SlowMist:Web3フィッシング技術の詳細な調査
背景
最近、SlowMistはDeFiHackLabsが主催するEthereum Web3 Security BootCampで講演を依頼されました。SlowMistのセキュリティ監査責任者であるThinking氏は、実際のケーススタディを使用して、フィッシングハッカーが使用する手法や戦術、実施可能な対策を紹介するために、出席者を「欺く、おとり、誘い、攻撃、隠れる、技術、識別、防御」の8つのキーチャプターに案内しました。フィッシングは業界で最も重大な脅威の1つであり、攻撃者と防御者の両方を理解することが、防御策を強化する上で不可欠です。この記事では、セッションからの主要な洞察を抽出して共有し、ユーザーがフィッシング攻撃を認識し、自己保護できるよう支援します。
なぜフィッシング攻撃は効果的なのですか?
Web3空間では、フィッシング攻撃が最も大きなセキュリティ脅威の1つになっています。なぜユーザーがフィッシング被害に遭うのかを見てみましょう。高いセキュリティ意識を持つ人でも、「川辺を歩く者は必ず靴を濡らす」という感情に陥ることがあります。なぜなら、常に警戒を維持することは非常に困難だからです。攻撃者は通常、最近の注目プロジェクト、コミュニティ活動、およびユーザーベースを分析して、高プロファイルのターゲットを特定します。そして、彼らは自分たちを巧妙に偽装し、エアドロップや高いリターンのような誘惑的な餌を使ってユーザーを誘惑します。これらの攻撃には、しばしば攻撃者がユーザーの心理を巧みに操り、詐欺的な目的を達成するために社会工学が用いられます。
- 誘因:エアドロップホワイトリストの資格、マイニングの機会、富のパスワードなど
- 好奇心/欲望:ピークでの売却に恐れを知らず、潜在的な100倍コインを見逃さないでください、今夜の10時のミーティングをお見逃しなく、ミーティングリンクhttps://us04-zoom[.]us/(悪質); $PENGUエアドロップホワイトリスト、見逃さないでください、https://vote-pengu[.]com/(悪意のあるもの)
- 恐怖:緊急警告:XXプロジェクトがハッキングされました。資産の損失を防ぐために、revake[.]cash(悪意のあるサイト)を使用して権限を取り消してください。
- 効率的なツール:エアドロップ収穫ツール、AI量化ツール、ワンクリックマイニングツールなど。
攻撃者がこれらのおとりを作成して展開する理由は、それらが非常に利益があるためです。これらの方法を通じて、攻撃者はユーザーの機密情報/権限を簡単に入手し、資産を盗むことができます。
- Mnemonics/Private Keysの盗難:ユーザーを騙して、彼らのニーモニックまたはプライベートキーを入力させる。
- ユーザーをだましてウォレット署名を使用させる:署名の承認、署名の転送、その他
- アカウントのパスワードを盗む:Telegram、Gmail、X、Discordなど
- ソーシャルアプリの許可を盗む:X、Discordなど
- 悪意のあるアプリのインストールを誘発する:偽のウォレットアプリ、偽のソーシャルアプリ、偽の会議アプリなど
フィッシングの戦術
一般的なフィッシングの手法を見てみましょう:
アカウントの盗難/アカウントのなりすまし
最近、Web3プロジェクト/KOLsのXアカウントが頻繁にハッキングされるという報告が相次いでいます。これらのアカウントを盗んだ後、攻撃者はしばしば偽のトークンを宣伝したり、類似したドメイン名を「良いニュース」の投稿に使用して、ユーザーを誤ったリンクをクリックさせて騙します。時にはドメインが実際に存在することもありますが、攻撃者がプロジェクトのドメインを乗っ取った可能性があります。被害者がフィッシングリンクをクリックしたり、トランザクションに署名したり、悪意のあるソフトウェアをダウンロードしたりすると、彼らの資産が盗まれます。
アカウントを盗むだけでなく、攻撃者はしばしばX上の実在するアカウントになりすまし、正当な投稿にコメントを残してユーザーを誤導します。SlowMistのセキュリティチームはこの戦術を分析しました:有名なプロジェクトのツイートの最初のコメントの約80%はしばしばフィッシングアカウントによって占拠されています。攻撃者はボットを使用して人気プロジェクトの活動をフォローし、ツイートが投稿されると、そのボットは自動的に最初のコメントを残して最も目立つ位置を確保します。ユーザーは正当なプロジェクトからの投稿を読んでいるため、フィッシングアカウントは実在するアカウントに非常に似ており、疑いもなくユーザーはエアドロップ、承認、またはトランザクションの署名を理由にフィッシングリンクをクリックし、資産を失う可能性があります。
攻撃者は、特にDiscordのようなプラットフォームで、偽のメッセージを投稿するために管理者になりすますこともあります。Discordはユーザーがニックネームやユーザー名をカスタマイズできるため、攻撃者はプロフィールを管理者と一致させてフィッシングメッセージを投稿したり、ユーザーに直接DMを送ったりすることができます。プロフィールをチェックしない限り、騙されることは難しいです。また、Discordのユーザー名は複製することができませんが、アンダースコアやピリオドなどの小さな変化を追加することで、管理者とほぼ同じ名前のアカウントを作成することができるため、ユーザーはそれらを区別するのが難しいです。
