Antecedentes
Recentemente, a SlowMist foi convidada a falar no Ethereum Web3 Security BootCamp, organizado pela DeFiHackLabs. Thinking, o chefe das auditorias de segurança da SlowMist, guiou os participantes por oito capítulos-chave - “Decepção, Isca, Atração, Ataque, Esconder, Técnicas, Identificação, Defesa” - usando estudos de caso do mundo real para mostrar os métodos e táticas empregados pelos hackers de phishing, bem como as contramedidas que podem ser implementadas. O phishing continua a ser uma das ameaças mais significativas na indústria, e compreender tanto os atacantes como os defensores é essencial para fortalecer as defesas. Neste artigo, extraímos e partilhamos insights-chave da sessão para ajudar os utilizadores a reconhecer e proteger-se de ataques de phishing.

Por que os ataques de phishing são tão eficazes?

No espaço Web3, os ataques de phishing tornaram-se uma das maiores ameaças à segurança. Vamos dar uma olhada em por que os usuários caem vítimas de phishing. Mesmo aqueles com um alto nível de consciência de segurança às vezes podem sentir o sentimento de “aqueles que passam pelo rio inevitavelmente molharão seus sapatos”, porque manter uma vigilância constante é muito difícil. Os atacantes geralmente analisam projetos recentes em destaque, atividade da comunidade e base de usuários para identificar alvos de alto perfil. Eles então se disfarçam cuidadosamente e atraem os usuários com iscas tentadoras como airdrops e altos retornos. Esses ataques frequentemente envolvem engenharia social, onde os atacantes manipulam habilmente a psicologia dos usuários para alcançar seus objetivos fraudulentos:

• Indução:Elegibilidade da lista de permissões do airdrop, oportunidades de mineração, senhas de riqueza e muito mais.
• Curiosidade/Ganância:Sem medo de vender no pico, não perca a moeda potencial de 100x, não perca a reunião de hoje à noite às 10:00, link da reunião.https://us04-zoom[.]us/(malicioso); lista branca do airdrop $PENGU, não perca,https://vote-pengu[.]com/ (malicioso).
• Medo:Aviso urgente: O projeto XX foi hackeado, por favor, use revake[.]cash (malicioso) para revogar a autorização e prevenir perda de ativos.
• Ferramentas Eficientes:Ferramentas de colheita de airdrop, ferramentas de quantificação de IA, ferramentas de mineração com um clique e outras.

A razão pela qual os atacantes se esforçam ao máximo para criar e implementar essas iscas é que são altamente lucrativas. Através desses métodos, os atacantes podem facilmente obter informações/senhas sensíveis dos utilizadores e roubar os seus ativos:

• Roubo de Mnemónicas/Chaves Privadas:Enganar os utilizadores a inserir a sua mnemónica ou chave privada.
• Enganando os usuários a usar assinaturas de carteira:Assinaturas de autorização, assinaturas de transferência e muito mais.
• Roubo de Senhas de Conta:Telegram, Gmail, X, Discord, etc.
• Roubo de Permissões de Aplicativos Sociais:X, Discord, etc.
• Induzindo a instalação de aplicativos maliciosos:Aplicativos de carteira falsos, aplicativos de redes sociais falsos, aplicativos de reuniões falsos, etc.

Táticas de Phishing

Vamos dar uma olhada em algumas táticas comuns de phishing:
Roubo de Conta/Impersonação de Contas
Recentemente, têm-se verificado frequentes relatos de contas X de projetos/KOLs Web3 serem hackeadas. Depois de roubar essas contas, os atacantes frequentemente promovem tokens falsos ou usam nomes de domínio semelhantes em publicações de "boas notícias" para enganar os utilizadores a clicar em links maliciosos. Por vezes, os domínios podem até ser reais, uma vez que os atacantes poderiam ter sequestrado o domínio do projeto. Uma vez que as vítimas clicam num link de phishing, assinam uma transação ou descarregam um software malicioso, os seus ativos são roubados.

Para além de roubar contas, os atacantes frequentemente fazem-se passar por contas reais na X, deixando comentários em publicações legítimas para enganar os utilizadores. A equipa de segurança da SlowMist analisou esta tática: cerca de 80% dos primeiros comentários em tweets de projetos conhecidos são frequentemente ocupados por contas de phishing. Os atacantes usam bots para seguir as atividades de projetos populares e, uma vez que um tweet é publicado, os seus bots deixam automaticamente o primeiro comentário para garantir a maior visibilidade. Como os utilizadores estão a ler publicações do projeto legítimo, e a conta de phishing assemelha-se de perto à conta real, os utilizadores desavisados podem clicar em links de phishing sob o pretexto de um airdrop, autorizando ou assinando transações e perdendo os seus ativos.

