Latar Belakang
Baru-baru ini, SlowMist diundang untuk berbicara di Ethereum Web3 Security BootCamp, yang diselenggarakan oleh DeFiHackLabs. Thinking, kepala pemeriksaan keamanan SlowMist, memandu peserta melalui delapan bab kunci — “Penipuan, Umpan, Memikat, Menyerang, Menyembunyikan, Teknik, Identifikasi, Pertahanan” — menggunakan studi kasus dunia nyata untuk memperlihatkan metode dan taktik yang digunakan oleh peretas phishing, serta langkah-langkah pencegahan yang dapat diterapkan. Phishing tetap menjadi salah satu ancaman terbesar di industri ini, dan memahami baik penyerang maupun pembela adalah penting untuk memperkuat pertahanan. Dalam artikel ini, kami mengekstrak dan berbagi wawasan kunci dari sesi tersebut untuk membantu pengguna mengenali dan melindungi diri dari serangan phishing.

Mengapa serangan phishing begitu efektif?

Di ruang Web3, serangan phishing telah menjadi salah satu ancaman keamanan terbesar. Mari kita lihat mengapa pengguna menjadi korban phishing. Bahkan orang-orang dengan tingkat kesadaran keamanan yang tinggi kadang-kadang merasakan sentimen “mereka yang berjalan di sepanjang sungai pasti akan basah kaki mereka,” karena menjaga kewaspadaan konstan sangat sulit. Penyerang biasanya menganalisis proyek-proyek terbaru yang sedang hangat, aktivitas komunitas, dan basis pengguna untuk mengidentifikasi target-target terkenal. Mereka kemudian dengan hati-hati menyamar dan memikat pengguna dengan umpan yang menarik seperti airdrop dan keuntungan tinggi. Serangan-serangan ini sering melibatkan rekayasa sosial, di mana penyerang dengan cekatan memanipulasi psikologi pengguna untuk mencapai tujuan penipuan mereka:

• Penghasutan:Kelayakan daftar putih Airdrop, peluang penambangan, kata sandi kekayaan, dan lainnya.
• Rasa ingin tahu/Kegilaan:Tak kenal takut menjual di puncak, jangan lewatkan potensi koin 100x, jangan lewatkan pertemuan malam ini pukul 10:00, tautan pertemuanhttps://us04-zoom[.]us/(berbahaya); daftar putih airdrop $PENGU, jangan lewatkan,https://vote-pengu[.]com/(berbahaya).
• Ketakutan:Peringatan mendesak: Proyek XX telah diretas, harap gunakan revake[.]cash (berbahaya) untuk mencabut otorisasi untuk mencegah kerugian aset.
• Alat yang Efisien:Alat pemanenan airdrop, alat kuantitas AI, alat penambangan satu klik, dan lain-lain.

Alasan mengapa penyerang berusaha keras untuk membuat dan menyebarkan umpan ini adalah karena mereka sangat menguntungkan. Melalui metode ini, penyerang dapat dengan mudah memperoleh informasi/izin sensitif pengguna dan mencuri aset mereka:

• Mencuri Mnemonik/Kunci Pribadi:Membujuk pengguna untuk memasukkan frasa pengingat atau kunci pribadi mereka.
• Menipu Pengguna agar Menggunakan Tanda Tangan Dompet:Otorisasi tanda tangan, transfer tanda tangan, dan lainnya.
• Mencuri Kata Sandi Akun:Telegram, Gmail, X, Discord, dll.
• Mencuri Izin Aplikasi Sosial:X, Discord, dll.
• Menginduksi Instalasi Aplikasi Berbahaya:Aplikasi dompet palsu, aplikasi sosial palsu, aplikasi pertemuan palsu, dll.

