隨著web3領域各種應用程序的相繼發展,安全問題也隨之凸顯。近期釣魚詐騙攻擊事件頻發,各種釣魚攻擊手法層出不窮。此時,如何更清楚地了解釣魚攻擊;如何避免被釣魚顯得尤為重要。
本系列文章從web3安全出發,持續跟進web3安全動態。
郵件釣魚
攻擊者利用各種熱點nft發售、錢包升級、nft預售、空投領取、合約升級,項目更換網站、特價nft、中籤等為由,發送釣魚郵件,內含精心模仿的官方網站、預售平台, app下載鏈接等,用戶稍不留意就會中招。
郵件釣魚案例
1、黑客了解到Opensea 需要用戶對其賣單進行遷移,並且清楚Opensea 官方提前發出了遷移日期和操作步驟的郵件。
2、黑客提前製作好釣魚網站,並且部署合約。
3、通過偽造的郵件通知用戶進行遷移操作,引導受害用戶在該釣魚網站上進行賣單遷移操作。這個遷移操作就是讓用戶對其銷售的賣單進行簽名,然而簽名的賣單價格是0。
4、黑客拿到用戶簽了名的賣單信息,通過調用OpenSea 的交易合約就能以0的價格完成交易,順利拿到受害者的NFT。
郵件發件人是可以偽造的,不能以郵件發件人來判斷是否是官方郵件
點擊右鍵中的地址後,判斷瀏覽器顯示的地址是不是自己想要訪問的網站
官方不會在郵件裡要求你提供任何個人信息,如果有請判斷是否為官方郵件
對於常用的網站添加到書籤,每次使用的時候自己主動點擊而不是在其他地方打開
假冒官方
“釣魚網站“是指用來欺騙用戶的虛假網站,它的頁面與真實網站界面基本一致,以假亂真欺騙和竊取用戶的私鑰或者助記詞。釣魚網站一般只有一個或幾個頁面,和真實網站差別細微。該詐騙手段由來已久,騙子傳播噱頭大多是領取空投、幫助解決問題或其他手段。
假冒官方網站釣魚
釣魚網站:https://adidas-meta.com/
1、攻擊者首先創建了一個模仿官方的Twitter賬戶,並發布了Adidas Avatar free claim的推特,並在評論區@了很多粉絲.
2、打開網站,連接錢包並點擊Claim Now,他將要求你執行setApprovalForAll授權攻擊賬號,而且你點拒絕後,他會一直彈出該請求框。
3、如果你沒能及時關閉釣魚網站,而他一直在彈窗,你剛好準備交易,沒看清楚很可能會誤以為opensea的請求,從而授權。
4、在攻擊者或者授權後,攻擊者便可以轉走你的NFT了。
如何避免
仔細檢查Twitter賬戶是否官方賬戶
每當看到setAppRovalForall的簽名請求,仔細檢查授權地址
如果不小心批准,盡可能快的在攻擊者轉移NFT之前撤銷授權
