Атака социальной инженерии Web3 - это метод, который использует социальную инженерию для манипулирования пользователями с целью раскрытия конфиденциальной информации, такой как учетные записи пользователей и пароли, привлечения пользователей к авторизации и передачи криптовалюты и NFT-активов пользователей, тем самым подвергая опасности безопасность и конфиденциальность сети Web3. В следующем разделе мы собираемся представить шесть типов атак социальной инженерии и предоставить конкретные рекомендации по предотвращению.

1. 1. Discord Phishing

Discord стал процветающим центром для зашифрованных пользователей, способствуя установлению сообщественных связей и обмену новостями. Однако его популярность не делает его неприступным для потенциальных угроз. В этом динамичном пространстве злоумышленники могут скрытно распространять подозрительные ссылки с целью похищения ваших ценных учетных данных.

В сообществах Discord вы можете столкнуться с сообщениями, утверждающими, что вы выиграли приз, но на самом деле это замаскированные фишинговые ссылки.

Нажатие на ссылку перенесет вас на веб-сайт, похожий на Discord, и запросит авторизацию.

После нажатия на кнопку "Авторизовать" появится еще одно окно входа в Discord.

Сначала мы не можем перетащить это окно входа за пределы текущего окна браузера.

Во-вторых, в отображаемом адресе есть некоторые подозрительные признаки. Адрес «https:\discord.com\login» использует обратный слэш (), в то время как официальный адрес входа «https://discord.com/loginиспользуйте косую черту (/), чтобы навигироваться.

Страница окна выглядит очень похоже на легитимное окно входа в Discord, с очень незначительными различиями. Официальное изображение окна входа выглядит следующим образом:

После того как пользователь вводит имя своего учетной записи и пароль на странице для вылавливания, его личная учетная запись будет немедленно утечка, и конфиденциальная информация будет раскрыта. Мошенники могут использовать эту информацию для несанкционированного доступа к учетным записям пользователей и совершения мошеннических действий.

Проверка исходного кода веб-страницы в режиме разработчика браузера

Вы можете проверить исходный код веб-страницы через режим разработчика браузера.

В вышеупомянутом процессе рыбалки после нажатия на 'Авторизацию' фальшивое окно входа в Discord, которое появляется, на самом деле не является новым окном, а встроенным интерфейсом. Как вы можете обнаружить это?

Нажмите клавишу F12, чтобы войти в режим разработчика браузера. На вкладке Elements вы можете просматривать HTML-код и CSS текущей веб-страницы. Для той части страницы, которую вы подозреваете, как, например, это всплывающее окно входа в Discord, вы можете щелкнуть по этому разделу мышью и обычно найти соответствующий код в панели Elements.

Проверив исходный код страницы, мы обнаружили, что это тег , используемый для вставки изображения на веб-страницу, и src используется для указания пути к изображению.

Введите режим разработчика браузера из официального окна входа в Discord, как показано на рисунке ниже:

Поэтому, когда мы находим аномалию, мы можем нажать F12, чтобы войти в режим разработчика браузера и просмотреть исходный код страницы, чтобы определить, правильны ли наши подозрения. Особенно когда вы нажимаете на незнакомые ссылки для получения вознаграждения, вы должны подходить ко всем шагам с подозрением и осторожностью.

2. Twitter Phishing

На Twitter (теперь X), популярной платформе для любителей криптовалют, возникла серьезная угроза - фишинг. Злоумышленники хитро манипулируют пользователями соблазнительными раздачами и бесплатными NFT. Перенаправляя их на обманные веб-сайты, эти атакующие тщательно планируют потерю криптовалюты и ценных активов NFT.

Airdrops и бесплатные NFT - области ​​большого интереса для многих. Мошенники пользуются украденными проверенными учетными записями Twitter, чтобы запустить кампании и перенаправить пользователей на фишинговые веб-сайты.

Мошенники используют активы от легитимных проектов NFT для создания фишинговых веб-сайтов.

Они используют популярные сервисы, такие как Linktree, для перенаправления пользователей на фальшивые страницы, имитирующие рынки NFT, такие как OpenSea и Magic Eden.

Атакеры попытаются убедить пользователей подключить свои криптокошельки (такие как MetaMask или Phantom) к фишинговым веб-сайтам. Неподозрительные пользователи могут неосознанно предоставить этим фишинговым веб-сайтам доступ к своим кошелькам. Через этот процесс мошенники могут переводить криптовалюты, такие как Ethereum ($ETH) или Solana ($SOL), а также любые NFT, хранимые в этих кошельках.