招待ベースのフィッシング
攻撃者はしばしばソーシャルプラットフォームでユーザーと接触し、「プレミアム」プロジェクトを推薦したり、ユーザーをミーティングに招待したりして、有害なアプリをダウンロードするように誘導します。例えば、一部のユーザーは偽のZoomアプリをダウンロードするようにだまされ、資産が盗まれました。攻撃者は「app[.]us4zoom[.]us」のようなドメインを使用し、実際のZoomリンクと見分けがつかないように偽装し、実際のZoomインターフェースにほぼ同じように見えるページを作成します。ユーザーが「ミーティングを開始」をクリックすると、Zoomクライアントを起動する代わりに、有害なインストーラーをダウンロードするよう促されます。インストール中に、ユーザーにパスワードの入力を促し、悪意のあるスクリプトはウォレットプラグインとKeyChainデータ(保存されたパスワードを含む場合があります)を収集します。このデータを収集した後、攻撃者はそれを復号化し、ユーザーのウォレットニーモニックや秘密鍵にアクセスし、最終的には資産を盗みます。
検索エンジンランキングの悪用
検索エンジンのランキングは広告を購入することで人工的に引き上げることができるため、フィッシングウェブサイトは公式ウェブサイトよりも高いランクになる可能性があります。公式ウェブサイトのURLがわからないユーザーは、フィッシングサイトを見つけるのが難しい場合があります、特にフィッシングサイトは広告のURLを公式のものに合わせるようにカスタマイズすることができます。広告のURLは公式サイトとまったく同じように見えるかもしれませんが、クリックするとユーザーは攻撃者のフィッシングサイトにリダイレクトされます。フィッシングサイトはしばしば合法的なサイトとほぼ同じように見えるため、簡単に誤解されることがあります。公式ウェブサイトを見つけるために検索エンジンだけに頼るのは安全ではないため、フィッシングサイトにつながる可能性があります。
TG広告
最近、偽のTGボットに関するユーザーレポートが大幅に増加しています。ユーザーは、公式の取引ボットチャンネルのトップに新しいボットが現れ、それが公式だと誤解しています。彼らは新しいボットをクリックし、プライベートキーをインポートし、ウォレットをバインドすると、資産が盗まれます。攻撃者は公式のTelegramチャンネルでターゲット広告を使用して、ユーザーをクリックさせます。これらのフィッシング手法は特に潜在的であり、公式のチャンネルに表示されるため、ユーザーはそれが公式だと思い込みます。十分な注意がないと、ユーザーはフィッシングボットに引っかかり、プライベートキーを入力し、資産を失います。
さらに、最近、我々は発見しました新しい詐欺:Telegramフェイクセーフガード詐欺多くのユーザーが攻撃者の指示に従って悪意のあるコードを実行するように騙され、資産が盗まれました。
アプリストア
アプリストア(Google Play、Chromeストア、App Store、APKComboなど)で利用可能なすべてのソフトウェアが正規品とは限りません。アプリストアはすべてのアプリを完全にレビューすることができるわけではありません。一部の攻撃者は、キーワードランキングの購入やトラフィックのリダイレクトなどの戦術を使用して、ユーザーをだまして不正なアプリをダウンロードさせることがあります。ダウンロードの前にアプリを注意深く確認することをお勧めします。開発者の情報を必ず公式のものと一致するかどうかを確認してください。また、アプリの評価、ダウンロード数、その他関連する詳細も確認できます。
フィッシングメール
メール詐欺は、最も古典的な手口の1つであり、しばしばシンプルながら効果的です。 攻撃者はフィッシングテンプレートを利用してEvilnginsリバースプロキシと組み合わせ、以下に示すようなメールを作成します。 ユーザーが「文書を表示」をクリックすると、偽のDocuSignページ(現在はオフライン)にリダイレクトされます。 このページでGoogleのログインをクリックすると、偽のGoogleログインページにリダイレクトされます。 ユーザーがユーザー名、パスワード、および2段階認証コードを入力すると、攻撃者はそのアカウントを乗っ取ります。
上記のフィッシングメールは注意深く作成されていませんでした。送信者のメールアドレスが偽装されていないためです。次の例で、攻撃者がどのようにそれを偽装しようと試みたかを見てみましょう:攻撃者のメールアドレスは、公式のものとわずかな点で異なります。DNSTwistのようなツールを使用すると、攻撃者はGmailでサポートされている特殊文字を特定できます。注意を払わないと、汚れた画面と間違えるかもしれません。
ブラウザ機能の悪用
詳細はこちらをご覧くださいSlow Mist: 悪意のあるブラウザのブックマークがあなたのDiscordトークンを盗む方法を明らかにする.