Taktik Phishing

Mari kita lihat beberapa taktik phishing umum:
Pencurian Akun/Pemalsuan Akun
Baru-baru ini, sering dilaporkan bahwa akun X projek/KOL Web3 sering diretas. Setelah mencuri akun-akun ini, penyerang sering mempromosikan token palsu atau menggunakan nama domain serupa dalam postingan 'berita baik' untuk menipu pengguna agar mengklik tautan berbahaya. Kadang-kadang, domain tersebut bahkan bisa asli karena penyerang mungkin telah mengambil alih domain projek tersebut. Begitu korban mengklik tautan phishing, menandatangani transaksi, atau mengunduh perangkat lunak berbahaya, aset mereka dicuri.

Selain mencuri akun, penyerang sering memalsukan akun nyata di X, meninggalkan komentar pada postingan yang sah untuk menyesatkan pengguna. Tim keamanan SlowMist telah menganalisis taktik ini: sekitar 80% komentar pertama pada tweet proyek-proyek terkenal sering dikuasai oleh akun-akun phishing. Penyerang menggunakan bot untuk mengikuti aktivitas proyek-proyek populer dan, begitu tweet diposting, bot mereka secara otomatis meninggalkan komentar pertama untuk memastikan visibilitas tertinggi. Karena pengguna membaca postingan dari proyek yang sah, dan akun phishing sangat menyerupai akun yang sebenarnya, pengguna yang tidak curiga mungkin mengeklik tautan phishing dengan dalih airdrop, memberikan otorisasi atau menandatangani transaksi dan kehilangan aset mereka.

Serangan pelaku juga menyamar sebagai administrator untuk mengirim pesan palsu, terutama di platform seperti Discord. Karena Discord memungkinkan pengguna untuk menyesuaikan nama panggilan dan nama pengguna, pelaku dapat mengubah profil mereka untuk mencocokkan dengan administrator, kemudian mengirim pesan phishing atau DM langsung ke pengguna. Tanpa memeriksa profil, sulit untuk melihat penipuan tersebut. Selain itu, meskipun nama pengguna Discord tidak dapat diduplikasi, pelaku dapat membuat akun dengan nama yang hampir identik dengan administrator dengan menambahkan variasi kecil, seperti garis bawah atau titik, sehingga sulit bagi pengguna untuk membedakan keduanya.

Phishing Berbasis Undangan
Pelaku serangan seringkali menghubungi pengguna melalui platform sosial, merekomendasikan proyek "premium" atau mengundang pengguna untuk pertemuan, membawa mereka ke situs phishing berbahaya untuk mengunduh aplikasi berbahaya. Sebagai contoh, beberapa pengguna tertipu untuk mengunduh aplikasi Zoom palsu, yang mengakibatkan pencurian aset. Pelaku serangan menggunakan domain seperti "app[.]us4zoom[.]us" untuk menyamar sebagai tautan Zoom yang sebenarnya, menciptakan halaman yang hampir identik dengan antarmuka Zoom yang sebenarnya. Ketika pengguna mengklik "Mulai Rapat," mereka diminta untuk mengunduh installer berbahaya daripada meluncurkan klien Zoom. Selama instalasi, pengguna didorong untuk memasukkan kata sandi, dan script berbahaya mengumpulkan plugin dompet dan data KeyChain (yang mungkin berisi password yang tersimpan). Setelah mengumpulkan data ini, penyerang mencoba mendekripsinya dan mengakses mnemonic dompet atau kunci pribadi pengguna, dengan tujuan mencuri aset mereka.

Eksploitasi Peringkat Mesin Pencari
Karena peringkat mesin pencari dapat dibuat naik secara artifisial dengan membeli iklan, situs phishing mungkin mendapat peringkat lebih tinggi dari situs resmi. Pengguna yang tidak yakin dengan URL situs resmi mungkin akan kesulitan untuk membedakan situs phishing, terutama karena situs phishing dapat menyesuaikan URL iklannya agar sesuai dengan yang resmi. URL iklan mungkin terlihat identik dengan situs resmi, tetapi ketika diklik, pengguna akan diarahkan ke situs phishing milik penyerang. Karena situs phishing seringkali terlihat hampir identik dengan situs sah, mudah untuk tertipu. Lebih aman untuk tidak hanya mengandalkan mesin pencari untuk menemukan situs resmi, karena hal ini dapat mengarah ke situs phishing.

