在快節奏和不斷發展的加密貨幣世界中,可以交換數字資產並創造財富,潛伏的危險威脅著經驗豐富的投資者和新手的安全:加密網絡釣魚詐騙。
這些計劃旨在利用個人的信任和脆弱性,旨在誘騙他們洩露他們的敏感信息,甚至放棄他們來之不易的加密資產。
隨著加密貨幣的流行度不斷上升,網絡犯罪分子使用的網絡釣魚技術也越來越複雜。 從冒充合法交易所和錢包到製定引人注目的社會工程策略,這些騙子不惜一切代價獲取對您數字資產的未經授權訪問。
惡意行為者使用不同的社會工程方法來瞄准他們的受害者。 通過社會工程策略,詐騙者操縱用戶的情緒並營造信任感和緊迫感。
非託管錢包智能錢包 Giddy 的首席執行官兼聯合創始人埃里克帕克告訴 Cointelegraph,“有人在你不問的情況下聯繫你了嗎? 這是您可以使用的最重要的經驗法則之一。 客戶服務很少(如果有的話)主動聯繫你,所以你應該始終懷疑那些說你需要對你的賬戶採取行動的消息。”
“與免費資金的想法相同:如果有人向您發送消息是因為他們想給您免費資金,這很可能不是真的。 警惕任何感覺好得令人難以置信的信息,或者讓你立即感到緊迫感或恐懼感,讓你迅速採取行動。”
電子郵件和短信詐騙
加密網絡釣魚詐騙中使用的一種常見技術是冒充受信任的實體,例如加密貨幣交易所或錢包提供商。 詐騙者使用相似的品牌、徽標和電子郵件地址發送看似來自這些合法組織的電子郵件或消息。 他們的目的是欺騙收件人相信通信來自可靠的來源。
為實現這一目標,詐騙者可能會使用電子郵件欺騙等技術,偽造發件人的電子郵件地址,使其看起來好像來自合法組織。 他們還可能使用社會工程策略來個性化消息並使它們看起來更真實。 通過冒充受信任的實體,詐騙者利用與這些組織相關的信任和信譽來誘騙用戶採取危及他們安全的行動。
虛假的支持請求
加密網絡釣魚詐騙者通常偽裝成合法加密貨幣交易所或錢包提供商的客戶支持代表。 他們向毫無戒心的用戶發送電子郵件或消息,聲稱他們的帳戶存在問題或需要立即關注的未決交易。
詐騙者提供聯繫方式或指向虛假支持網站的鏈接,系統會提示用戶在該網站上輸入他們的登錄憑據或其他敏感信息。
Blockfence(一種加密安全瀏覽器擴展)的首席執行官兼聯合創始人 Omri Lahav 告訴 Cointelegraph,“重要的是要記住,如果有人主動向你發送消息或電子郵件,他們可能想要你的東西。 這些鏈接和附件可能包含旨在竊取您的密鑰或訪問您的系統的惡意軟件,”繼續說道:
“此外,他們可以將您重定向到網絡釣魚網站。 始終驗證發件人身份和電子郵件的合法性以確保安全。 避免直接點擊鏈接; 將 URL 複製並粘貼到瀏覽器中,仔細檢查域名中是否存在任何拼寫錯誤。”
通過冒充支持人員,詐騙者利用用戶對合法客戶支持渠道的信任。 此外,他們利用快速解決問題的願望,引導用戶自願披露他們的私人信息,騙子以後可以將這些信息用於惡意目的。
虛假網站和克隆平台
惡意行為者還可以建立虛假網站和平台來引誘毫無戒心的用戶。
域名欺騙是一種技術,詐騙者註冊與合法加密貨幣交易所或錢包提供商的名稱非常相似的域名。 例如,他們可能會註冊一個域名,如“exchnage.com”而不是“exchange.com”或“myethwallet”而不是“myetherwallet”。 不幸的是,毫無戒心的用戶很容易忽略這些細微的變化。
拉哈夫說,用戶應該“驗證相關網站是否信譽良好和知名度”。
最近:比特幣正與“淨零”承諾發生衝突
“檢查 URL 的正確拼寫也很重要,因為惡意行為者通常會創建與合法網站非常相似的 URL。 用戶還應該對通過谷歌廣告發現的網站保持謹慎,因為它們可能不會在搜索結果中自然排名靠前,”他說。
詐騙者使用這些欺騙性域名來創建模仿合法平台的網站。 他們經常發送包含這些虛假網站鏈接的網絡釣魚電子郵件或消息,誘使用戶相信他們正在訪問真實平台。 一旦用戶輸入他們的登錄憑據或在這些網站上執行交易,詐騙者就會捕獲敏感信息並利用它來謀取利益。
惡意軟件和移動應用程序
黑客還可以訴諸於使用惡意軟件來鎖定用戶。 鍵盤記錄器和剪貼板劫持是加密網絡釣魚詐騙者用來從用戶設備竊取敏感信息的技術。
鍵盤記錄器是一種惡意軟件程序,可以記錄用戶在其設備上進行的每一次擊鍵。 當用戶輸入他們的登錄憑據或私鑰時,鍵盤記錄器會捕獲此信息並將其發回給詐騙者。 剪貼板劫持涉及攔截複製到設備剪貼板的內容。