防衛の課題
フィッシングの戦術は絶えず進化し、より洗練されています。以前の分析によると、攻撃者は、よく知られたプロジェクトの公式ページに酷似したウェブサイトを作成し、プロジェクトドメインを乗っ取り、さらに偽のプロジェクトを作り出すことができます。これらの詐欺プロジェクトには、しばしばソーシャルメディア上の偽のフォロワー(買われたフォロワー)が多数存在し、GitHubのリポジトリさえも持っているため、ユーザーがフィッシング攻撃を見つけるのがさらに困難になっています。さらに、攻撃者が匿名ツールを巧みに使用することで、彼らの行動を追跡することはますます困難になっています。攻撃者は、自分たちの身元を隠すために、しばしばVPN、Tor、または侵害されたホストを利用して攻撃を行います。
攻撃者が匿名の身元を持つと、暗号通貨の支払いを受け付けるNamecheapなどの基本的なインフラストラクチャも必要です。一部のサービスでは、登録に電子メールアドレスのみが必要であり、KYCの検証は必要ありません。これにより、攻撃者は追跡を回避することができます。
これらのツールを備えた攻撃者は、フィッシング攻撃を開始することができます。資金を盗んだ後、WasabiやTornadoのようなサービスを使用して、資金の動きを見えなくすることがあります。さらに匿名性を高めるために、盗んだ資金をMoneroのようなプライバシーに焦点を当てた暗号通貨に交換することがあります。
自分たちの足跡を隠し、証拠を残さないために、攻撃者は関連するドメインの解像度、悪意のあるソフトウェア、GitHubのリポジトリ、プラットフォームアカウントなどを削除することがあります。これにより、セキュリティチームが事件を調査することが難しくなります。なぜなら、フィッシングサイトにアクセスできなくなることがあり、悪意のあるソフトウェアがダウンロードできなくなることがあります。
防御戦略
ユーザーは、上記で言及された特性を認識し、行動する前に情報の正当性を検証することで、フィッシングの脅威を識別することができます。また、以下のツールを使用してフィッシング防御を強化することもできます:
- フィッシングリスクブロッカープラグイン: Scam Snifferなどのツールは、複数の角度からリスクを検知できます。ユーザーが疑わしいフィッシングページを開くと、ツールが警告を出します。
- 高度に安全なウォレット: Rabbyの観察ウォレット(プライベートキーが不要)のようなウォレット、フィッシングウェブサイトの検出、 「見たままに署名する」機能、高リスク署名の検出、および詐欺の履歴認識機能などのウォレット
- よく知られたウイルス対策ソフトウェア: 人気のあるプログラム、AVG、Bitdefender、およびKasperskyなど。
- ハードウェアウォレット: ハードウェアウォレットは、DAppsとのやり取り時にプライベートキーがオンラインで公開されることを防ぎ、オフラインでキーを保管することで資産盗難のリスクを大幅に減らすことができます。
結論
ブロックチェーンの世界ではフィッシング攻撃が広範囲に行われています。最も重要なことは警戒心を持ち、油断しないことです。ブロックチェーンの空間を航行する際、最も重要なのはゼロトラストの考え方を採用し、常にすべてを検証することです。強固な防御を構築するために、「ブロックチェーンダークフォレスト自己救助ハンドブック」を読んで徐々にマスターすることをお勧めします。https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.
ステートメント:
関連記事
Piコインの真実:次のビットコインになる可能性がありますか?
Gitcoinパスポート:分散ネットワークへのゲートウェイ
秘密鍵とシードフレーズ:主な違い
ガバナンス攻撃の理解:Compoundの事例研究
ビットコインのバビロンプロトコルの理解:ハンギングガーデン
