序文

最初のレベルのタイトル

北京時間の2022年6月5日、Zhichuangyuブロックチェーンセキュリティラボは、有名なNFTプロジェクト（Boring Ape）のDiscordコミュニティが別のフィッシング攻撃を受け、約200 ETHの損失を引き起こしたことを検出しました。これに先立ち、有名な歌手ジェイ・チョウはエイプリルフールにフィッシング攻撃を受け、在庫にあるBoring Ape NFTがハッカーによって転送されました。

近年、Web3 の世界ではフィッシング事件が多発し、プロジェクト関係者やユーザーに多大な損害を与えていることが判明しましたので、今回はフィッシングとは何か、またその防止方法についてお話します。

副題

フィッシングとは何ですか

フィッシングは本質的にはソーシャル エンジニアリングの一種であり、組織のコンピューター ネットワークに侵入するよりも人々をだますほうが簡単で低コストであるため、ハッカーはフィッシング攻撃を利用することが増えています。

同時に、人間の本性の弱さを利用して、被害者の当面の利益に関連する情報を公開し、被害者のパニックを捉えて急いで医者に行き、被害者の思考を混乱させて目的を達成することもよくあります。フィッシング攻撃のこと。

最初のレベルのタイトル

フィッシング攻撃手法

フィッシング攻撃の本質は欺瞞ですが、この記事ではブロックチェーンにおける以下の一般的なフィッシング攻撃手法をまとめています。

クローン攻撃

攻撃者はプロジェクトの公式 Web サイトをクローン作成して作成しますが、クローン Web サイトは名前、ドメイン名、フロントエンド ページが公式 Web サイトと類似しているため、ユーザーが本物と偽物を区別するのは非常に困難です。そして、インターネット上でプロジェクトの広告キャンペーンを実行し、ユーザーをだましてクローンアドレスにアクセスさせてアカウントにログインさせ、被害者のログイン資格情報や秘密鍵などを盗み、アカウント内の資産を移管します。

ソーシャルフィッシング

さまざまなソーシャル ソフトウェアの人気に伴い、ソーシャル フィッシング攻撃が非常に一般的になりました。このタイプの攻撃は、Twitter、Facebook、Discord、Telegram などのプロジェクト関係者が一般的に使用するソーシャル ソフトウェアで非常に一般的です。ハッカーは、有名人のアカウントをハッキングし、そのアカウントを使用してフィッシング リンクを含む投稿を公開したり、有名人のクローン アカウントやコミュニティなどのホームページにエアドロップやプレセールなどのフィッシング投稿を作成したりします。これらのクローン アカウントのうちの 1 つは、プロジェクト パーティのアカウントと非常によく似ており、偽物である可能性が十分にあります。

偽のブロックチェーンアプリケーション

ブロックチェーン ネットワークの発展に伴い、時代の要求に応じてさまざまなブロックチェーン アプリケーションが登場しています。最も一般的なアプリケーションはウォレット アプリケーションです。攻撃者は、バックグラウンド プログラムを使用して悪意のあるブロックチェーン アプリケーションをネットワーク上に起動することがよくあります。ユーザーがこの種のアプリケーションをダウンロードしてインストールすると、アプリケーションで自分のアカウントにログインすると、バックグラウンド プログラムがアカウントの秘密キーとパスワードを記録し、攻撃者に送信します。

フィッシングから守る方法

フィッシング攻撃が横行していますが、どうすれば防ぐことができるでしょうか?フィッシング攻撃の核心は欺瞞であり、まずユーザーレベルに基づいて、一般のインターネットユーザーとしてフィッシング攻撃の見分け方を学び、プロジェクト当事者として積極的にユーザーにフィッシング攻撃への注意を喚起する必要があります。

不明な文字に注意してください

公式アカウントからのものと思われる不可解なメッセージに注意してください。アカウントに問題があることを伝え、提供されたリンクをクリックしてログインを確認するよう促します。または、宝くじに当選したと宣言され、その情報に記載されているWebサイトでログイン認証を行う必要があります。

リンクをクリックする際は注意してください

通常、私たちが受け取るフィッシング情報にはフィッシング リンクが含まれています。この種のリンクは通常、生成された短いリンクか、偽の公式 Web サイトのリンクです。公式 Web サイトのリンクと非常によく似ています。慎重に比較する必要があるだけです。公式ウェブサイトのリンク 手がかりを見つけました。

取引情報をよく確認する

資産関連の操作には注意してください。フィッシング攻撃の最終的な目的は資産を取得することであり、フィッシング情報はパニック感を引き起こし、被害者の資産が損害を受けるため直ちに移管する必要があると主張し、資産を安全なアカウントに移管するか、被害者に資産を移管するよう要求します。トランザクションリクエストが動作します。

機密情報を保護する

アカウントのパスワード、ニーモニック フレーズ、秘密キーの要求には注意してください。フィッシング攻撃では、被害者はフィッシング Web サイトでアカウントのパスワードや秘密キーなどの機密情報を誤って提供する必要があり、被害者は公式 Web サイトに似た Web サイトで混乱することがよくあります。

フィッシング リンクにアクセスすると、FishAlert は自動的にリスク警告ウィンドウをポップアップ表示します。

未知のリンクにアクセスすると、プラグインをアクティブに開いて Web サイトを検出できます。

最初のレベルのタイトル

• 安全上のアドバイス

• 統計によると、2021 年にブロックチェーン ネットワークにおけるフィッシング攻撃による資産損失は 64 億米ドルを超えており、ユーザーの資産を損失から保護することは、すべてのプロジェクト関係者、さらには Web3 世界のすべてのメンバーの共通の責任です。フィッシング攻撃を防御するツール: 私たち一人ひとりが予防に対する意識を高め、フィッシング攻撃に共同で抵抗する必要があります。ここで、Zhichuangyu Blockchain Security Lab は次のセキュリティに関する提案を提供します。

• 資産の譲渡と取引の承認情報には注意してください。

• パスワードと秘密キーを入力する際はネットワーク環境に注意し、公式Webサイトのアドレスをよく確認してください。