加密貨幣交易通常涉及復制和粘貼錢包地址或其他敏感信息。 詐騙者使用惡意軟件監控剪貼板並將合法錢包地址替換為自己的地址。 當用戶將信息粘貼到預定字段時,他們會在不知不覺中將資金發送到詐騙者的錢包。
用戶如何抵禦加密網絡釣魚詐騙
用戶可以在瀏覽加密空間時採取一些步驟來保護自己。
啟用雙因素身份驗證 (2FA) 是一種可以幫助保護與加密相關的帳戶免受網絡釣魚詐騙的工具。
2FA 通過要求用戶提供第二種形式的驗證來增加額外的保護層,除了他們的密碼之外,通常是在他們的移動設備上生成的唯一代碼。 這確保即使攻擊者通過網絡釣魚嘗試獲得用戶的登錄憑據,他們仍然需要第二個因素(例如基於時間的一次性密碼)才能獲得訪問權限。
使用基於硬件或軟件的驗證器
設置 2FA 時,用戶應考慮使用基於硬件或軟件的身份驗證器,而不是僅依賴基於 SMS 的身份驗證。 基於 SMS 的 2FA 可能容易受到 SIM 交換攻擊,攻擊者以欺詐方式控制用戶的電話號碼。
硬件驗證器,例如 YubiKey 或安全密鑰,是生成一次性密碼並提供額外安全層的物理設備。 基於軟件的驗證器,例如 Google Authenticator 或 Authy,會在用戶的智能手機上生成基於時間的代碼。 這些方法比基於 SMS 的身份驗證更安全,因為它們不易受到 SIM 交換攻擊。
驗證網站真實性
為防止網絡釣魚詐騙,用戶應避免點擊電子郵件、消息或其他未經驗證來源中提供的鏈接。 相反,他們應該手動輸入他們的加密貨幣交易所、錢包或他們希望訪問的任何其他平台的網站 URL。
通過手動輸入網站 URL,用戶可以確保他們直接訪問合法網站,而不是通過單擊網絡釣魚鏈接被重定向到虛假或克隆的網站。
謹慎對待鏈接和附件
在單擊任何鏈接之前,用戶應將鼠標光標懸停在鏈接上,以便在瀏覽器的狀態欄或工具提示中查看目標 URL。 這允許用戶驗證鏈接的實際目的地並確保它與預期的網站相匹配。
網絡釣魚詐騙者通常通過顯示與目標不同的 URL 文本來偽裝鏈接。 通過將鼠標懸停在鏈接上,用戶可以檢測到可能表示網絡釣魚嘗試的不一致和可疑 URL。
帕克向 Cointelegraph 解釋說:“偽造電子郵件中的底層鏈接非常容易。 詐騙者可以向您顯示電子郵件文本中的一個鏈接,但將潛在的超鏈接設為其他內容。”
“加密網絡釣魚者最喜歡的騙局是複制信譽良好的網站的用戶界面,但將他們的惡意代碼用於登錄或錢包連接部分,這會導緻密碼被盜,或者更糟的是,助記詞被盜。 因此,請務必仔細檢查您正在登錄或連接您的加密錢包的網站 URL。”
使用殺毒軟件掃描附件
用戶在下載和打開附件時應謹慎行事,尤其是來自不受信任或可疑來源的附件。 附件可能包含惡意軟件,包括鍵盤記錄器或特洛伊木馬,它們可能會危及用戶設備和加密貨幣帳戶的安全。
為減輕這種風險,用戶應在打開附件之前使用信譽良好的防病毒軟件掃描所有附件。 這有助於檢測和消除任何潛在的惡意軟件威脅,減少成為網絡釣魚攻擊受害者的機會。
保持軟件和應用程序更新
使操作系統、Web 瀏覽器、設備和其他軟件保持最新狀態對於維護用戶設備的安全至關重要。 更新可以包括解決已知漏洞和防範新威脅的安全補丁。
使用信譽良好的安全軟件
要針對網絡釣魚詐騙和惡意軟件增加額外的保護層,用戶應考慮在其設備上安裝信譽良好的安全軟件。
防病毒、反惡意軟件和反網絡釣魚軟件可以幫助檢測和阻止惡意威脅,包括網絡釣魚電子郵件、虛假網站和受惡意軟件感染的文件。
通過使用信譽良好的軟件定期更新和運行安全掃描,用戶可以最大限度地降低成為網絡釣魚詐騙受害者的風險,並確保其設備和加密貨幣相關活動的整體安全性。
自我教育並隨時了解情況
加密網絡釣魚詐騙不斷發展,新策略不斷湧現。 用戶應主動了解針對加密貨幣社區的最新網絡釣魚技術和詐騙。 此外,通過研究和閱讀最近的網絡釣魚事件和安全最佳實踐來了解最新情況。
最近:什麼是合理使用? 美國最高法院對 AI 的版權困境進行權衡
要及時了解與安全相關的新聞並及時收到有關網絡釣魚詐騙的警告,用戶應關注加密貨幣社區中的可信來源。 這可能包括加密貨幣交易所、錢包提供商和知名網絡安全組織的官方公告和社交媒體賬戶。
通過關注可靠來源,用戶可以獲得有關新出現的網絡釣魚詐騙、安全漏洞和保護其加密資產的最佳實踐的準確信息和警報。
來源:https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected