网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　2.1.1 DM类钓鱼攻击介绍

　　利用社交平台向用户发起私聊实施钓鱼攻击，是一种相对简单且易于实施的攻击：通过精心构造的诈骗场景诱导用户向特定区块链地址转账或访问钓鱼页面。

　　用户参与某抽奖活动并中奖，奖品是免费向用户赠送的，但用户需要向特定钱包转账0.02ETH作为gas费，对方再将中奖奖品转发给中奖用户。

　　下图给出了攻击者利用社交平台向用户发起私聊并实施钓鱼攻击的案例截图

　　DM类钓鱼攻击分析及安全建议

　　黑客希望通过利益冲昏被钓鱼者的头脑，在使用区块链时，应当坚信没有免费的午餐。

　　Ledger硬件钱包在其安全使用建议中专门指出：不要与在Discord、Twitter或任何其他社交平台上给你发送私人信息的人进行互动及交互，在Web3环境中，任何人都没有理由直接通过社交联系用户，并向其发送信息。

　　在使用 Discord 及 Twitter时，可以选择关闭DM选项或不查看推特的私信请求，眼不见为净。

　　2.1.2 账号仿冒类攻击介绍

　　通过仿冒社交账号的方式实施钓鱼攻击：将社交账号名称，头像，介绍等信息设置为与被仿冒社交账号相近的内容，并通过社交网络释放钓鱼链接的方式实施钓鱼攻击。在区块链环境中，知名的DAPP项目方通常会遭受社交账号仿冒类攻击，严重威胁到用户持有的数字资产安全。

　　下图给出了一个正版社交账号：

　　下图给出了仿冒账号通过社交网络释放的钓鱼站点链接

　　账号仿冒类攻击分析安全建议

　　通过比对分析能够发现仿冒攻击成功实施需要满足以下要点：

　　针对该攻击，主要有以下安全建议：

　　2.1.3 域名仿冒类攻击介绍

　　域名仿冒类攻击实施通常需要满足一定的先验条件：

　　在2022年7月13日左右，由明星代言的Theirsverse NFT项目就遭遇了域名仿冒攻击，攻击者仿造正版域名“theirsverse.com”注册了仿冒的域名“theirverse.com”，为了使访问到仿冒站点的用户更加确信其访问的是官方网站，攻击者进行了如下工作使其站点看起来更加真实：

　　经链上数据分析发现了一名遭遇仿冒域名钓鱼攻击的受害者：其损失的数字资产超过1.3w美金。这名受害者的遭遇为很多区块链用户提供了重要的警示作用。Theirsverse项目发行的NFT在7月13日左右正在举办铸造NFT的活动，用户可以支付0.15ETH并mint一个Theirsverse NFT。

　　受害过程如下：

　　1）受害者为了及时参与到抢购活动，在开车时尝试使用手机钱包访问项目官方网站；

　　2）由于受害者没有记住项目方提供的官方网站域名，在输入域名时错将正版域名输入为仿冒域名，由于此时受害人正在开车，并没有注意到域名的差异；

　　3）攻击者专门在仿冒域名处部署一套完全克隆了官方网站的代码，使受害人确信其访问的站点为项目官方站点；

　　4）仿冒网站与官方网站相差无异，此时受害者已进入攻击者所布置的钓鱼陷阱，在没有连接区块链钱包并进行交易授权时，此时其数字资产仍然是安全的；

　　5）受害者使用区块链钱包连接仿冒网站，仿冒站点已具备查看受害者钱包地址信息的权限，用户持有的数字资产及价值已被攻击者获取；

　　6）此时仿冒站点开始频繁向用户发起授权请求；

　　7）受害者误以为自己正在访问Theirsverse官方网站，且与区块链交互所需支付的gas费极低，误以为钓鱼站点发出的交易请求是兑换Theirsverse NFT的交易，因此点击了确认按钮。

　　8）受害者点击了3次交易确认按钮，将钱包中持有的WETH及gOHM代币以及某知名NFT的spend权限（至少可以转移）授予至攻击者控制的区块链合约地址，此时攻击者已具备转账其WETH、gOHM这两种ERC20代币权限。

　　9）仿冒站点仍然持续弹出交易确认请求，此时受害者发觉异常，开始拒绝该网站发起的任何交易请求，才没有造成更严重的损失。

　　10）在获得转账权限后攻击者通过运行自动化脚本立刻将用户持有的WETH、gOHM代币转移至其个人钱包地址，链上数据分析工具debank提供的受害者账户资产被盗取的历史记录如下图所示：