Iklan TG
Baru-baru ini, terjadi peningkatan signifikan dalam laporan pengguna tentang bot TG palsu. Pengguna seringkali menjumpai bot baru yang muncul di bagian atas saluran bot perdagangan resmi dan dengan keliru mengira bahwa bot tersebut adalah resmi. Mereka mengklik bot baru tersebut, mengimpor kunci pribadi mereka, dan mengikat dompet mereka, hanya untuk memiliki aset mereka dicuri. Penyerang menggunakan iklan yang ditargetkan di saluran Telegram resmi untuk menarik pengguna agar mengklik. Metode phishing ini sangat rahasia karena muncul di saluran yang sah, membuat pengguna menganggapnya sebagai resmi. Tanpa cukup berhati-hati, pengguna dapat tertipu oleh bot phishing, memasukkan kunci pribadi mereka, dan kehilangan aset mereka.

Selain itu, baru-baru ini kami menemukan Penipuan Baru: Penipuan Pengaman Palsu TelegramBanyak pengguna tertipu untuk menjalankan kode berbahaya dari instruksi penyerang, yang mengakibatkan aset dicuri.

Toko Aplikasi
Tidak semua perangkat lunak yang tersedia di toko aplikasi (Google Play, Chrome Store, App Store, APKCombo, dll.) adalah asli. Toko aplikasi tidak selalu mampu meninjau sepenuhnya semua aplikasi. Beberapa penyerang menggunakan taktik seperti membeli peringkat kata kunci atau mengalihkan lalu lintas untuk menipu pengguna agar mengunduh aplikasi palsu. Kami mendorong pengguna untuk secara hati-hati meninjau aplikasi sebelum mengunduh. Selalu verifikasi informasi pengembang untuk memastikan cocok dengan identitas resmi. Anda juga dapat memeriksa peringkat aplikasi, jumlah unduhan, dan detail relevan lainnya.

Email Phishing
Phishing email adalah salah satu trik tertua dalam buku, dan seringkali sederhana namun efektif. Penyerang menggunakan template phishing yang dikombinasikan dengan reverse proxy Evilngins untuk membuat email seperti yang ditunjukkan di bawah ini. Ketika pengguna mengklik “LIHAT DOKUMEN,” mereka akan diarahkan ke halaman palsu DocuSign (yang sekarang offline). Jika pengguna mengklik login Google pada halaman ini, mereka akan diarahkan ke halaman login Google palsu. Setelah memasukkan nama pengguna, kata sandi, dan kode 2FA mereka, penyerang mendapatkan kendali atas akun mereka.

Email phishing di atas tidak dirancang dengan baik, karena alamat email pengirimnya tidak disembunyikan. Mari kita lihat bagaimana penyerang mencoba menyamarinya dalam contoh berikut: Alamat email penyerang berbeda dengan yang resmi hanya dengan satu titik kecil. Dengan menggunakan alat seperti DNSTwist, penyerang dapat mengidentifikasi karakter khusus yang didukung oleh Gmail. Tanpa memperhatikan dengan seksama, Anda mungkin salah menganggapnya sebagai layar kotor.

Memanfaatkan Fitur Browser
Untuk lebih detail, lihat Slow Mist: Mengungkap Bagaimana Bookmark Browser Jahat Mencuri Token Discord Anda.

Tantangan Pertahanan

Taktik phishing terus berkembang dan menjadi lebih canggih. Analisis kami sebelumnya menunjukkan bahwa penyerang dapat membuat situs web yang sangat mirip dengan halaman resmi proyek-proyek terkenal, mengambil alih domain proyek, dan bahkan memalsukan seluruh proyek palsu. Proyek-proyek penipuan ini sering kali memiliki banyak pengikut palsu di media sosial (pengikut yang dibeli) dan bahkan memiliki repositori GitHub, sehingga semakin sulit bagi pengguna untuk mengenali ancaman phishing. Selain itu, penggunaan alat anonim oleh para penyerang yang terampil semakin mempersulit upaya untuk melacak tindakan mereka. Untuk menyembunyikan identitas mereka, para penyerang sering bergantung pada VPN, Tor, atau host yang dikompromikan untuk melancarkan serangan mereka.

