慢霧：Web3釣魚手法解析

原文標題：《慢霧：Web3釣魚手法解析》
原文來源：慢霧安全團隊

近期，慢霧(SlowMist) 受邀請參加DeFiHackLabs 舉辦的Ethereum Web3 Security BootCamp。身為演講嘉賓，慢霧安全審計負責人Thinking 從「偽、餌、誘、攻、隱、技、辨、禦」八個章節，結合實際案例，帶領學員深入了解釣魚駭客的作惡方式及隱匿手段，並提出了相關防範措施。釣魚是產業重災區之一，知己知彼，才好做好防禦工作。本文將擷取分享會中的關鍵內容，幫助用戶了解釣魚攻擊的現況和有效規避釣魚攻擊威脅。

為什麼會被釣

Web3 世界中，釣魚攻擊已成為主要的安全威脅之一。我們先來看下，用戶為什麼會被釣魚。其實，即使安全意識較高的使用者有時也會發出「常在河邊走，哪有不濕鞋」的感概，畢竟一直保持最高警覺性是很難做到的。攻擊者透過分析近期熱點項目及社群活躍狀況、用戶規模等因素，選擇高關注度的目標並精心偽裝，再透過空投、高收益等誘餌吸引用戶上鉤。這些攻擊手法通常伴隨社會工程學，攻擊者十分善於利用使用者心理實現詐騙目標：

·  利誘：Airdrop資格白名單，挖頭礦，財富密碼等。

·  好奇/ 貪婪：無懼賣飛的逃頂策略，不容錯過潛在100 倍幣，今晚10 點不見不散，會議鏈接https:/ /us04-zoom[.]us/（惡意）；$PENGU 空投白名單不容錯過，https://vote-pengu[.]com/（惡意）。

·  恐懼：緊急警告：XX 項目被黑，請使用 revake[.]cash（惡意）取消授權，避免資金損失。

·  高效工具：薅空投工具，AI 量化工具，一鍵挖礦薅羊毛等。

攻擊者費功夫製造並投放誘餌無非是因為有利可圖，透過以上手段，攻擊者便能輕鬆獲取用戶的敏感資訊/ 權限，進而竊取用戶資產：

·  盜取助記詞 / 私密金鑰：欺騙使用者輸入助記詞或私密金鑰。

·  欺騙使用者使用錢包簽名：授權簽名，轉帳簽名等。

·  盜取帳號密碼：Telegram，Gmail，X，Discord 等。

·  盜取社群應用程式權限：X，Discord 等。

·  誘導安裝惡意程式：假錢包 APP，假社交 APP，假會議 APP 等。

釣魚手法

接下來，我們來看看常見的釣魚手法有哪些：

盜取帳號/ 高仿帳號

近期Web3項目方 /KOL 的 X 帳號被盜事件頻發，攻擊者盜取帳號後常推廣假代幣，或是在發布的「好消息」裡建構類似的網域誘騙用戶點擊。當然，也存在域名是真實的情況，因為攻擊者可能接管了項目方的域名。一旦受害者點進釣魚鏈接，進行簽名或下載惡意軟體，便會被盜。

除了盜取帳號的方式，攻擊者在 X 上也常利用高仿的帳號在真實帳號的留言區留言以誘導使用者。慢霧安全團隊曾做過針對性的分析統計：約有 80% 的知名專案方在發布推文後，評論區的第一條留言會被詐騙釣魚帳號所佔據。攻擊者利用自動化機器人關注知名專案方動態，在專案方發布推文後，釣魚集團的機器人會自動化第一時間留言以確保佔據第一條留言位置，蹭到高瀏覽量。由於用戶正在瀏覽的帖子是真實項目方發送的，且經過偽裝後的釣魚團夥帳號和項目方的帳號高度相似，這時只要用戶警惕性不夠，點擊高仿帳號裡空投等名義的釣魚鏈接，然後授權、簽名，便會損失資產。

攻擊者也會冒充管理員發布假訊息，尤其是在Discord上這種現象較為常見。 Discord 支援用戶自訂暱稱和用戶名，於是攻擊者將頭像和暱稱改成與管理員一致的，然後在頻道內發布釣魚資訊或私訊用戶，用戶不點開帳號的資料查看用戶名的話，很難發現問題。此外，雖然 Discord 使用者名稱不可重複，但攻擊者可以使用與管理員使用者名稱高度相似的名字，例如僅在使用者名稱中多添加個底線或一個英文句號，使得使用者難辨真假。

邀約釣魚

攻擊者常透過和受害者在社交平台建立聯繫，向用戶推薦“優質”項目或邀請用戶參加會議，引導受害者訪問惡意的釣魚站點，下載惡意的應用程序，此前便有用戶因為下載了假Zoom 導致被偷的狀況。攻擊者使用形如“app[.]us4zoom[.]us”的域名偽裝成正常 Zoom 會議鏈接，頁面與真 Zoom 高度相似。當使用者點擊「啟動會議」按鈕，便會觸發下載惡意安裝包，而非啟動本機 Zoom 用戶端或下載 Zoom 的官方用戶端。由於惡意程式在執行時誘導使用者輸入密碼，且後續的惡意腳本也會擷取電腦中插件錢包資料和KeyChain 資料（可能包含使用者儲存在電腦上的各種密碼），攻擊者收集後就會嘗試解密數據，獲得用戶的錢包助記詞/ 私鑰等敏感資訊，從而盜取用戶的資產。

