Атака соціальної інженерії Web3 - це метод, який використовує соціальну інженерію для маніпулювання користувачами з метою розголошення конфіденційної інформації, такої як облікові записи користувачів та паролі, змушуючи користувачів надавати дозвіл та переказувати криптовалютні та NFT активи. Тим самим, це піддає ризику безпеку та конфіденційність мережі Web3. Далі ми познайомимося з шістьма типами атак соціальної інженерії та надамо конкретні рекомендації щодо їх запобігання.

1. 1. Фішинг у Discord

Discord виросло у цвітучий центр для користувачів, які використовують шифрування, сприяючи зв'язкам у спільноті та обміну новинами. Проте його популярність не робить його невразливим до потенційних загроз. У цьому динамічному просторі зловмисники можуть хитро поширювати підозрілі посилання з метою викрадення цінних облікових даних вашого облікового запису.

У спільнотах Discord ви можете натрапити на повідомлення, в яких стверджується, що ви виграли приз, але насправді це приховані фішингові посилання.

Натискання посилання перенесе вас на веб-сайт, схожий на Discord, і запитає авторизацію.

Після натискання кнопки Дозволити з'явиться ще одне вікно входу в Discord.

Спочатку ми не можемо перетягнути це вікно входу за межі поточного вікна браузера.

По-друге, в відображеній адресі є підозрілі знаки. Адреса "https:\discord.com\login" використовує зворотню косу риску (), щоб підключитися, тоді як офіційна адреса входу " https://discord.com/login ” використовуйте косий слеш (/) для навігації.

Сторінка вікна виглядає дуже схоже на легітимне вікно входу в Discord, з дуже небагатьма відмінностями. Офіційне вікно входу має наступний вигляд:

Після введення користувачем свого імені користувача та паролю на сторінці перехоплення, їх особистий обліковий запис буде негайно витікати, і чутлива інформація буде викрита. Шахраї можуть використовувати цю інформацію для несанкціонованого доступу до облікових записів користувачів і здійснювати шахрайську діяльність.

Перевірка вихідного коду веб-сторінки в режимі розробника браузера

Ви можете перевірити вихідний код веб-сторінки через режим розробника браузера.

У вищезазначеному процесі шахрайства після натискання на "Авторизацію" фальшиве вікно входу в Discord, яке з'являється, насправді не є новим вікном, а вбудованим інтерфейсом. Як ви можете це виявити?

Натисніть клавішу F12, щоб увійти в режим розробника браузера. У вкладці Elements ви можете переглянути HTML- та CSS-код поточної веб-сторінки. Щодо частини сторінки, яку ви підозрюєте, наприклад, це виринаюче вікно входу в Discord, ви можете клацнути на цьому розділі мишкою, і, як правило, ви можете знайти відповідний код у панелі Elements.

Перевіривши вихідний код сторінки, ми виявили, що це тег , який використовується для вставки зображення на веб-сторінку, і src використовується для вказання шляху до зображення.

Увійдіть у режим розробника браузера з офіційного вікна входу в Discord, як показано на зображенні нижче:

Отже, коли ми виявляємо аномалію, ми можемо натиснути F12, щоб увійти в режим розробника браузера та переглянути вихідний код сторінки, щоб визначити, чи наші підозри вірні. Особливо коли ви натискаєте на незнайомі посилання для отримання винагороди, ви повинні ставитися до кожного кроку з підозрою та обережністю.

2. Фішинг у Twitter

На Twitter (тепер X), популярній платформі для ентузіастів криптовалют, з'явилася велика загроза - рибалкування. Злочинці вправно маніпулюють користувачами привабливими айрдропами та безкоштовними NFT. Перенаправляючи їх на обманні веб-сайти, ці нападники детально планують втрати криптовалюти та цінних активів NFT.

Airdrops та безкоштовні NFT становлять об'єкт великого інтересу для багатьох. Шахраї використовують викрадені перевірені облікові записи Twitter, щоб запускати кампанії та перенаправляти користувачів на фішингові веб-сайти.

Шахраї використовують активи від законних проектів NFT для створення фішингових веб-сайтів.

Вони використовують популярні сервіси, такі як Linktree, щоб перенаправити користувачів на фальшиві сторінки, які імітують ринки NFT, такі як OpenSea та Magic Eden.

Атакувальники спробують переконати користувачів підключити свої криптовалютні гаманці (такі як MetaMask або Phantom) до фішингових веб-сайтів. Непідозрілі користувачі можуть ненавмисно надати цим фішинговим веб-сайтам доступ до своїх гаманців. Через цей процес шахраї можуть переказати криптовалюти, такі як Ethereum ($ETH) або Solana ($SOL), а також будь-які NFT, які зберігаються в цих гаманцях.

