شرکت امنیتی بلاک چین SlowMist، پنج تکنیک رایج فیشینگ را که کلاهبرداران رمزارز در سال ۲۰۲۲ روی قربانیان استفاده میکردند، گزارش کرده است. این روشها شامل نشانکهای مخرب مرورگر، سفارشهای فروش ساختگی و بدافزار تروجان است که در اپلیکیشن پیامرسان Discord منتشر شده بود.
به گزارش سایت کوین تلگراف، طبق گفتههای SlowMist در ۹ ژانویه، این شرکت امنیتی، در مجموع ۳۰۳ حادثه امنیتی بلاک چین را در طول سال ثبت کرده که ۳۱.۶٪ از این حوادث ناشی از فیشینگ، راگ پول (rug pull) یا سایر کلاهبرداریها (scam) بوده است. در ادامه این خبر به بررسی ۵ مورد از مهمترین نوع حملات میپردازیم.
نشانکهای مخرب مرورگر
یکی از استراتژیهای فیشینگ، استفاده از مدیریت بوکمارکها (bookmark managers) است که این ویژگی در اکثر مرورگرهای مدرن، فعال است.
SlowMist گفت که کلاهبرداران از این موارد سوء استفاده کردهاند تا در نهایت به حساب Discord مالک پروژه دسترسی پیدا کنند.
این شرکت نوشت:
با قرار دادن کد جاوا اسکریپت در بوکمارکها از طریق این صفحات فیشینگ، مهاجمان به طور بالقوه میتوانند به اطلاعات کاربر Discord دسترسی پیدا کنند و مجوزهای حساب مالک پروژه را در اختیار بگیرند.
پس از هدایت قربانیان برای افزودن بوکمارک مخرب از طریق یک صفحه فیشینگ، کلاهبردار منتظر میماند تا قربانی در حالی که وارد Discord شده است روی بوکمارک کلیک کند. کلیک کردن روی بوکمارک مخرب، کد جاوا اسکریپت کاشتهشده را فعال میکند و اطلاعات شخصی قربانی را به کانال Discord کلاهبردار ارسال میکند.
در طی این فرآیند، کلاهبردار میتواند توکن Discord قربانی (شامل نام کاربری و رمز عبور Discord رمزگذاری شده آنها) را بدزدد و در نتیجه به حساب آنها دسترسی پیدا کند. این عمل به آنها اجازه میدهد که پیامهای جعلی و لینکهایی را به کلاهبرداریهای فیشینگ بیشتری ارسال کنند، در حالی که خود را به جای قربانی نشان میدهند.
خرید صفر دلاری، فیشینگ NFT
بر اساس گزارش SlowMist، از ۵۶ مورد نقض امنیت NFT، تعداد ۲۲ مورد از آنها در نتیجه حملات فیشینگ بوده است.
یکی از محبوبترین روشهایی که کلاهبرداران استفاده میکنند، این است که قربانیان را فریب میدهند تا از طریق یک سفارش فروش ساختگی، بدون هیچ هزینهای روی NFTها امضا کنند.
هنگامی که قربانی سفارش را امضا میکند، کلاهبردار میتواند NFT های کاربر را از طریق یک بازار با قیمتی که توسط او تعیین میشود خریداری کند.
SlowMist نوشت:
متاسفانه، امکان لغو مجوز امضای سرقت شده از طریق سایت هایی مانند Revoke وجود ندارد. با این حال، میتوانید هر گونه سفارش معلق قبلی را که تنظیم کرده بودید، لغو مجوز کنید، این امر میتواند به کاهش خطر حملات فیشینگ کمک کند و مانع از استفاده مهاجم از امضای شما شود.
سرقت ارز با اسب تروا
به گفته SlowMist، این نوع حمله معمولا از طریق پیامهای خصوصی در Discord رخ میدهد که در آن مهاجم از قربانیان دعوت میکند تا در آزمایش یک پروژه جدید شرکت کنند، سپس برنامهای را در قالب یک فایل فشرده ارسال میکند که حاوی یک فایل اجرایی حدود ۸۰۰ مگابایت است.
پس از دانلود برنامه، فایلهای حاوی عبارات کلیدی مانند “کیف پول” را اسکن کرده و آنها را در سرور مهاجم آپلود میکند.
SlowMist گفت:
آخرین نسخه RedLine Stealer همچنین دارای قابلیت سرقت ارزهای دیجیتال، اسکن اطلاعات کیف پول ارز دیجیتال نصب شده بر روی رایانه محلی و آپلود آن بر روی یک دستگاه کنترل از راه دور است.
علاوه بر سرقت ارزهای دیجیتال، RedLine Stealer میتواند فایلها را آپلود و دانلود کند، دستورات را اجرا کند و اطلاعات دورهای را درباره رایانه آلوده شده ارسال کند.
چک خالی، فیشینگ eth_sign
این حمله فیشینگ به کلاهبرداران اجازه میدهد تا از کلید خصوصی شما برای امضای هر تراکنشی که انتخاب میکنند استفاده کنند.
پس از امضا، مهاجمان به امضای شما دسترسی پیدا میکنند و به آنها اجازه میدهند هر دادهای را بسازند و از شما بخواهند که آن را از طریق eth_sign امضا کنید.
این شرکت میگوید:
این نوع فیشینگ میتواند بسیار گیجکننده باشد، بهویژه وقتی صحبت از مجوز باشد.
کلاهبرداری با شباهت آدرس تراکنش
برای این کلاهبرداری، مهاجمان مقادیر کمی از توکنها (مانند ۰.۰۱ USDT یا ۰.۰۰۱ USDT ) را به قربانیانی با آدرسی مشابه( به جز چند رقم آخر) ارسال میکنند. هدف، فریب دادن کاربران به کپی آدرس اشتباه در تاریخچه انتقال آنها است.
سایر حوادث امنیتی بلاک چین
تقریبا ۹۲ حمله با استفاده از آسیبپذیریهای قراردادی در سال انجام شد که مجموعا به دلیل نقص در طراحی قراردادهای هوشمند و برنامههای هک شده، خسارتی به حدود ۱.۱ میلیارد دلار رسید.
از سوی دیگر سرقت کلید خصوصی تقریبا ۶.۶ درصد از حملات را به خود اختصاص داده است و حداقل ۷۶۲ میلیون دلار ضرر داشته است که بارزترین نمونه آن هک پل رونین و پل هارمونی است.