本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”,作者/luochicun。
隨著加密貨幣的普及和應(yīng)用范圍的擴(kuò)大,熱錢包(Hot Wallet)是一種連接互聯(lián)網(wǎng)的錢包,可以方便快捷地進(jìn)行交易。最常見的熱錢包是交易所內(nèi)部的錢包,當(dāng)用戶在交易所開通賬戶時(shí),會(huì)自動(dòng)獲得一個(gè)錢包地址。此外,還有一些第三方熱錢包,如MetaMask和Trust Wallet等,可作為瀏覽器插件或移動(dòng)應(yīng)用程序使用。熱錢包的優(yōu)點(diǎn)是操作簡(jiǎn)單、方便快捷,適合頻繁交易和使用去中心化應(yīng)用(dApp)。
冷錢包(Cold Wallet)是一種離線存儲(chǔ)私鑰的錢包,用于儲(chǔ)存長(zhǎng)期持有、不經(jīng)常交易的加密資產(chǎn)。冷錢包可以分為硬件錢包和紙錢包兩種形式。硬件錢包是一種物理設(shè)備,如Ledger、Trezor和Coolwallet等,通過(guò)與電腦或移動(dòng)設(shè)備連接來(lái)進(jìn)行交互。紙錢包是將私鑰和地址以紙質(zhì)形式打印或手寫保存。
冷錢包的優(yōu)點(diǎn)是安全性極高,由于私鑰離線存儲(chǔ),攻擊者攻擊的風(fēng)險(xiǎn)大大降低。無(wú)論你是交易頻繁還是長(zhǎng)期持有加密資產(chǎn),合理選擇熱錢包和冷錢包都能提供更好的資產(chǎn)管理和安全保護(hù)。
但隨著加密貨幣在全球的受歡迎程度越來(lái)越高,存儲(chǔ)它們的新方式越多,試圖盜取數(shù)字貨幣的攻擊者使用的工具庫(kù)就越廣泛。攻擊者根據(jù)目標(biāo)使用的錢包技術(shù)的復(fù)雜性來(lái)調(diào)整其攻擊策略,比如通過(guò)釣魚攻擊模仿合法網(wǎng)站的來(lái)攻擊目標(biāo),如果成功,他們可以竊取其中全部的金額。熱錢包和冷錢包采用了兩種截然不同的電子郵件攻擊方法,熱錢包和冷錢包這兩種方法是最流行的加密貨幣存儲(chǔ)方式。
盜取熱錢包的方法簡(jiǎn)單而粗暴
熱錢包是一種可以永久訪問互聯(lián)網(wǎng)的加密貨幣錢包,是一種在線服務(wù),從加密貨幣交易所到專門的應(yīng)用程序都要用到。熱錢包是一種非常流行的加密存儲(chǔ)選項(xiàng)。這可以通過(guò)創(chuàng)建一個(gè)錢包的簡(jiǎn)單性(只需注冊(cè)錢包服務(wù))以及提取和轉(zhuǎn)換資金的便利性來(lái)解釋。熱錢包的普及性和簡(jiǎn)單性使其成為攻擊者的主要目標(biāo)。然而,由于這個(gè)原因,以及熱錢包總是在線的事實(shí),它們很少用于存儲(chǔ)大額資金。因此,攻擊者幾乎沒有動(dòng)力在網(wǎng)絡(luò)釣魚活動(dòng)中投入大量資金,因此,用于熱錢包電子郵件攻擊的技術(shù)幾乎從來(lái)都不復(fù)雜或是沒有攻擊者為此專門開發(fā)一種技術(shù)的。事實(shí)上,它們看起來(lái)相當(dāng)原始,目標(biāo)大多是初級(jí)用戶。
針對(duì)熱錢包用戶的典型網(wǎng)絡(luò)釣魚騙局如下:攻擊者發(fā)送來(lái)自知名加密貨幣交易所的電子郵件,要求用戶確認(rèn)交易或再次驗(yàn)證其錢包。
針對(duì)Coinbase用戶的釣魚電子郵件示例