Будьте обережні щодо підозрілих посилань на Linktree

Коли користувачі додають відповідні посилання в Linktree або інші схожі сервіси, вони повинні перевірити доменне ім'я посилання. Перш ніж натискати на будь-яке посилання, переконайтеся, що доменне ім'я посилання відповідає реальному доменному імені ринку NFT. Аферисти можуть використовувати схожі доменні імена, щоб імітувати реальні ринки. Наприклад, реальний ринок може мати доменне ім'я opensea.io, тоді як фальшивий ринок може мати доменне ім'я openseea.io або opensea.com.co, тощо.

Тому користувачам найкраще вибирати додавати посилання вручну. Нижче наведено кроки для вручного додавання посилання:

Спочатку вам потрібно знайти офіційну адресу веб-сайту, на який ви хочете посилатисяhttps://opensea.io/, та скопіюйте URL.

Клацніть «Додати посилання» в Linktree, введіть URL, який ви щойно скопіювали, і клацніть кнопку «Додати».

Після успішного додавання ви побачите «Opensea» справа. Клацніть «Opensea», щоб перейти на офіційний веб-сайт Opensea.

3. Веб-підроблення / Шахрайство

Тут ми пояснимо, як злочинці конструюють свої домени для рибальства, щоб видаавати себе за офіційний веб-сайт OpenAI та обманювати користувачів, щоб підключитися до свого власного криптовалютного гаманця, що призводить до втрат криптовалют або NFT.

Шахраї відправляють шахрайські електронні листи та посилання з темами, такими як «Не пропустіть обмежений розподіл токенів OpenAI DEFI». У шахрайському електронному листі стверджується, що GPT-4 тепер доступний лише тим, хто володіє токенами OpenAI.

Після натискання кнопки "Start" вас буде перенаправлено на сайт-шахрайство openai.com-token.info.

Підключіть свій гаманець до сайту для вилучення даних.

Користувачі намагаються натиснути на кнопку "Натисніть тут, щоб отримати", і після натискання вони можуть вибрати підключення за допомогою популярних гаманців криптовалют, таких як MetaMask або WalletConnect.

Після встановлення з'єднання фішингові веб-сайти можуть автоматично перевести всі криптовалютні токени або активи NFT з гаманця користувача на гаманець атакуючого, тим самим вкравши всі активи в гаманці.

Визнавання справжніх та фальшивих доменних імен

Якщо ви знаєте, як розпізнати доменні імена в URL-адресах, ви зможете ефективно уникнути підробки/шахрайства в мережі. Нижче пояснено ключові компоненти доменного імені.

Загалом загальні веб-сайти є або доменними іменами другого рівня, або доменними іменами третього рівня.

1. Другорівневий домен складається з основного домену та верхнього рівня домену, наприклад, google.com. Серед них «google» - це основний домен, який є основною частиною домену та представляє назву веб-сайту. «.com» - це верхній домен, який є останньою частиною домену та вказує на категорію або тип домену, наприклад .com, .net, .org тощо. «.com» представляє комерційний веб-сайт.
2. Домен третього рівня складається з основного домену, піддоменів та доменів верхнього рівня, наприклад, mail.google.com. «Mail» - це піддомен, «google» - основний домен, а «.com» - це домен верхнього рівня.

Пояснюючи фішинговий веб-сайт вище, openai.com-token.info.

1. “openai” - це піддомен.
2. «com-token» - це основне доменне ім'я.
3. “.info” - це домен верхнього рівня.

Очевидно, що цей сайт для вловлення даних намагається видати себе за OpenAI, а офіційна доменна назва OpenAI - це openai.com.

1. "openai" - це основне доменне ім'я.
2. “.com” - це домен верхнього рівня.

Як цей сайт-шахрайство претендував на те, що він є OpenAI? Зловмисник зробив першу половину URL-адреси для шахрайства схожою на "openai.com", використовуючи піддомен "openai" та основний домен ".com-token", де "com-token" використовує дефіси.

4. Фішинг у Telegram

Фішинг в Telegram - це помітна проблема кібербезпеки. У цих атаках зловмисники намагаються заволодіти веб-переглядачами користувачів, щоб отримати критичні облікові дані. Щоб краще проілюструвати цю точку, давайте подивимось на приклад крок за кроком.

Шахраї відправляють приватні повідомлення користувачам в Telegram, що містять посилання на останній фільм "Аватар 2", і адреса здається прямолінійною.

