หมอกช้า: การวิเคราะห์เทคนิคการฟิชชิ่งข้อความส่วนตัวที่ไม่ลงรอยกัน

พื้นหลังเหตุการณ์

พื้นหลังเหตุการณ์

ในเช้าตรู่ของวันที่ 16 พฤษภาคม ขณะที่ฉันกำลังตามหาครอบครัว ฉันได้เข้าร่วมเซิร์ฟเวอร์ Discord อย่างเป็นทางการจากลิงก์คำเชิญบนเว็บไซต์ทางการของโครงการ ทันทีที่ฉันเข้าร่วมเซิร์ฟเวอร์ก็มี"หุ่นยนต์"ชื่อระดับแรก

การวิเคราะห์เทคนิคการตกปลา

ฉันไปเยี่ยม"หุ่นยนต์"หลังจากลิงก์ที่ส่งโดย (Captcha.bot) มันขอให้ฉันทำการตรวจสอบด้วยเครื่องคน แต่หลังจากที่ฉันผ่านการยืนยันแล้ว ฉันพบว่ามันขอให้ปลุกกระเป๋าเงินจิ้งจอกน้อยของฉัน (MetaMask) และอินเทอร์เฟซกระเป๋าเงินนั้น เรียกขึ้นมาค่อนข้างจริงตามภาพ แต่เห็นแถบ address ของ wallet แสดงขึ้นมา"about:blank"สิ่งนี้กระตุ้นความระมัดระวังของฉัน (ฉันมักจะตรวจสอบกระเป๋าเงินปลั๊กอินจำนวนมาก) หากมีการเรียกใช้โดยปลั๊กอิน ก็จะไม่มีสิ่งดังกล่าว"about:blank"แถบที่อยู่.

ต่อไป ฉันสุ่มป้อนรหัสผ่านและตรวจสอบผ่านองค์ประกอบการตรวจสอบ และพบว่าอินเทอร์เฟซจิ้งจอกน้อย (MetaMask) นี้สร้างโดยเว็บไซต์ปลอม"https://captcha.fm/"สิ่งที่ปรากฏขึ้นไม่ใช่อินเทอร์เฟซกระเป๋าเงินจริง ดังนั้นฉันจึงเริ่มดีบักกระเป๋าเงิน

หลังจากป้อนรหัสผ่านแบบสุ่มแล้ว อินเทอร์เฟซกระเป๋าเงินปลอมนี้จะเข้าสู่"Security Check"อินเทอร์เฟซขอให้ฉันป้อนตัวช่วยจำเพื่อการตรวจสอบ โปรดทราบว่ารหัสผ่านและตัวช่วยจำที่ป้อนจะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์ของไซต์ที่เป็นอันตราย

ชื่อระดับแรก

วิเคราะห์บัญชีที่เป็นอันตราย

หลังจากดาวน์โหลดและบันทึกซอร์สโค้ดของไซต์ที่เป็นอันตรายแล้ว ฉันส่งข้อมูลไปยังทีมงานโครงการและเริ่มวิเคราะห์บัญชีของการโจมตีแบบฟิชชิ่งนี้ เนื่องจากฉันเพิ่งเข้าร่วมกลุ่มครอบครัว ฉันจึงได้รับข้อความยืนยันจากที่อยู่ด้านล่าง หลังจากการวิเคราะห์ บัญชีนี้เป็นบัญชีธรรมดาที่ปลอมแปลงเป็นหุ่นยนต์ Captcha.bot เมื่อฉันเข้าร่วมเซิร์ฟเวอร์อย่างเป็นทางการ หุ่นยนต์ Captcha.bot ปลอมส่งลิงก์การตรวจสอบคอมพิวเตอร์มนุษย์ปลอมจากเซิร์ฟเวอร์อย่างเป็นทางการมาให้ฉันทันที ระบุผู้ใช้ที่เข้าร่วมใหม่ สร้างลิงก์โดยอัตโนมัติ และส่งลิงก์ฟิชชิ่งแบบส่วนตัว) จึงแนะนำให้ฉันป้อนรหัสผ่านกระเป๋าเงินและคำช่วยจำ