Os atacantes também se fazem passar por administradores para postar mensagens falsas, especialmente em plataformas como o Discord. Uma vez que o Discord permite que os usuários personalizem apelidos e nomes de usuário, os atacantes podem alterar o seu perfil para corresponder ao de um administrador e, em seguida, postar mensagens de phishing ou enviar mensagens diretas aos utilizadores. Sem verificar o perfil, é difícil detectar a decepção. Além disso, embora os nomes de usuário no Discord não possam ser duplicados, os atacantes podem criar contas com nomes quase idênticos aos do administrador, adicionando pequenas variações, como um sublinhado ou um ponto, o que dificulta a distinção por parte dos utilizadores.

Phishing baseado em convite
Os atacantes frequentemente entram em contato com os utilizadores em plataformas sociais, recomendando projetos "premium" ou convidando os utilizadores para reuniões, levando-os a sites maliciosos de phishing para baixar aplicativos prejudiciais. Por exemplo, alguns utilizadores foram enganados a baixar um aplicativo falso do Zoom, resultando em roubo de ativos. Os atacantes usam domínios como "app[.]us4zoom[.]us" para se mascarar como links reais do Zoom, criando uma página que parece quase idêntica à interface real do Zoom. Quando os utilizadores clicam em "Iniciar Reunião", são solicitados a baixar um instalador malicioso em vez de iniciar o cliente Zoom. Durante a instalação, os utilizadores são encorajados a inserir senhas, e o script malicioso coleta dados do plugin da carteira e do KeyChain (que podem conter senhas armazenadas). Após coletar esses dados, os atacantes tentam descriptografá-los e acessar as mnemônicas da carteira ou chaves privadas dos utilizadores, roubando seus ativos.

Exploração da Classificação do Motor de Busca
Porque as classificações dos motores de busca podem ser artificialmente aumentadas pela compra de anúncios, sites de phishing podem ter uma classificação mais elevada do que os sites oficiais. Os utilizadores que não têm a certeza do URL do site oficial podem ter dificuldade em detetar sites de phishing, especialmente porque os sites de phishing podem personalizar o URL do anúncio para corresponder ao oficial. O URL do anúncio pode parecer idêntico ao do site oficial, mas quando clicado, os utilizadores são redirecionados para o site de phishing do atacante. Como os sites de phishing parecem muitas vezes quase idênticos aos sites legítimos, é fácil ser enganado. É mais seguro não depender exclusivamente dos motores de busca para encontrar sites oficiais, pois isso pode levar a sites de phishing.

Anúncios TG
Recentemente, houve um aumento significativo nos relatórios de usuários sobre bots falsos do TG. Os usuários frequentemente encontram novos bots aparecendo no topo dos canais oficiais de bot de negociação e pensam equivocadamente que são oficiais. Eles clicam no novo bot, importam sua chave privada e vinculam sua carteira, apenas para ter seus ativos roubados. Os atacantes usam anúncios direcionados em canais oficiais do Telegram para atrair os usuários a clicar. Esses métodos de phishing são particularmente encobertos porque aparecem em canais legítimos, fazendo com que os usuários assumam que são oficiais. Sem cautela suficiente, os usuários podem cair no bot de phishing, inserir suas chaves privadas e perder seus ativos.

Além disso, recentemente descobrimosUm novo golpe: Golpe de Falso Salvaguarda do Telegram. Muitos usuários foram enganados a executar código malicioso de instruções de atacantes, resultando em ativos roubados.

Lojas de aplicativos
Nem todo o software disponível nas lojas de aplicativos (Google Play, Chrome Store, App Store, APKCombo, etc.) é genuíno. As lojas de aplicativos nem sempre conseguem revisar completamente todos os aplicativos. Alguns atacantes usam táticas como comprar classificações de palavras-chave ou redirecionar tráfego para enganar os utilizadores a fazer o download de aplicativos fraudulentos. Encorajamos os utilizadores a rever cuidadosamente os aplicativos antes de fazer o download. Verifique sempre as informações do desenvolvedor para garantir que correspondam à identidade oficial. Também pode verificar as classificações dos aplicativos, número de downloads e outros detalhes relevantes.

Emails de Phishing
O phishing por e-mail é um dos truques mais antigos do livro, e muitas vezes é simples mas eficaz. Os atacantes usam modelos de phishing combinados com proxies reversos do Evilngins para criar e-mails como o mostrado abaixo. Quando os utilizadores clicam em "VER O DOCUMENTO," são redirecionados para uma página falsa do DocuSign (que agora está desativada). Se o utilizador clicar no login do Google nesta página, será redirecionado para uma página falsa de login do Google. Depois de introduzirem o seu nome de utilizador, palavra-passe e código 2FA, o atacante ganha controlo sobre a sua conta.