Будьте осторожны с подозрительными ссылками на Linktree

Когда пользователи добавляют соответствующие ссылки в Linktree или другие подобные сервисы, им необходимо проверить доменное имя ссылки. Прежде чем кликнуть на любую ссылку, убедитесь, что доменное имя ссылки совпадает с реальным доменным именем рынка NFT. Мошенники могут использовать похожие доменные имена, чтобы имитировать реальные рынки. Например, реальный рынок может быть opensea.io, в то время как фальшивый рынок может быть openseea.io или opensea.com.co и т.д.

Поэтому лучше всего пользователи выбирают добавлять ссылки вручную. Ниже приведены шаги по ручному добавлению ссылки:

Сначала вам нужно найти официальный веб-сайт, к которому вы хотите создать ссылкуhttps://opensea.io/, и скопируйте URL.

Нажмите «Добавить ссылку» в Linktree, введите URL, который вы только что скопировали, и нажмите кнопку «Добавить».

После успешного добавления вы увидите «Opensea» справа. Щелкните «Opensea», чтобы перейти на официальный сайт Opensea.

3. Веб-смеживание / Рыболовство

Здесь мы объясним, как злоумышленники создают свои домены фишинговых сайтов, чтобы выдавать себя за официальный сайт OpenAI и обманывать пользователей, заставляя их подключаться к своему собственному криптовалютному кошельку, что приводит к потере криптовалют или NFT.

Мошенники отправляют рассылку фишинговых электронных писем и ссылок с темами вроде "Не упустите временный воздушный заброс токенов OpenAI DEFI". В фишинговом письме утверждается, что GPT-4 теперь доступен только тем, у кого есть токены OpenAI.

После нажатия кнопки «Start» вы будете перенаправлены на веб-сайт-фишинг openai.com-token.info.

Подключите свой кошелек к фишинговому веб-сайту.

Пользователей заманивают нажать на кнопку "Нажмите здесь, чтобы получить", и после нажатия они могут выбрать подключение с помощью популярных криптовалютных кошельков, таких как MetaMask или WalletConnect.

После установления соединения фишинговые веб-сайты могут автоматически переводить все криптовалютные токены или NFT-активы из кошелька пользователя в кошелек злоумышленника, тем самым крадя все активы в кошельке.

Распознавание подлинных и фальшивых доменных имен

Если вы знаете, как идентифицировать доменные имена в URL-адресах, вы сможете эффективно избежать веб-подделок/фишинга. Ниже объясняются ключевые компоненты доменного имени.

Обычно общедоступные веб-сайты имеют либо домены второго уровня, либо домены третьего уровня.

1. Домен второго уровня состоит из основного доменного имени и доменного имени верхнего уровня, например, google.com. Среди них «google» является основным доменным именем, которое является основной частью доменного имени и представляет название веб-сайта. «.com» - это домен верхнего уровня, который является последней частью доменного имени и указывает категорию или тип домена, такие как .com, .net, .org и т. д. «.com» представляет коммерческий веб-сайт.
2. Имя домена третьего уровня состоит из основного доменного имени, поддоменных и доменов верхнего уровня, например, mail.google.com. "mail" - это поддомен, "google" - основное доменное имя, а ".com" - домен верхнего уровня.

Объясняя вышеуказанный фишинг-сайт, openai.com-token.info.

1. "openai" - это имя поддомена.
2. "com-token" - основное доменное имя.
3. “.info” - это домен верхнего уровня.

Очевидно, этот фишинговый веб-сайт притворяется быть OpenAI, а официальное доменное имя OpenAI - openai.com.

1. “openai” - основное доменное имя.
2. “.com” - это домен верхнего уровня.

Как этот фишинговый сайт притворялся быть OpenAI? Атакующий сделал первую половину URL-адреса для рыбалки похожей на "openai.com", используя поддомен "openai" и основной домен ".com-token", где "com-token" использует дефисы.

4. Фишинг в Telegram

Фишинг через Telegram - это проблема кибербезопасности. В этих атаках злоумышленники стремятся захватить управление веб-браузерами пользователей, чтобы получить критические учетные данные. Для более ясного иллюстрирования этого момента давайте посмотрим на пример шаг за шагом.

Мошенники отправляют личные сообщения пользователям в Telegram, содержащие ссылку на последний фильм "Аватар 2", и адрес кажется прямолинейным.