ชื่อระดับแรก

ได้รับลิงก์ฟิชชิ่งอีกครั้ง

เรื่องยังไม่จบ พันธมิตร SlowMist อีกคน (ขอบคุณ @Victory ที่ให้ข้อมูล) เข้าร่วมเซิร์ฟเวอร์ Discord อย่างเป็นทางการในเช้าวันรุ่งขึ้น และได้รับข้อความส่วนตัวจากบัญชีที่เป็นอันตรายอีกครั้ง ซึ่งมีลิงก์ฟิชชิ่ง ซึ่งต่างออกไป ใช่ นี่ เวลาฟิชเชอร์แอบอ้างว่าเป็นบัญชีทางการโดยตรงและส่งข้อความส่วนตัว

เรื่องราวที่ฟิชเชอร์เล่าในครั้งนี้คือการนำเข้าคำช่วยในการจำไปยังลิงก์สำหรับการยืนยันตัวตน อย่างไรก็ตาม แทนที่จะใช้อินเทอร์เฟซจิ้งจอกน้อยปลอม (MetaMask) เพื่อหลอกลวงผู้ใช้ ฟิชชิ่งนี้เทคนิคไม่จริง (เทคนิคการตกปลาหยาบเกินไป)

ชื่อระดับแรก

วิธีการป้องกันฟิชชิ่ง

เทคนิคและเหตุการณ์ฟิชชิงต่างๆ เกิดขึ้นไม่รู้จบ ผู้ใช้ต้องเรียนรู้ที่จะระบุเทคนิคฟิชชิ่งต่างๆ เพื่อหลีกเลี่ยงไม่ให้ถูกโกง และฝ่ายโครงการต้องเสริมสร้างการศึกษาเกี่ยวกับความตระหนักด้านความปลอดภัยของผู้ใช้ด้วย

ผู้ใช้หลังจากเข้าร่วม Discord ผู้ใช้ในเซิร์ฟเวอร์ไม่ควรแชทส่วนตัวในฟังก์ชั่นความเป็นส่วนตัว ในเวลาเดียวกัน ผู้ใช้ยังต้องปรับปรุงการรับรู้ด้านความปลอดภัยของตน และเรียนรู้ที่จะระบุวิธีโจมตีที่ปลอมแปลง MetaMask (เช่น การตรวจสอบว่ามีแถบที่อยู่หรือไม่ หากเริ่มต้นโดยปลั๊กอิน จะไม่มีแถบที่อยู่ ) และเมื่อหน้าเว็บเรียกใช้ MetaMask เพื่อขอลายเซ็น จะต้องระบุเนื้อหาของลายเซ็น ปฏิเสธคำขอสำหรับหน้าเว็บหากไม่สามารถระบุได้ว่าลายเซ็นนั้นเป็นอันตรายหรือไม่ เมื่อเข้าร่วมโครงการ Web3 ห้ามนำเข้าคีย์ส่วนตัว/วลีช่วยในการจำบนหน้าเว็บทุกที่ทุกเวลา ใช้ hardware wallets ให้มากที่สุด เนื่องจาก hardware wallet ไม่สามารถส่งออกคำช่วยจำหรือคีย์ส่วนตัวได้โดยตรง

ฝั่งโครงการทีมงานควรให้ความสนใจกับคำติชมของผู้ใช้ชุมชนเสมอ ลบบัญชีที่เป็นอันตรายในเซิร์ฟเวอร์ Discord ของชุมชนในเวลาที่เหมาะสม และดำเนินการให้ความรู้ด้านความปลอดภัยต่อต้านฟิชชิ่งเมื่อผู้ใช้เข้าร่วมเซิร์ฟเวอร์ Discord เป็นครั้งแรก

ลิงก์อ้างอิงการตั้งค่าความเป็นส่วนตัวและการกำหนดค่าความปลอดภัยที่ไม่ลงรอยกัน:

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-