ในบรรดาการฉ้อโกงหลายประเภท การโจมตีด้วยฟิชชิงเป็นหนึ่งในวิธีการที่ผู้ฉ้อโกงใช้กันมากที่สุด

อย่างไรก็ตาม ในด้านของ Web3.0 นั้นไม่ได้มีเพียงการโจมตีแบบฟิชชิ่งเท่านั้น แต่ยังมีการโจมตีแบบ "ไอซ์ฟิชชิ่ง" ที่จะก่อให้เกิดภัยคุกคามที่สำคัญต่อชุมชนอีกด้วย

ก่อนหน้านี้ในปี 2022 Microsoft ได้อธิบายรูปแบบเฉพาะของการโจมตีประเภทนี้ในบล็อกเป็นครั้งแรก โดยสแกมเมอร์ไม่จำเป็นต้องหลอกลวงรหัสส่วนตัวและช่วยจำของผู้ใช้ แต่จะชักจูงผู้ใช้โดยตรงให้อนุมัติการดำเนินการโอนสินทรัพย์ไปยังกระเป๋าเงินของสแกมเมอร์

จนถึงตอนนี้ ไอซ์ฟิชชิ่งได้สร้างความเสียหายต่อทรัพย์สินนับล้านดอลลาร์ในฟิลด์ Web3.0

ไอซ์ฟิชชิ่ง คืออะไร?

Ice Phishing เป็นการโจมตีประเภทหนึ่งที่มีเฉพาะในโลกของ Web3.0 โดยผู้ใช้จะถูกหลอกให้ลงชื่ออนุญาต ทำให้ผู้โจมตีสามารถใช้ทรัพย์สินภายในบัญชีของผู้ใช้ได้โดยตรง

ซึ่งแตกต่างจากการโจมตีแบบฟิชชิงแบบดั้งเดิม ซึ่งเป็นประเภทของการโจมตีแบบวิศวกรรมสังคม และมักใช้เพื่อขโมยข้อมูลผู้ใช้ รวมถึงข้อมูลรับรองการเข้าสู่ระบบและกระเป๋าเงินหรือข้อมูลสินทรัพย์ เช่น คีย์ส่วนตัวหรือรหัสผ่าน

เมื่อเทียบกับสิ่งนี้ ฟิชชิงน้ำแข็งเป็นภัยคุกคามต่อผู้ใช้ Web3.0 มากกว่า การโต้ตอบกับโปรโตคอล DeFi นั้นกำหนดให้ผู้ใช้ต้องให้สิทธิ์ และผู้โจมตีจะต้องโน้มน้าวผู้ใช้ว่าที่อยู่ที่เป็นอันตรายที่พวกเขาอนุมัตินั้นถูกต้องตามกฎหมาย เมื่อผู้ใช้ยินยอมให้มิจฉาชีพใช้ทรัพย์สินของพวกเขา มีความเสี่ยงที่บัญชีจะถูกขโมย

เครือข่ายไอซ์ฟิชชิ่ง

ขั้นตอนแรกของการโจมตีแบบฟิชชิ่งด้วยน้ำแข็งมักจะเกิดขึ้น: เหยื่อถูกหลอกให้อนุมัติ EOA หรือสัญญาที่เป็นอันตรายเพื่อใช้จ่ายสินทรัพย์ในกระเป๋าเงินของเหยื่อ

คำอธิบายภาพ

ที่มา: Etherescan

คำอธิบายภาพ

ที่มา: Etherescan

คำอธิบายภาพ

ที่มา: อย

คำอธิบายภาพ

ที่มา: Etherescan

หากคุณเห็นที่อยู่ที่คุณไม่รู้จัก หรือที่อยู่ที่เริ่มต้นธุรกรรมโดยไม่ได้รับการอนุมัติจากคุณ ให้เพิกถอนการอนุญาตทันที (โดยการเยี่ยมชมเว็บไซต์อย่าง revoke.cash หรือการเชื่อมต่อกระเป๋าเงินของคุณกับระบบสแกน)

จะเพิกถอนการอนุญาตโดยการสแกนเว็บไซต์เช่น Etherscan ได้อย่างไร

2. เชื่อมต่อกระเป๋าเงิน

2. เชื่อมต่อกระเป๋าเงิน

3. คลิกที่แท็บ ERC-20, ERC-721 หรือ ERC-1155 เพื่อค้นหาที่อยู่ที่คุณต้องการถอน

4. คลิกปุ่มยกเลิก

จะระบุฟิชชิ่งน้ำแข็งได้อย่างไร?