Как только вы откроете ссылку, вы попадете на страницу, которая выглядит как настоящая ссылка на фильм, и даже сможете посмотреть видео. Однако к этому времени хакер уже получил контроль над браузером пользователя.

С точки зрения хакера, давайте рассмотрим, как они используют уязвимости браузера с помощью инструментов эксплойтов, чтобы получить контроль над вашим браузером.

После изучения панели управления хакеров стало понятно, что они имели доступ ко всей информации о пользователях, просматривающих. Это включает IP-адрес пользователя, куки, прокси-часовой пояс и т. д.

Хакеры имеют возможность переключиться на интерфейс мошенничества Google Mail и осуществлять фишинговые атаки на пользователей Gmail.

На данном этапе интерфейс фронтенда меняется на страницу входа в Google Mail. Пользователь вводит учетные данные своей учетной записи и нажимает кнопку входа в систему.

В фоновом режиме хакеры успешно получают имя пользователя и пароль для входа. Используя этот метод, они злонамеренно получают информацию об учетной записи и пароле пользователей, что в конечном итоге приводит к утечке информации о пользователе и вызывает финансовые потери.

Проверьте удаленно загруженный JavaScript-скрипт в исходном коде веб-страницы

Вы можете войти в режим разработчика браузера и проверить, есть ли удаленно загруженные сценарии JavaScript в исходном коде веб-страницы. Этот сценарий является ключом для атакующего, чтобы контролировать браузер пользователя. Как можно определить, есть ли такой рыболовный сценарий в ссылке, по которой вы щелкнули?

В упомянутом выше процессе фишинга, когда вы вводите ссылку на фильм “Avatar 2”, вы можете нажать клавишу F12, чтобы войти в режим разработчика браузера и обнаружить, что ссылка указывает на удаленный загруженный JavaScript-скрипт. Хакеры могут управлять браузером удаленно, выполняя скрипт, таким образом, получая учетную запись и пароль пользователя.

Пока смотрели фильм «Аватар 2» на обычном веб-сайте, мы вошли в режим разработчика браузера и не обнаружили никаких JavaScript-скриптов, указывающих на удаленную загрузку.

5. Phishing Metamask

Здесь, взяв в качестве примера плагин Metamask, мы объясним, как злоумышленники могут украсть частные ключи кошелька пользователей, используя этот плагин.

Атакующий получает контактную информацию целевого пользователя, такую как адрес электронной почты или учетную запись в социальных сетях. Атакующие выдают себя за доверенные организации, такие как официальная команда Metamask или партнеры, и отправляют рассылку рыбных писем или сообщений в социальных сетях целевым пользователям. Пользователи получают электронное письмо, выдающее себя за MetaMask, с просьбой подтвердить свой кошелек:

Когда пользователь нажимает на «Подтвердить свой кошелек», его перенаправляют на следующую страницу. На этой странице утверждается, что это официальный веб-сайт или страница входа в Metamask. Во время фактических фишинговых атак мы выявили две разные страницы фишинга. Первая прямо просит пользователей ввести свой личный ключ, в то время как вторая запрашивает фразу восстановления пользователя. Обе из них разработаны для получения ключа Metamask пользователя.

Атакующий получает приватный ключ или фразу восстановления жертвы и может использовать эту информацию для доступа и управления кошельком Metamask целевого пользователя, получая прибыль за счет передачи или кражи криптовалюты целевого пользователя.

Проверьте электронную почту и домен Metamask

Если вам нужно установить расширение Metamask в Chrome, официальная ссылкаhttps://metamask.io/

Фишинговая ссылка https://metamaskpro.metamaskglobal.top/#/, пожалуйста, будьте осторожны и проверьте его подлинность.

Когда вы получаете электронное письмо, которое кажется быть Metamask, вам нужно обратить внимание на информацию отправителя и получателя:

Имя отправителя и адрес электронной почты содержат серьезные орфографические ошибки: вместо "MetaMask" написано "Metamaks".

Получатель не включает ваше настоящее имя, какую-то другую информацию, которая идентифицирует вас, и более ясное описание того, что нужно сделать. Это свидетельствует о том, что это электронное письмо может быть отправлено массово, а не только вам.