用戶點(diǎn)擊鏈接后,他們會(huì)被重定向到一個(gè)頁(yè)面,在那里他們會(huì)被要求輸入他們的種子短語(yǔ)。種子短語(yǔ)(恢復(fù)短語(yǔ))是一個(gè)由12個(gè)(不太常見的是24個(gè))單詞組成的序列,用于恢復(fù)對(duì)加密錢包的訪問。這實(shí)際上是錢包的主密碼。種子短語(yǔ)可用于獲得或恢復(fù)對(duì)用戶帳戶的訪問權(quán)限并進(jìn)行任何交易。種子短語(yǔ)無(wú)法更改或恢復(fù):如果放錯(cuò)位置,用戶就有可能永遠(yuǎn)無(wú)法訪問他們的錢包,并將其交給攻擊者,從而永久破壞他們的賬戶。
種子短語(yǔ)輸入頁(yè)面
如果用戶在一個(gè)虛假的網(wǎng)頁(yè)上輸入種子短語(yǔ),攻擊者就可以完全訪問錢包,并能夠?qū)⑺匈Y金轉(zhuǎn)移到自己的地址。
這類騙局相當(dāng)簡(jiǎn)單,沒有軟件或社會(huì)工程技巧,通常針對(duì)技術(shù)小白用戶。種子短語(yǔ)輸入表單通常有一個(gè)精簡(jiǎn)的外觀,即只有一個(gè)輸入字段和一個(gè)加密交易標(biāo)志。
針對(duì)冷錢包的網(wǎng)絡(luò)釣魚騙局
冷錢包是一種沒有永久連接到互聯(lián)網(wǎng)的錢包,就像一個(gè)專用設(shè)備,甚至只是寫在紙條上的私鑰。硬件存儲(chǔ)是最常見的冷錢包類型。由于這些設(shè)備大部分時(shí)間都處于離線狀態(tài),而且無(wú)法進(jìn)行遠(yuǎn)程訪問,因此用戶傾向于在這些設(shè)備上存儲(chǔ)大量數(shù)據(jù)。也就是說(shuō),如果不竊取硬件錢包,或者至少不獲得物理訪問權(quán)限,就認(rèn)為硬件錢包無(wú)法被攻破,這種觀點(diǎn)錯(cuò)誤的。與熱錢包的情況一樣,詐騙者使用社會(huì)工程技術(shù)來(lái)獲取用戶的資金。研究人員最近就發(fā)現(xiàn)了一個(gè)專門針對(duì)硬件冷錢包所有者的電子郵件活動(dòng)。
這種類型的攻擊始于加密電子郵件活動(dòng):用戶收到一封來(lái)自Ripple加密貨幣交易所的電子郵件,并提供加入XRP代幣(該平臺(tái)的內(nèi)部加密貨幣)的贈(zèng)品。
偽裝成Ripple加密貨幣交易所的釣魚郵件
如果用戶點(diǎn)擊鏈接,他們會(huì)看到一個(gè)博客頁(yè)面,其中有一篇文章解釋了“贈(zèng)品”的規(guī)則。該帖子包含一個(gè)“注冊(cè)”的直接鏈接。
虛假Ripple博客
此時(shí),可以看出該騙局已經(jīng)顯示出與攻擊熱錢包的一些不同之處:攻擊者沒有向用戶發(fā)送網(wǎng)絡(luò)釣魚頁(yè)面的鏈接,而是利用博客開發(fā)了一種更復(fù)雜的沉浸式技巧。他們甚至一絲不茍地復(fù)制了Ripple網(wǎng)站的設(shè)計(jì),并注冊(cè)了一個(gè)與該交易所官方域名幾乎相同的域名。這被稱為Punycode網(wǎng)絡(luò)釣魚攻擊。乍一看,二級(jí)域名與原始域名相同,但仔細(xì)觀察會(huì)發(fā)現(xiàn)字母“r”已被使用cedilla的Unicode字符替換:
此外,該詐騙網(wǎng)站位于.net頂級(jí)域,而不是Ripple官方網(wǎng)站所在的.com。不過(guò),這可能不會(huì)給受害者帶來(lái)任何危險(xiǎn)信號(hào),因?yàn)檫@兩個(gè)領(lǐng)域都被合法組織廣泛使用。
在用戶按照從“博客”到虛假Ripple頁(yè)面的鏈接后,他們可以連接到WebSocket地址wss://s2.ripple.com.