利用搜尋引擎排名

由於搜尋引擎的排名結果可以透過購買ad推廣來提升，這也就導致釣魚網站排名可能還比真官網靠前的情況，用戶在不清楚官網網址的情況下，僅憑網站的展示頁面很難判斷出這是不是個釣魚網站，並且釣魚網站在Google Ads 推廣功能中可以自訂ad 展示的URL，在Sponsored 中展示的URL 可能和官方的URL 完全一致，但是用戶點擊ad 的URL 會跳到攻擊者建立的釣魚網站中。由於攻擊者製作出的釣魚網站與真官方網站極為相似，可以以假亂真，因此不建議用戶直接透過搜尋引擎找官網，這樣很有可能會進入釣魚網站。

TG 廣告

近期因為假的TG Bot而受損的用戶大幅增加，多位用戶報告在使用交易機器人時，頻道頂部出現了一個新的機器人，以為是官方新推出的，於是點進新機器人導入私鑰綁定錢包，結果被盜。攻擊者利用 Telegram 精準投放廣告至官方的頻道，引誘使用者點擊。這類釣魚手法隱蔽性較高，由於這個廣告出現在官方頻道，用戶很容易下意識認為是官方發布的機器人，一旦警惕性不夠，點進了釣魚Bot，上傳私鑰進行綁定，便會被盜。

此外，我們近期也揭露了一種新型手法｜Telegram 假Safeguard 騙局，不少用戶因為按照攻擊者的教程運行了惡意程式碼而導致被盜。

APP 商城

應用程式商城（Google Play，Chrome Store，App Store，APKCombo 等）上的軟體不都是正版，很多時候商城沒有辦法對軟體進行完全的審核。一些攻擊者透過購買關鍵字排名引流等方式誘導用戶下載詐欺App，請廣大讀者註意甄別，在下載前，一定要先查看應用開發者信息，確保其與官方公佈的開發者身份一致，還可以參考應用評分、下載量等資訊。

釣魚郵件

郵件釣魚是最經典的套路，可以說是“樸實無華”，攻擊者使用釣魚模板，再加上Evilngins 反向代理，就可以構建類似下圖中的郵件：使用者點選“VIEW THE DOCUMENT」後，便會跳到虛假的DocuSign 介面（現已無法開啟），隨後如果用戶在該介面點擊Google登錄，便會跳到被反向代理的Google登入窗口，一旦輸入帳號、密碼、 2FA，帳號便被攻擊者接管。

上圖中的釣魚郵件顯然處理得不夠精細，因為發送方的郵箱地址並未進行偽裝，我們看下圖中的攻擊者是如何偽裝的：攻擊者的郵箱地址僅比官方的地址多了個小點，攻擊者透過DNSTwist 可以找到 Gmail 支援的特殊字符，不仔細看的話還以為是電腦螢幕不乾淨。

利用瀏覽器特性

詳情請見慢霧：揭露瀏覽器惡意書籤如何盜取你的Discord Token。

防禦挑戰

攻擊者的手段不斷進化，整體上往精細化，模板化的方向發展。先前我們分析發現，攻擊者不但能夠製造出與知名專案方官網高度相似的網頁和接管專案方的域名，還出現了一整套專案都是虛構的情況，虛假專案不但在社群媒體上有著眾多粉絲（買的），甚至還有GitHub 倉庫，這給用戶識別釣魚威脅帶來了更大的挑戰。此外，攻擊者對匿名工具的熟練運用也使得追蹤他們的痕跡變得更為困難複雜。攻擊者為隱匿身份，常使用 VPN、Tor、甚至控制被駭的主機實施惡意行為。

有了匿名身分後，攻擊者為建構釣魚網絡，還需要購買基礎服務設施，如Namecheap，支援加密貨幣付款，有些服務只需一個郵箱便可註冊，無需KYC 驗證，攻擊者也就能避免身分被追蹤到。

在上述基礎準備好後，攻擊者便可發動釣魚攻擊。獲利後的資金再利用 Wasabi、Tornado 等服務混淆資金路徑。為進一步增強匿名性，還可能將資金再換成門羅幣等具有高度匿名性的加密貨幣。

為避免留下樣本和證據，攻擊者會掃清痕跡，刪除相關網域解析、惡意程式、GitHub 倉庫、平台帳號等，這也就導致安全人員在分析事故時常碰見釣魚網站已經打不開，惡意程式已無法下載的情況，增加了分析和追蹤難度。

防禦策略

使用者可以根據上圖中的特徵來識別釣魚威脅，並掌握驗證資訊真偽的基本方式，還可以使用一些防禦工具來提高防釣魚能力：

·  釣魚風險阻斷外掛程式：如 Scam Sniffer 可以多維度偵測風險，使用者在開啟可疑的釣魚頁面時，工具會及時彈出風險提示。

·  交互安全性高的錢包：如Rabby 的觀察錢包（無需私鑰）、釣魚網站識別、所見即所簽、高風險簽名識別、歷史記錄Scam 識別等功能。

·  國際知名防毒軟體：如 AVG、Bitdefender、Kaspersky 等。

·  硬體錢包：硬體錢包提供了一種離線儲存私密金鑰的方式，使用硬體錢包和DApp 互動的時候，私密金鑰不會暴露在網路上，有效降低資產被盜風險。

寫在最後

在區塊鏈黑暗森林中，釣魚攻擊無所不在。修行就在起心動念處，需要看好自己的心念，避免於境「起心動念」而不自覺。行走於區塊鏈黑暗森林，最根本的是養成保持零信任和持續驗證的習慣，建議大家深度閱讀並逐步掌握《區塊鏈黑暗森林自救手冊》。

由於篇幅限制，本文僅介紹分享會中的主要內容，近七十頁的PPT 現已公開。

原文連結