Во-вторых, вы также можете проверить подлинность этих ссылок по доменному имени:

Нажмите «Подтвердить свой кошелек», чтобы войти на фишинговую веб-страницу metamask.authorize-web.org. Проанализируйте это доменное имя:

1. "метамаск" - это поддомен
2. "authorize-web" - это основное доменное имя
3. “.org” - это домен верхнего уровня

Если вы знаете официальное доменное имя metamask, metamask.io, вы легко обнаружите, что вас атаковали фишинговой атакой:

1. "metamask" - основное доменное имя
2. “.io” - это домен верхнего уровня

Доменное имя сайта для выуживания информации, metamask.authorize-web.org, имеет SSL-сертификат, который обманывает пользователей, заставляя их думать, что это безопасное место для торговли. Но стоит отметить, что использование MetaMask возможно только под доменным именем зарегистрированного домена верхнего уровня.

6. VPN Phishing

VPN - это технология шифрования, используемая для защиты личности и трафика пользователей Интернета. Она шифрует и передает данные пользователей, устанавливая безопасный туннель между пользователем и Интернетом, что затрудняет вторжение и кражу данных третьими лицами. Однако многие VPN являются рыболовными VPN, такими как PandaVPN, letsvpn и LightyearVPN, чтобы назвать некоторые. Рыболовные VPN обычно утекают IP-адрес пользователя.

Когда вы подключаетесь с помощью VPN, ваше устройство отправляет DNS-запрос на VPN-сервер, чтобы получить IP-адрес веб-сайта, который вы хотите посетить. В идеале VPN должен обрабатывать эти DNS-запросы и отправлять их через VPN-туннель на VPN-сервер, тем самым скрывая ваш настоящий IP-адрес. Если вы используете фишинговый VPN, может произойти утечка DNS, и ваш реальный IP-адрес может быть записан в журналы DNS-запросов, что сделает ваши действия в Интернете и записи доступа отслеживаемыми. Это может разрушить вашу конфиденциальность и анонимность, особенно если вы пытаетесь скрыть свой реальный IP-адрес.

Проверка утечки IP

Когда вы используете VPN для серфинга в Интернете, вы можете проверить, утекает ли ваш IP-адрес через веб-сайты ipleak.net или ip8.com. Эти веб-сайты могут отображать только ваш общедоступный IP-адрес, который назначен вашему Интернет-соединению. Если вы используете VPN-сервис, эти веб-сайты будут отображать IP-адрес сервера VPN, к которому вы подключены, а не ваш реальный IP-адрес. Это поможет вам проверить, успешно ли VPN скрывает ваш реальный IP-адрес.

Вы можете проверить, был ли ваш IP-адрес скомпрометирован, следуя инструкциям ниже:

Откройте свой браузер и посетите ipleak.net, где будет отображаться ваш текущий IP-адрес. Как показано на изображении ниже, ваш IP-адрес отображается как 114.45.209.20. И указывается, что «Если вы используете прокси, это прозрачный прокси». Это указывает на то, что ваш IP-адрес не был утек и что ваше VPN-соединение успешно скрывает ваш реальный IP-адрес.

На данный момент вы также можете запросить свой реальный IP-адрес через командную строку ipconfig /all. Если IP-адрес, полученный здесь, не совпадает с IP-адресом, полученным через ipleak.net, это означает, что ваш IP-адрес действительно скрыт. Если они совпадают, ваш IP-адрес открыт. Как показано на рисунке ниже, реальный IP-адрес машины, запрошенный через ipconfig /all, равен 192.168.., которое не соответствует показанному на рисунке выше 114.45.209.20, и IP-адрес не утекает.

Суммировать

В заключение мы подробно рассмотрели шесть атак социальной инженерии Web3 и предоставили соответствующие меры идентификации и предотвращения. Для эффективного предотвращения атак социальной инженерии Web3 вам необходимо быть более бдительными по отношению к незнакомым ссылкам, электронным письмам и сообщениям из социальных платформ. Кроме того, мы также рекомендуем изучить, как проверять исходный код веб-страниц в режиме разработчика браузера, как определять реальные и фальшивые доменные имена, как самостоятельно проверять утечку IP-адреса и анализировать связанные с этим безопасностные риски. Если у вас есть другие вопросы по поводу безопасности Web3 или аудита смарт-контрактов, пожалуйста, не стесняйтесь обращаться к намподключить. Один из членов нашей команды свяжется с вами и поможет вам как можно скорее.

Отказ от ответственности:

1. Эта статья перепечатана с [ForesighНовости]. Все авторские права принадлежат оригинальному автору [Salus]. Если у вас есть возражения по поводу этого перепечатывания, пожалуйста, свяжитесь с Gate Learnкоманды, и они незамедлительно разберутся с этим.
2. Ответственность за отказ: Взгляды и мнения, выраженные в этой статье, являются исключительно точкой зрения автора и не являются инвестиционным советом.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.