連接到WebSocket地址
Supremo遠(yuǎn)程桌面,Supremo遠(yuǎn)程桌面是一個(gè)強(qiáng)大、簡(jiǎn)單和完整的遠(yuǎn)程桌面控制和支持解決方案。它允許在幾秒鐘內(nèi)訪問遠(yuǎn)程PC或加入會(huì)議。Supremo還與IT管理控制臺(tái)USilio兼容。
3Proxy,3Proxy是跨平臺(tái)的代理服務(wù)功能組件,支持HTTP,HTTPS,FTP,SOCKS(v4,4.5,5),TCP和UDP端口映射等??梢詥为?dú)使用某個(gè)功能,也可混合同時(shí)使用。
Powerline,Powerline是一個(gè)vim的狀態(tài)行插件,包括zsh、bash、tmux、IPython、Awesome和Qtile在內(nèi)的應(yīng)用提供狀態(tài)信息與提示。Putty,PuTTY是一個(gè)Telnet/SSH/rlogin/純TCP以及串行阜連線軟件。較早的版本僅支援Windows平臺(tái),在最近的版本中開始支援各類Unix平臺(tái),并打算移植至Mac OS X上。
Dumpert,Dumpert是一個(gè)使用直接系統(tǒng)調(diào)用和API解除連接的LSASS內(nèi)存轉(zhuǎn)儲(chǔ)器最近的惡意軟件研究表明,使用直接系統(tǒng)調(diào)用來(lái)逃避安全產(chǎn)品使用的用戶模式API掛鉤的惡意軟件數(shù)量有所增加。NTDSDumpEx;ForkDump。我們首先在前面提到的Log4j示例中注意到EarlyRat的一個(gè)版本,并假設(shè)它是通過(guò)Log4j下載的。然而,當(dāng)我們開始尋找更多樣本時(shí),發(fā)現(xiàn)了最終釋放EarlyRat的網(wǎng)絡(luò)釣魚文檔。網(wǎng)絡(luò)釣魚文檔本身并不像下面所示的那樣高級(jí)。
接下來(lái),用戶可以輸入其XRP帳戶的地址。
輸入XRP帳戶地址
然后,該網(wǎng)站提供選擇一種認(rèn)證方法來(lái)接收獎(jiǎng)勵(lì)令牌。
選擇身份驗(yàn)證方法
正如你所看到的,硬件錢包是攻擊者建議的首選。選擇Trezor會(huì)將用戶重定向到官方網(wǎng)站Trezor.io,它允許通過(guò)Trezor connect API將設(shè)備連接到web應(yīng)用程序。該API用于在硬件錢包的幫助下簡(jiǎn)化交易。攻擊者希望受害者連接到他們的網(wǎng)站,這樣他們就可以從受害者的賬戶中提取資金。
當(dāng)用戶試圖連接到第三方網(wǎng)站時(shí),Trezor connect會(huì)要求他們同意匿名收集數(shù)據(jù),并確認(rèn)他們想連接到該網(wǎng)站。詐騙網(wǎng)站的地址在Punycode視圖中顯示為:https://app[.]xn--ipple-4bb[.]net。攻擊者希望受害者連接到他們的網(wǎng)站,這樣他們就可以從受害者的賬戶中提取資金。
Trezor Connect:確認(rèn)連接到詐騙網(wǎng)站
通過(guò)Ledger進(jìn)行連接很像Trezor,但它使用WebHID接口,其他步驟保持不變。
用戶連接硬件錢包后會(huì)發(fā)生什么?為了回答這個(gè)問題,有必要觀察一下網(wǎng)絡(luò)釣魚網(wǎng)站的代碼。該網(wǎng)站由一個(gè)用Node.js編寫的應(yīng)用程序提供支持,它使用兩個(gè)API:
1.wss://s2.ripple.com,Ripple交易的官方WebSocket地址;
2.釣魚網(wǎng)站API,例如:app[.]xn--ipple-4bb[.]net/API/v1/action;
攻擊者使用這兩個(gè)API與受害者的XRP賬戶進(jìn)行交互。釣魚網(wǎng)站API與WebSocket地址對(duì)話,驗(yàn)證帳戶詳細(xì)信息并請(qǐng)求資金。為此,攻擊者們專門設(shè)計(jì)了一次性的中間錢包。
中間賬戶只用于兩件事:接收受害者的資金,并將這些資金轉(zhuǎn)入攻擊者的永久賬戶。這有助于隱藏最終目的地。
2023年3月,卡巴斯基反垃圾郵件解決方案檢測(cè)并屏蔽了85362封針對(duì)加密貨幣用戶的欺詐電子郵件。詐騙電子郵件活動(dòng)在3月份達(dá)到頂峰,共收到34644條信息,在4月份屏蔽了19902封電子郵件,在5月份屏蔽了30816封。
2023年3月至5月檢測(cè)到的針對(duì)加密貨幣用戶的釣魚電子郵件數(shù)量
總結(jié)
攻擊者很清楚一件事,越難攻擊的對(duì)象,其利潤(rùn)就越大。因此,硬件錢包看似無(wú)懈可擊,但只要成功,那收貨將無(wú)比豐厚,對(duì)硬件錢包的攻擊使用的策略遠(yuǎn)比針對(duì)在線加密存儲(chǔ)服務(wù)用戶的策略復(fù)雜得多。盡管硬件錢包確實(shí)比熱錢包更安全,但用戶不應(yīng)放松警惕。在允許任何網(wǎng)站訪問你的錢包之前,請(qǐng)仔細(xì)檢查每個(gè)細(xì)節(jié),如果有任何可疑之處,請(qǐng)拒絕連接。
參考及來(lái)源:https://securelist.com/hot-and-cold-cryptowallet-phishing/110136/