By: Lizi
背景
10 月 14 日,据推特用户 Masiwei 反馈的信息,最近出现针对 friend.tech 的盗号恶意代码。
(https://twitter.com/0xmasiwei/status/1713188711243104467)
慢雾安全团队分析后,发现攻击者发来的链接里包含一段恶意 JavaScript 脚本,攻击者会诱骗用户添加其为书签,为后续作恶做准备。随后,慢雾安全团队在推特上发出安全警告。慢雾安全团队此前也写过一篇浏览器恶意书签攻击的文章——慢雾:揭露浏览器恶意书签如何盗取你的 Discord Token。
(https://twitter.com/SlowMist_Team/status/1713168236483584018)
10 月 17 日,friend.tech 用户 Double Wan 发推称其 friend.tech 资产被盗。慢雾安全团队第一时间协助受害者进行追踪调查,经过慢雾安全团队的努力和 OKX 的协助,被盗资金被成功拦截。下面我们将对假记者钓鱼攻击的过程进行梳理,希望帮助大家提高对这类骗局的防范意识。
攻击过程
伪装身份
所谓出门在外,身份是自己给的,攻击者将自己的身份伪装成知名报社的记者,在推特上还有一万多的粉丝。
确定目标
这段 JavaScript 恶意脚本是用于攻击 friend.tech 用户的,攻击者自然把目标对象挑选为 KOL,而且 KOL 有一定的知名度,收到采访邀请时也觉得这个行为是合理的。
攻击者会提前在推特上关注你正在关注的人,这样你在打开攻击者的推特主页后,发现有你和他有一些共同关注,便会觉得这个人是圈内人。
加强信任
约好采访时间后,攻击者会引导你去 Telegram 参加采访,还给你一份采访提纲。
(https://twitter.com/iamdoublewan/status/1714127044358066310)
(https://twitter.com/0xmasiwei/status/1713188713742876739)
就这样,你按照攻击者发来的采访提纲认真准备,然后参加了两个小时的采访,还听着两位“主持人”一唱一和,想着这个采访可能要被发布在知名的新闻网站上了,一切看起来都很正常。
猎杀时刻
采访结束后,攻击者会请你填一份表单,打开攻击者发来的钓鱼链接,可以看到在 Verify 的下方还对为什么需要及如何验证做了详细解释:为防止冒名顶替,您必须验证 friend.tech 账号的所有权。请按照以下说明完成验证过程。要验证您的 friend.tech 账户,请将“验证”按钮拖到书签栏,然后进入 friend.tech 网站,点击书签进行验证。
一旦用户在 friend.tech 页面打开含有恶意 JavaScript 脚本的书签,恶意代码会诱骗盗取用户的密码(即 friend.tech 的 2FA),并盗走 friend.tech 账号及其使用的嵌入式钱包 Privy 有关的 Token。这就意味着用户的 friend.tech 账号及相关资金都会被盗走。
(https://twitter.com/evilcos/status/1713164067358294293)
(https://twitter.com/evilcos/status/1713164067358294293)
慢雾(SlowMist) 创始人 Cos 还强调,如果你被盗走独立密码,即 friend.tech 的 2FA,如果你设置了 friend.tech 及其使用的嵌入式钱包 Privy 有关的 Token 等信息(包括 localStorage 里其他有关的信息), 那么你的私钥明文也就可以被盗走。也意味着,你的帐号已经作废,除非 friend.tech 愿意给你换个私钥及对应的钱包地址。
(https://twitter.com/evilcos/status/1714237137829458335)
防范措施
-
提高对社会工程攻击的警惕性
-
不点击不明链接
-
掌握钓鱼链接的基本识别方法,如: 检查域名的拼写是否有错误,乱序,额外的标点符号,交叉比对其与官方的域名是否一致
-
安装防钓鱼插件,见往期公众号文章——NFT 防钓鱼指北:如何选择一款防钓鱼插件
总结
如今社会工程攻击和钓鱼骗术不断更新,这起事件的受害者只是抱着练习英语口语的目的接受采访,没想到最后 friend.tech 资金被全部盗走。虽然这些骗术我们不见得都听说过,但通过一些方法可以很大程度上避免钓鱼攻击,例如:不点击不明链接;掌握基本的识别钓鱼链接的方法;对要授权、输密码的行为都保持怀疑和持续验证等。最后,建议阅读慢雾出品的《区块链黑暗森林自救手册》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF
原文始发于微信公众号(慢雾科技):险象环生:警惕假记者钓鱼攻击