สัญญาณแรกที่บ่งบอกว่าผู้ใช้กำลังตกหลุมพรางของ Ice Phishing คือการดูที่ URL หรือ DApp ที่พวกเขาใช้อยู่

เว็บไซต์ที่เป็นอันตรายคัดลอกหน้าเว็บจากโครงการที่ถูกต้องตามกฎหมาย หรือแสร้งทำเป็นพันธมิตรกับองค์กรที่ถูกต้องตามกฎหมาย

ตัวอย่างเช่น เรามักจะเห็นเว็บไซต์ฉ้อฉลบางแห่งเชื่อมโยงกับ CertiK หรืออัปโหลดรายงานการตรวจสอบ CertiK ปลอม

คำอธิบายภาพ

ที่มา: ทีมสอบสวน CertiK

คำอธิบายภาพ

ที่มา: MetaMask

คำอธิบายภาพ

ผู้ใช้สามารถส่งรายงานเกี่ยวกับสัญญาที่เป็นอันตรายได้ที่ certik.com

ผู้ใช้สามารถทำการตรวจสอบออนไลน์บางอย่างได้ผ่าน DYOR (Do Your Own Research) ของพวกเขาเอง เช่น การสแกนที่อยู่ที่แสดงใน DApp หรือ URL โดยการสแกนเว็บไซต์ (เช่น Etherscan) เพื่อดูว่ามีกิจกรรมที่น่าสงสัยหรือไม่

คำอธิบายภาพ

ที่มา: Etherescan

ที่มา: ทวิตเตอร์

ที่มา: ทวิตเตอร์

จากการตรวจสอบกระเป๋าเงินของเหยื่อบางรายและโพสต์ข้อร้องเรียนบนโซเชียลมีเดีย เราพบหน้า Twitter ปลอมของ Maximus DAO ซึ่งน่าจะเกี่ยวข้องกับกระเป๋าเงิน Ice Phishing

วิธีป้องกันตัวเอง?

วิธีที่ง่ายที่สุดในการป้องกันไม่ให้ตัวเองตกเป็นเหยื่อของ Ice Phishing คือการเยี่ยมชมเว็บไซต์ที่เชื่อถือได้เพื่อตรวจสอบความถูกต้องของข้อมูล เช่น Coinmarketcap.com, coinecko.com และ certik.com

กลโกง Ice Phishing จำนวนมากสามารถพบได้ในสื่อสังคมออนไลน์ เช่น Twitter ซึ่งโครงการฉ้อฉลปลอมตัวเป็นโครงการที่ถูกต้องตามกฎหมายและส่งเสริมกิจกรรมปลอมเช่น airdrops

คำอธิบายภาพ

ที่มา: @CertiKAlert

เขียนในตอนท้าย

เขียนในตอนท้าย

ไซต์ฟิชชิงเป็นหนึ่งในประเภทของการหลอกลวงที่พบได้บ่อยที่สุดที่เราเห็นในโลกของเว็บ 3.0 และบางครั้งผู้ใช้ก็ไม่รู้ด้วยซ้ำว่าตนตกหลุมพรางเพราะพวกเขาไม่ได้ให้ข้อมูลที่ละเอียดอ่อนใดๆ

ดังนั้น นอกเหนือจากการตรวจสอบออนไลน์ด้วยตัวเองแล้ว คุณยังต้องใช้เวลาในการตรวจสอบซ้ำอีกครั้งว่า URL ของการโต้ตอบนั้นได้รับการยืนยันโดยแหล่งที่เชื่อถือได้ ซึ่งเวลาที่ใช้ไปจะคุ้มค่าคุณในวันหนึ่ง