Як тільки ви відкриєте посилання, ви потрапите на сторінку, яка виглядає як справжнє посилання на фільм, і ви навіть зможете переглянути відео. Однак на цей момент хакер уже отримав контроль над браузером користувача.

З погляду хакера, давайте розглянемо, як вони використовують вразливості браузера за допомогою інструментів вразливостей, щоб отримати контроль над вашим браузером.

Після огляду панелі керування хакерів стало зрозуміло, що вони мали доступ до всієї інформації про користувачів, які переглядають. Це включає IP-адресу користувача, файли cookie, проксі-часовий пояс і т.д.

Хакери мають можливість перейти до інтерфейсу шахрайства Google Mail та проводити фішингові атаки на користувачів Gmail.

На цьому етапі інтерфейс фронтенду змінюється на сторінку входу в Google Mail. Користувач вводить дані свого облікового запису та натискає кнопку входу.

На задньому плані хакери успішно отримують ім'я користувача та пароль для входу. Використовуючи цей метод, вони зловживають отримують інформацію про обліковий запис та пароль користувачів, що в кінцевому підсумку призводить до витоку інформації про користувачів та спричиняє фінансові втрати.

Перевірте віддалено завантажений JavaScript скрипт у вихідному коді веб-сторінки

Ви можете увійти в режим розробника браузера та перевірити, чи є в вихідному коді веб-сторінки віддалено завантажені JavaScript-скрипти. Цей скрипт є ключем для атакування, щоб контролювати браузер користувача. Як можна визначити, чи є такий шахрайський скрипт у посиланні, на яке ви натиснули?

У процесі рибальства, згаданому вище, коли ви вводите посилання на фільм "Аватар 2", ви можете натиснути клавішу F12, щоб увійти в режим розробника браузера і виявити, що посилання вказує на віддалено завантажений JavaScript скрипт. Хакери можуть віддалено керувати браузером, виконуючи скрипт, тим самим отримуючи обліковий запис і пароль користувача.

Під час перегляду фільму «Аватар 2» на звичайному веб-сайті ми увійшли до режиму розробника браузера і не знайшли жодних JavaScript-сценаріїв, які вказували б на віддалене завантаження.

5. Фішінг Metamask

Тут, взявши плагін Metamask як приклад, ми пояснимо, як атакувачі можуть вкрасти приватні ключі гаманця користувачів, використовуючи цей плагін.

Атакувальник отримує контактну інформацію цільового користувача, таку як адреса електронної пошти або обліковий запис у соціальних мережах. Атакувальники видають себе за надійні суб'єкти, такі як офіційна команда Metamask або партнери, і відправляють рибальські листи або повідомлення у соціальних мережах цільовим користувачам. Користувачі отримують електронного листа, який видає себе за MetaMask та просить підтвердити свій гаманець:

Коли користувач натискає на «Перевірте свій гаманець», його перенаправлять на наступну сторінку. Ця сторінка стверджує, що є офіційним веб-сайтом або сторінкою входу до Metamask. Під час фактичних фішингових атак ми виявили дві різні фішингові сторінки. Перша прямо просить користувачів ввести свій приватний ключ, тоді як друга просить фразу відновлення користувача. Обидві призначені для отримання ключа Metamask користувача.

Атакувальник отримує приватний ключ або фразу для відновлення жертви і може використовувати цю інформацію для доступу та контролю над гаманцем Metamask цільового користувача та отримання прибутку шляхом переказу або крадіжки криптовалюти цільового користувача.

Перевірте електронну пошту та домен Metamask

Якщо вам потрібно встановити розширення Metamask у Chrome, офіційне посиланняhttps://metamask.io/

Посилання на рибальство https://metamaskpro.metamaskglobal.top/#/, будь ласка, будьте обережні та перевірте його справжність.

Коли ви отримаєте електронного листа, який, схоже, є Metamask, вам потрібно звернути увагу на інформацію відправника та отримувача:

Ім'я та електронна адреса відправника мають серйозні помилки в написанні: «Metamaks» замість «MetaMask».

Отримувач не включає ваше справжнє ім'я, деяку іншу інформацію, яка вас ідентифікує, та більш чіткий опис того, що потрібно зробити. Це свідчить про те, що це електронне лист може бути відправлене оптом і не лише вам.

