卡巴斯基实验室专家揭露了一个相对较新的欺诈趋势:加密货币的发展不仅吸引了投资者,还吸引了需求增加利润的网络罪犯。2018年上半年,卡巴斯基实验室产品拦截了超过十万个与加密货币假冒交易所和其他来源的触发情况。每次尝试中,网络罪犯都试图让越来越多的毫无戒心的用户参与欺诈计划。
加密货币现象以及对加密货币的关注增长从未被网络罪犯所忽视。为了实现他们的邪恶目标,他们通常使用传统的网络钓鱼技术,但这些技术通常超出了我们熟悉的“普通”情景。通过从ICO(首次代币发行)投资和加密硬币的免费分发中汲取灵感,网络犯罪分子已经能够从狂热的加密货币持有者和新手那里获利。
一些最受欢迎的目标是ICO投资者,他们寻求将资金投资于初创企业,以期在未来获利。 针对这群人,网络罪犯会制作一个虚假的页面,模仿官方的ICO项目网站,或者试图访问联系人,向他们发送钓鱼邮件,让投资人发送加密货币到网络罪犯的电子钱包。最成功的攻击使用的是知名的ICO项目。例如,通过利用Switcheo ICO使用免费分发货币的提议,网络罪犯通过虚假的Twitter账户传播链接后偷走了价值超过25,000美元的加密货币。
另一个例子是制作假冒OmaseGo ICO项目的钓鱼网站,让欺诈者获得了价值超过110万美元的加密货币。网络罪犯还同样感兴趣的是有关Telegram ICO的传言,因此出现了数百个试图吸收“投资”的假冒网站。
另一个受欢迎的趋势涉及加密货币赠予欺诈。可以使用的方法是向受害者发送少量加密货币,以换取将来同一加密货币的更大回报。网络罪犯甚至使用了知名人士的社交媒体账户,例如商业巨头Elon Musk和Telegram的创始人Pavel Durov。通过创建虚假帐户或通过虚假帐户回复合法用户的推文,犯罪分子可以通过点击欺诈帐户的回复来混淆Twitter用户陷入骗局。
根据卡巴斯基实验室的粗略估计,过去一年,网络罪犯使用上述欺诈手段设法赚取了超过21,000 ETH(以太币加密货币,使用由以太坊平台生成的区块链)或超过1000万美元(以当前汇率计算)。这笔金额甚至没考虑经典的钓鱼攻击或为每个受害者生成个人地址的例子。
“我们的研究结果表明,网络罪犯善于及时跟进并开发资源,以实现最佳的加密货币钓鱼结果。这些新的欺诈手段基于简单的社交工程手段,但从常见的网络钓鱼攻击中脱颖而出,因为它们可以帮助犯罪分子赚取数百万美元。网络罪犯的成功表明他们知道如何利用人为因素,而这一直是网络安全中最薄弱的环节之一,他们正是利用用户的这种行为变现,”卡巴斯基实验室首席网络内容分析师Nadezhda Demidova说。
为了保护自己的加密伙伴,卡巴斯基实验室建议用户采取以下措施:
- 请记住,世界上没有免费的午餐,对于过于诱人的条件一定要心怀警惕。
- 检查官方信息来源来确认免费的加密货币分发。例如,如果你看到有关代表最近被黑的Binance区块链生态系统分发货币的信息,请访问其官方网站来验证该信息。
- 检查您计划转移储蓄的钱包是否与任何第三方有所关联。一种方法是通过块链浏览器,如io或blockchain.info,它允许用户查看有关任何加密货币交易的详细信息,并确定特定钱包是否有危险
- 一定要检查浏览器地址栏的超链接地址和数据。例如其内容应该为“info”而不是“blackchaen.info”。
- 将您的电子钱包地址保存为书签,并从书签访问——目的是避免在地址栏输入时出现错误,或者意外访问到钓鱼网站。
要了解更多有关加密货币钓鱼攻击的发展情况,请阅读我们在Securelist.com上的博文。
