摘要:By: Lizi背景10 月 14 日,据推特用户 Masiwei 反馈的信息,最近出现针对 friend.tech 的盗号恶意代码。(https://twitter.com/0xmasiwei/status/1713188711...
By: Lizi
背景
10 月 14 日,根据推特用户 Masiwei 反馈信息,近期出现针对反馈的信息,近期出现了针对反馈的信息 friend.tech 盗号恶意程序。
(https://twitter.com/0xmasiweistatus/1713188711243104467)
经过对慢雾安全团队的分析,发现攻击者发送的链接包含了恶意的链接 JavaScript 脚本,攻击者会诱骗客户添加它作为笔记,为后续的恶作剧做准备。随后,慢雾安全团队在推特上发出了安全警告。慢雾安全团队之前也写过一篇关于浏览器恶意笔记攻击的文章——慢雾:揭示浏览器恶意笔记是如何窃取你的 Discord Token。
(https://twitter.com/SlowMist_Team/status/1713168236483584018)
10 月 17 日,friend.tech 用户 Double Wan 发推称其 friend.tech 资产被盗。慢雾安全团队立即协助受害人进行跟踪调查。经过慢雾安全团队的努力和慢雾安全团队的努力, OKX 在帮助下,被盗资金被成功阻止。下面我们将整理假记者钓鱼攻击的过程,希望能帮助大家提高对这类骗局的防范意识。
攻击过程
伪装身份
所谓出门,身份是自己给的,攻击者把自己的身份打扮成知名报社的记者,推特上有1万多名粉丝。
确定目标
这段 JavaScript 恶意脚本用于攻击 friend.tech 对于用户,攻击者自然会选择目标对象作为 KOL,并且 KOL 有一定的人气,收到采访邀请时也觉得这种行为是合理的。
攻击者会提前关注你在推特上关注的人,这样在打开攻击者的推特主页后,你会发现你一直在和他讨论,你会觉得这个人是圈内人。
加强信赖
约好面试时间后,攻击者会引导你去 Telegram 参加面试,给你一个面试提纲。
(https://twitter.com/iamdoublewan/status/1714127044358066310)
(https://twitter.com/0xmasiweistatus/1713188713742876739)
就这样,你按照攻击者发来的采访大纲仔细准备,然后参加了两个小时的采访,听着两位“主持人”唱歌,认为采访可能会在知名新闻媒体上发布,一切看起来都很正常。
猎杀时刻
采访结束后,攻击者会要求您填写表格,打开攻击者发送的钓鱼链接,可以看到在采访中, Verify 下面还详细解释了为什么需要以及如何验证:为了避免冒名顶替,您必须验证 friend.tech 账号所有权。请按以下表示完成验证过程。要验证你的 friend.tech 对于账户,请将“验证”按钮拖到书签栏,然后进入 friend.tech 网站,点击便签进行验证。
一旦用户在 friend.tech 页面打开包含恶意 JavaScript 脚本笔记,恶意程序会诱骗窃取客户密码(即 friend.tech 的 2FA),并偷走 friend.tech 账号及其使用的嵌入式钱夹 Privy 相关的 Token。这意味着用户的 friend.tech 账户及相关资金将被盗。
(https://twitter.com/evilcos/status/1713164067358294293)
(https://twitter.com/evilcos/status/1713164067358294293)
慢雾(SlowMist) 创始人 Cos 还强调,如果你偷了独立密码,也就是说, friend.tech 的 如果你设置了2FA, friend.tech 嵌入式钱夹及其使用 Privy 相关的 Token 等待信息(包括 localStorage 其他相关信息), 然后你的私钥明文就可以被盗了。这也意味着你的账户无效了,除非你的账户无效了,除非你的账户无效了 friend.tech 愿意给你一个私钥和相应的钱包地址。
(https://twitter.com/evilcos/status/1714237137829458335)
预防措施
提高对社会工程攻击的警觉性
不要点击未知链接
掌握钓鱼链接的基本鉴别方法,如: 检查域名拼写是否有错误、混乱、额外的标点符号,交叉检查是否与官方域名一致
安装防钓插件,见以往微信官方账号文章——NFT 防钓指北:如何选择防钓插件
总结
如今,社会工程攻击和钓鱼骗术不断创新。这起事件的受害者只是为了练习英语口语而接受采访。没想到,最后, friend.tech 所有的钱都被盗了。虽然我们可能没有听说过这些骗局,但我们可以通过一些方法在很大程度上防止钓鱼攻击,比如不点击未知链接;掌握识别钓鱼链接的基本方法;对授权和输入密码的行为持怀疑和持续验证。最后,建议阅读慢雾制作的《区块链黑暗森林自救手册》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。