O email de phishing acima não foi cuidadosamente elaborado, pois o endereço de email do remetente não foi disfarçado. Vamos ver como o atacante tentou disfarçar no exemplo a seguir: O endereço de email do atacante difere apenas por um pequeno ponto do oficial. Usando uma ferramenta como o DNSTwist, os atacantes podem identificar caracteres especiais suportados pelo Gmail. Sem prestar muita atenção, você pode confundi-lo com uma tela suja.

Exploração de Funcionalidades do Navegador
Para mais detalhes, consulte Slow Mist: Revelando como Favoritos do Navegador Maliciosos Roubam seus Tokens do Discord.

Desafios de Defesa

As táticas de phishing estão em constante evolução e estão se tornando mais sofisticadas. Nossa análise anterior mostrou que os atacantes podem criar websites que imitam de perto as páginas oficiais de projetos conhecidos, assumir domínios de projetos e até mesmo fabricar projetos falsos inteiros. Esses projetos fraudulentos muitas vezes têm um grande número de seguidores falsos nas redes sociais (seguidores comprados) e até mesmo têm repositórios no GitHub, o que torna ainda mais difícil para os usuários identificar ameaças de phishing. Além disso, o uso habilidoso de ferramentas anônimas pelos atacantes complica ainda mais os esforços para rastrear suas ações. Para ocultar sua identidade, os atacantes frequentemente dependem de VPNs, Tor ou hosts comprometidos para realizar seus ataques.

Uma vez que os atacantes possuem uma identidade anônima, eles também precisam de infraestrutura básica, como a Namecheap, que aceita pagamentos em criptomoedas. Alguns serviços só exigem um endereço de email para se registrar e não requerem verificação KYC, permitindo que os atacantes evitem ser rastreados.

Uma vez que tenham estas ferramentas em funcionamento, os atacantes podem iniciar ataques de phishing. Após roubar fundos, podem usar serviços como Wasabi ou Tornado para obscurecer o rasto do dinheiro. Para aumentar ainda mais o anonimato, podem trocar os fundos roubados por criptomoedas focadas na privacidade, como Monero.

Para cobrir seus rastros e evitar deixar evidências para trás, os atacantes irão remover resoluções de domínio relacionadas, softwares maliciosos, repositórios do GitHub, contas de plataforma, etc. Isso torna difícil para as equipes de segurança investigar incidentes, já que os sites de phishing podem não estar mais acessíveis e o software malicioso pode não estar mais disponível para download.

Estratégias de Defesa

Os utilizadores podem identificar ameaças de phishing reconhecendo as características mencionadas acima e verificando a autenticidade das informações antes de agir. Eles também podem melhorar a sua defesa contra phishing usando as seguintes ferramentas:

• Plugins de Bloqueio de Risco de Phishing: Ferramentas como Scam Sniffer podem detetar riscos a partir de múltiplos ângulos. Se um utilizador abrir uma página de phishing suspeita, a ferramenta irá alertá-lo com um aviso.
• Carteiras Altamente Seguras: Carteiras como a carteira de observação de Rabby (que não requer uma chave privada), deteção de websites de phishing, funcionalidade de 'o que vês é o que assinas', deteção de assinaturas de alto risco e reconhecimento de histórico de golpes.
• Software Antivírus Conhecido: Programas populares como AVG, Bitdefender e Kaspersky.
• Carteiras de hardwareAs carteiras de hardware oferecem armazenamento offline para chaves privadas, garantindo que as chaves não sejam expostas online ao interagir com DApps, o que reduz significativamente o risco de roubo de ativos.

Conclusão

Os ataques de phishing são generalizados no mundo da blockchain. A coisa mais importante é permanecer vigilante e evitar ser pego de surpresa. Ao navegar no espaço da blockchain, o princípio básico é adotar uma mentalidade de zero confiança e verificar continuamente tudo. Recomendamos a leitura e a gradual dominação do “Manual de Autodefesa na Floresta Negra da Blockchain” para fortalecer a sua defesa:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Declaração:

1. Este artigo é reproduzido a partir de 【SlowMist Technology】，Os direitos autorais pertencem ao autor original 【SlowMist Security Team】, se você tiver alguma objeção à reprodução, entre em contato Gate Learn, a equipe lidará com isso o mais rápido possível de acordo com os procedimentos relevantes.
2. Aviso: As opiniões expressas neste artigo representam apenas as opiniões pessoais do autor e não constituem qualquer conselho de investimento.
3. Outras versões em outros idiomas do artigo são traduzidas pela equipe de Aprendizado da gate. A menos que seja declarado o contrário, o artigo traduzido não pode ser copiado, distribuído ou plagiado.