谨防:Discord 私信钓鱼手法分析

By:Thinking@慢雾安全团队

事件背景

5月16日凌晨,当我在寻找家人的时候,从项目官网的邀请链接加入了官方的?Discord?服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

钓鱼手法分析

我访问"机器人"(Captcha.bot)发来的链接后,是有让我进行人机验证的,但是当我验证通过后,发现它要求唤起我的小狐狸(MetaMask)钱包,唤起的钱包界面挺真实的,如下图所示,但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕,如果是插件唤起的就不会有这个"about:blank"的地址栏了。

Terraform Labs正出售AVAX,LFG地址仍持有85万枚AVAX:金色财经报道,据推特用户余烬监测,Terraform Labs 正在链上出售 AVAX 。Luna Foundation Guard(LFG) 地址一年前 (2022/4/27) 接收到 1,085,421枚AVAX(价值1535万美元);前天 (5/30) LFG 地址将 20 万枚 AVAX(289万美元) 转至 0x49ee 并开始出售,目前已将 14.7 万枚 AVAX 换成 211万 稳定币;目前正在出售 AVAX 的 0x49ee 地址,在 1/11-3/12 还从 Terraform Labs 地址接收 12,738,900 枚LDO 并售出换成 2868万 稳定币。(Terraform Labs 的 LDO 是 2020 年私募投资获得,数量为 2000 万枚,目前已全部出售)。 LFG 地址目前还持有 85 万枚 AVAX(1200万美元)。[2023/6/1 11:53:04]

接下来我随意输入了密码,并且通过审查元素查看,确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的,并不是真实的钱包界面,于是我开始调试这个钱包。

比特币矿企Hive Blockchain将出售1亿美元的普通股:金色财经报道,比特币矿业公司Hive Blockchain (HIVE)计划将其比特币算力提高一倍,达到6 EH/s。为了给该计划提供增长资金将出售1亿美元的普通股,加拿大投资公司加拿大皇家银行和 Stifel acting 将担任股票承销商。[2023/5/12 14:59:34]

在随意输入密码后,这个虚假的钱包界面进入到"SecurityCheck"界面,要求我输入助记词进行验证。注意,输入的密码和和助记词会被加密发送到恶意站点的服务端。

FTX CEO:SBF不再代表FTX交易所和附属公司发言:金色财经报道,FTX官方推特发布了首席执行官John Ray的声明,声明表示,“正如此前宣布的那样,SBF于11月11日从FTX、FTX US、Alameda Research及其直接和间接拥有的子公司辞职。SBF目前没有在FTX、FTX US或Alameda Research Ltd.担任职务,也不代表他们发言”。

此前报道,SBF近日频繁发推表达他对FTX破产的想法,并接受了纽约时报的采访。[2022/11/17 13:14:59]

通过分析域名可以发现,这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223,但是都是托管在cloudflare上,只能是反手一个举报了。

YML启动首个NFT项目以恢复加州森林:金色财经报道,总部位于硅谷的数字机构 YML 今天宣布启动首个用于恢复加州森林的 NFT 项目。该项目名为 FIREWATCH,旨在防止野火并促进加州的重新造林。更重要的是,所有收益都将捐给致力于全球重新造林的非营利组织 One Tree Planted。该组织将利用这笔资金支持野火的预防和保护。[2022/9/2 13:03:40]

分析恶意账号

下载保存好恶意站点的源码后,我将情报发给了项目方团队,并开始分析这次钓鱼攻击的账号。由于我刚加入家人群,就收到了下面的这个地址发来的验证消息。经过分析,这个账号是一个伪装成Captcha.bot机器人的普通账号,当我加入到官方服务器后,这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接,从而引导我输入钱包密码和助记词。

我在相关频道里面搜索了Captcha.bot,发现有好几个假Captcha.bot,于是将这几个账号也一并同步给了项目方团队,项目方团队很给力,也很及时地进行了处理,把这几个假Captcha.bot删除了,并一起讨论了可能的防范方式。

再次收到钓鱼链接

事情还没结束,第二天早上又一位慢雾的小伙伴加入到官方Discord服务器中,再次收到恶意账户发来的私信,里面包含着一个钓鱼链接,不同的是,这次的钓鱼者直接伪装成官方的账户发送私信。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证,然而不是采用假小狐狸(MetaMask)的界面来用户,而是直接在页面上引导用户输入助记词了,这个钓鱼手法就没这么真。

钓鱼网站的域名和?IP?是app.importvalidator.org47.250.129.219,用的是阿里云的服务,同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷,用户要学会自己识别各种钓鱼手法避免被,项目方也要加强对用户安全意识的教育。

用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识,学会识别伪装MetaMask的攻击手法,网页唤起MetaMask请求进行签名的时候要识别签名的内容,如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包,由于硬件钱包一般不能直接导出助记词或私钥,所以可以提高助记词私钥被盗门槛。

项目方团队也要时刻关注社区用户的反馈,及时在社区Discord服务器中删除恶意账户,并在用户刚加入Discord服务器时进行防钓鱼的安全教育。

Discord隐私设置和安全配置参考链接:

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

PEPEDefiance Capital 创始人:LUNA 事件带来的启示

作为DeFi的早期参与者和倡导者,我一直认为一个去中心化的货币和网络需要一个去中心化的金融堆栈提供支持。否则,我们就只能在中心化的托管机构之间转移加密资产.

ICP三分钟了解Yuga Labs元宇宙项目Otherside

4月26日,YugaLabs新推出的元宇宙项目Otherside发推表示,Otherside铸造将采用荷兰式拍卖方式,仅使用ApeCoin来支付。荷兰拍卖的起拍价将于本周晚些时候公布,ApeCoin的价格可能会随着时间的推移而下降.

[0:15ms0-1:575ms