По-друге, ви також можете перевірити автентичність цих посилань за доменним ім'ям:

Клацніть "Перевірте свій гаманець", щоб увійти на фішингову веб-сторінку, metamask.authorize-web.org. Проаналізуйте це доменне ім'я:

1. «metamask» - це піддомен
2. "authorize-web" - основне доменне ім'я
3. “.org” - це домен верхнього рівня

Якщо ви знаєте офіційний доменне ім'я metamask, metamask.io, ви легко зрозумієте, що вас атакували шахраї:

1. “метамаск” - це основна доменна назва
2. “.io” - це домен верхнього рівня

Доменне ім'я сайту фішингу, metamask.authorize-web.org, має сертифікат SSL, який обманює користувачів, змушуючи їх вважати, що це безпечне місце для торгівлі. Але вам потрібно зауважити, що використання MetaMask відбувається лише під піддоменом зареєстрованого верхнього рівня домену.

6. VPN Фішинг

VPN - це технологія шифрування, яка використовується для захисту ідентичності та трафіку користувачів Інтернету. Вона шифрує та передає дані користувача, установлюючи безпечний тунель між користувачем та Інтернетом, що ускладнює вторгнення третіх сторін та крадіжку даних. Однак багато VPN-послуг - це фішингові VPN-послуги, такі як PandaVPN, letsvpn та LightyearVPN, щоб згадати лише декілька. Фішингові VPN-послуги, як правило, витікають IP-адресу користувача.

Коли ви підключаєтеся за допомогою VPN, ваш пристрій відправляє запит DNS на сервер VPN, щоб отримати IP-адресу веб-сайту, який ви хочете відвідати. Ідеально, VPN повинен обробляти ці запити DNS та відправляти їх через тунель VPN на сервер VPN, тим самим приховуючи ваш справжній IP-адресу. Якщо ви використовуєте фішинговий VPN, може статися витік DNS, і ваш справжній IP-адреса може бути записаний в журналах запитів DNS, що робить ваші онлайн-дії та записи доступу відстежуваними. Це може порушити вашу конфіденційність та анонімність, особливо якщо ви намагаєтеся приховати свій справжній IP-адресу.

Самостійна перевірка витоку IP

Коли ви використовуєте VPN для перегляду Інтернету, ви можете перевірити, чи протікає ваш IP-адреса через веб-сайти ipleak.net або ip8.com. Ці веб-сайти можуть відображати лише вашу публічну IP-адресу, яка призначена для вашого підключення до Інтернету. Якщо ви використовуєте службу VPN, ці веб-сайти будуть відображати IP-адресу сервера VPN, з яким ви підключені, а не ваш реальний IP-адресу. Це може допомогти вам перевірити, чи успішно приховує вашу реальну IP-адресу VPN.

Ви можете перевірити, чи була ваша IP-адреса скомпрометована, слідуючи інструкціям нижче:

Відкрийте свій браузер і відвідайте ipleak.net, який покаже ваш поточний IP-адресу. Як показано на зображенні нижче, ваш IP-адреса виглядає як 114.45.209.20. І вказано, що «Якщо ви використовуєте проксі, це прозорий проксі». Це вказує на те, що ваш IP-адреса не була розголошена, і ваше з'єднання VPN успішно приховує ваш реальний IP-адресу.

На даний момент ви також можете запитати свою реальну IP-адресу через командний рядок ipconfig /all. Якщо IP-адреса, запитані тут, не відповідають IP-адресі, запитаній через ipleak.net, це означає, що ваш IP-адреса справді прихована. Якщо вони співпадають, ваш IP-адреса відкрита. Як показано на малюнку нижче, реальна IP-адреса машини, запитана через ipconfig /all, - 192.168.., що не відповідає показаному на зображенні вище 114.45.209.20, і IP-адреса не витікає.

Узагальнити

Таким чином, ми детально представили шість атак соціальної інженерії Web3 та надали відповідні заходи ідентифікації та запобігання. Щоб ефективно уникати атак соціальної інженерії Web3, вам потрібно бути більш пильними щодо незнайомих посилань, електронних листів і повідомлень із соціальних платформ. Крім того, ми також рекомендуємо вам дізнатися, як перевірити вихідний код веб-сторінок у режимі розробника браузера, як визначити справжні та підроблені доменні імена, як самостійно перевірити, чи не витік IP-адреси, а також проаналізувати пов'язані з цим ризики безпеки. Якщо у вас виникли інші запитання щодо безпеки Web3 або аудиту смарт-контрактів, будь ласка, зв'яжіться з намиз'єднати. Один з членів нашої команди зв'яжеться з вами та допоможе вам якнайшвидше.

Disclaimer：

1. Ця стаття переписана з [ ForesighNews]. Усі авторські права належать оригінальному авторові [Salus]. Якщо є заперечення щодо цього перепублікування, будь ласка, зв'яжіться з Gate Learnкоманда, і вони негайно займуться цим.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора і не становлять жодної інвестиційної поради.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не вказано інше, копіювання, поширення або плагіювання перекладених статей заборонені.