Setelah penyerang memiliki identitas anonim, mereka juga membutuhkan infrastruktur dasar, seperti Namecheap, yang menerima pembayaran cryptocurrency. Beberapa layanan hanya memerlukan alamat email untuk mendaftar dan tidak memerlukan verifikasi KYC, sehingga memungkinkan penyerang untuk menghindari penelusuran.

Setelah mereka memiliki alat-alat ini, penyerang dapat memulai serangan phishing. Setelah mencuri dana, mereka dapat menggunakan layanan seperti Wasabi atau Tornado untuk menyembunyikan jejak uang. Untuk meningkatkan anonimitas lebih lanjut, mereka dapat menukar dana yang dicuri dengan mata uang kripto yang berfokus pada privasi seperti Monero.

Untuk menutup jejak dan menghindari meninggalkan bukti, para penyerang akan menghapus resolusi domain terkait, perangkat lunak berbahaya, repositori GitHub, akun platform, dll. Hal ini membuat sulit bagi tim keamanan untuk menyelidiki insiden, karena situs phishing mungkin tidak lagi dapat diakses dan perangkat lunak berbahaya mungkin tidak lagi tersedia untuk diunduh.

Strategi Pertahanan

Pengguna dapat mengidentifikasi ancaman phishing dengan mengenali karakteristik yang disebutkan di atas dan memverifikasi keaslian informasi sebelum bertindak. Mereka juga dapat meningkatkan pertahanan phishing mereka dengan menggunakan alat-alat berikut:

• Plugin Pemblokir Risiko Phishing: Alat seperti Scam Sniffer dapat mendeteksi risiko dari berbagai sudut. Jika seorang pengguna membuka halaman phishing yang mencurigakan, alat tersebut akan memberi peringatan kepada mereka.
• Dompet yang Sangat Aman: Dompet seperti dompet observasi Rabby (yang tidak memerlukan kunci pribadi), deteksi situs phishing, fungsi “apa yang Anda lihat adalah apa yang Anda tandatangani”, deteksi tanda tangan berisiko tinggi, dan fitur pengenalan riwayat penipuan.
• Perangkat Lunak Antivirus Terkenal: Program populer seperti AVG, Bitdefender, dan Kaspersky.
• Dompet Hardware: Dompet hardware menawarkan penyimpanan offline untuk kunci privat, memastikan bahwa kunci tidak terpapar online saat berinteraksi dengan DApps, yang secara signifikan mengurangi risiko pencurian aset.

Kesimpulan

Serangan phishing sangat umum di dunia blockchain. Hal paling penting adalah tetap waspada dan menghindari terkejut. Saat menavigasi ruang blockchain, prinsip inti adalah mengadopsi pola pikir nol-kepercayaan dan terus-menerus memverifikasi segalanya. Kami merekomendasikan untuk membaca dan secara bertahap menguasai “Panduan Pemulihan Diri Hutan Gelap Blockchain” untuk memperkuat pertahanan Anda:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Pernyataan:

1. Artikel ini diperbanyak dari 【SlowMist Technology】, Hak cipta milik penulis asli【Tim Keamanan SlowMist】, jika Anda memiliki keberatan terhadap tindihan, silakan hubungiGate Belajartim akan menanganinya secepat mungkin sesuai dengan prosedur yang relevan.
2. Penafian: Pandangan dan pendapat yang diungkapkan dalam artikel ini hanya mewakili pandangan pribadi penulis dan tidak merupakan saran investasi apa pun.
3. Versi bahasa lain dari artikel ini diterjemahkan oleh tim gate Learn. Kecuali dinyatakan lain, artikel yang diterjemahkan tidak boleh disalin, didistribusikan atau dijiplak.