手段中还有一种常见方式就是这样——通过比如GooglePlay或是苹果App?Store下载的假App。
据BitcoinNews报道,各式各样的假App们已经有了成千上万的下载量。
因此在下载相关App时,请大家仔细观察App的名称及相关信息,比如是否出现拼写错误,品牌形象是否有PS痕迹,或者有没有其他任何看起来不太对劲的标志。
劫持DNS局的套路只有更防不胜防没有最防不胜防。
DNS劫持攻击已经有了几十年历史——网络犯罪分子劫持合法网站,并覆盖一个恶意页面。当用户们在这个虚假域名内输入私人密钥,那他们就该被称为受害者了。
这一欺诈方式可以通过覆盖计算机TCP/IP配置的恶意软件来实现,使其指向攻击者控制的恶意DNS服务器,或者通过修改受信任的DNS服务器的行为,使其不符合互联网标准。
典型案例
2021年,成千上万的Coinbase用户成为网络钓鱼攻击的受害者——据彭博资讯报道,超过6000名Coinbase用户的资产受到了损失。
攻击者仿冒Coinbase官方向用户发送电子邮件,称用户的账户已经被锁定,要求他们提交长期凭证或给予虚假URL,一旦用户点击,其登录信息就会被攻击者获取。有的攻击邮件则是包含虚假App可以让攻击者直接访问受害者的电子邮件账户。
而无论选择哪种手段,只要攻击者获取了受害者的Coinbase的登录信息或是电子邮件账户,就可以实施资产盗窃行为。
还有些攻击者会假冒比如Trezor之类的硬件钱包供应商或是其他交易所平台,通过钓鱼邮件或者短信试图诱使受害者?"更新"他们的助记词或修改密码,然后就可以直接将其资产转移。
2021年早些时候,BleepingComputer报道称,有些黑客劫持了比特币的官方网站Bitcoin.org,改变了其部分内容,发布了一个赠送加密货币的局。
尽管该场局维持了还不到一天的时间,但还是有不少用户上当,并造成了超过17,000美元的损失。
如何避免被攻击?
不要随便点击你收到的邮件里的链接!
邮件的来源哪怕没问题,但不代表它里面的链接也没问题。如果是你需要的链接们,你最好收藏一下以备不时之需。
在遭遇上文所述类似情况的状况时,注意核实各项信息以避免被“山寨”,并且正经平台一般不会通过Gmail地址主动联系你。
使用双因素认证。这增加了一个额外的验证步骤——比如我们平时需要输入的短信验证码、邮箱验证码、谷歌验证器之类的都属于双因素认证步骤。
还有,不要使用同一个密码!
经统计,有53%的“专一”小伙伴在所有社交网站、App等需要账号密码的地方使用了同一个密码。
很明显,这样非常危险。如果怕记不住的话,可以在电脑上装一个安全私密的密码管理器,或者创建一个生成并记忆密码的独有系统以此预防被攻击。
面对网络钓鱼攻击,仅仅是用户提高安全意识还远远不够。
对于官方平台来说,及时的通报和鲜明的身份标识都将有助于用户识别邮件等媒介的安全性与合法性。从最大程度上杜绝给予恶意攻击者们可乘之机。
原文作者:DylanLeClair,21stParadigm联创 原文编译:0x137 本文梳理自21stParadigm联创DylanLeClair在个人社交媒体平台上的观点.
巴厘岛-印度尼西亚-Frontera很高兴正式宣布结束一家著名的基于区块链的数字支付公司WadzPay与Tokoin合作的战略投资.
RFOXGames是MetaverseCompanyRFOX的一個部門,旨在為遊戲領域帶來新的遊戲收入水平.
DataSource:GameFiinPolygon1月份,SunflowerFarmers以450.94K的用户量一度成为Polygon上排名第一的游戏.
经过多年的发展和迭代,一个多方位的加密货币生态系统终于开始出现了。特别是对于像DeFi和NFT这样的行业,一直都在进行创新。每个新的应用和用例都建立在之前的基础上.
头条 ▌OpenSea前端疑似出现挂单Bug有人获利超200ETH1月24日消息,OpenSea前端疑似出现挂单Bug,有用户利用该Bug已获利超200ETH.