SlowMist каждый день получает большое количество запросов о помощи от жертв, надеясь, что мы сможем оказать помощь в поиске и спасении. Среди них есть много крупных жертв, потерявших десятки миллионов долларов. Исходя из этого, путем подсчета и анализа украденных форм, полученных каждый квартал, эта серия направлена на анализ распространенных или редких злонамеренных методов с реальными случаями после десенсибилизации, помогая участникам отрасли учиться на них и лучше защищать свои активы.
Согласно статистике, команда MistTrack получила в общей сложности 313 украденных форм в третьем квартале 2024 года, в том числе 228 внутренних и 85 зарубежных форм, что меньше, чем во втором квартале. Ситуацию с формами во втором квартале можно просмотреть на SlowMist: 2024 Q2 MistTrack был украден Анализ украденных форм. Мы предоставляем бесплатные общественные услуги по оценке этих форм (P.S. Содержание этой статьи применимо только к делам, отправленным из формы, и не включает дела, с которыми связались по электронной почте или по другим каналам).
Среди них команда MistTrack помогла 16 украденным клиентам заморозить средства на сумму около 34,39 млн долларов США на 16 платформах.
Топ-3 причины воровства
Наиболее распространенные злые тактики в третьем квартале 2024 года следующие:
Утечка закрытого ключа
Компрометация закрытого ключа занимает одно из первых мест среди причин кражи форм Q3. По результатам сопоставления они в основном делятся на следующие категории:
1. Покупка аккаунта приводит к утечке приватных ключей
В конкретном случае пользователь приобретает членство в WPS, зарубежный Apple ID и т. д. по ненадежным каналам, а затем записывает закрытый ключ/мнемоническую фразу в заметку или документ, а продавец меняет пароль учетной записи и обнаруживает закрытый ключ, делая Активы пользователя находятся под угрозой кражи.
Пользователям рекомендуется всегда приобретать учетные записи на известных или заслуживающих доверия платформах, не сохраняя при этом важную личную информацию на общедоступных платформах.
2. Неправильное хранение приватных ключей.
Неправильное хранение приватных ключей является наиболее распространенной причиной утечек приватных ключей. Давайте рассмотрим способы неправильного хранения в третьем вопросе:
Закрытый ключ сохраняется в виде фотографии в заметках/памятках/коллекции WeChat мобильного телефона.
Мнемоническая фраза сохраняется в ящике черновиков почтового ящика в виде QR-кода.
Закрытые ключи сохраняются локально или в облачных файлах.
Закрытый ключ сохраняется в форматах xlsx, txt.
Сохраните скриншот мнемонической фразы в альбом мобильного телефона и перенесите через облако
Записано на бумаге, тайно сфотографировано знакомыми.
Все вышеперечисленное представляет собой распространенные методы хранения закрытых ключей для пользователей, отправивших формы в третьем квартале. Такое поведение, которое, по-видимому, улучшает информационную безопасность, на самом деле значительно увеличивает риск, делая их легко взломанными хакерами или вредоносным ПО и даже пропускаемыми окружающими. Был случай, когда жертва обратилась за помощью к команде MistTrack после того, как средства были украдены. Как только команда MistTrack оценила результаты отслеживания, она обнаружила, что средства были переведены обратно на адрес жертвы. друг пожадничал. Средства были переведены, но он все равно волновался, поэтому под психологическим давлением вернул средства и откровенно извинился перед потерпевшим. Поэтому, пожалуйста, никому не сообщайте свой закрытый ключ/мнемо-фразу и храните его в безопасном и надежном виде, например, запишите его на бумаге и храните в безопасном физическом месте или используйте аппаратный кошелек или, если необходимо, в электронном виде. Что касается способов хранения, убедитесь, что файлы надежно зашифрованы и хранятся на автономном устройстве.
3. Загрузите поддельные приложения
Случаи кражи активов, вызванные поддельными приложениями-кошельками, являются обычным явлением, и поддельные приложения здесь относятся не только к поддельным приложениям-кошелькам.
Случай 1. Загрузка вредоносных приложений
Жертва загрузила вредоносное приложение, предоставленное мошенником, в результате чего разрешения были изменены, а адрес TRON получил мультиподпись. Для получения дополнительной информации о злонамеренных множественных подписях кошельков прочтите Руководство по началу работы с Web3 Security по предотвращению ловушек | Риски, связанные со злонамеренной множественной подписью кошельков.
Жертва загрузила поддельный Telegram, а платежный адрес кошелька, отправленный другом, был подделан адресом хакера, что привело к переводу на неправильный адрес.
Случай 2: Троянский вирус
Согласно форме, большинство жертв были склонны мошенниками загрузить вредоносные приложения, содержащие вирусы-трояны, что привело к краже данных и разрешений.
Например, мошенник отправил пользователю личное сообщение с просьбой загрузить поддельную игру PartyChaos во имя предоставления возможностей трудоустройства. Насколько нам известно, это мошенничество было раскрыто несколькими пользователями на X:
Официально: partychaos[.]веселье
Лжец: partychaos[.]space
Одна из жертв догадалась, что это может быть опасная программа, и не скачала ее сразу, а позже случайно запустила ее, в результате чего был украден доступ ко всем его активам.
Также известны случаи, когда жертвы были обмануты в X и скачали зараженные вирусами vbs-скрипты, что привело к краже:
Чаще всего мошенники выдают себя за венчурных капиталистов или журналистов и используют личные сообщения, чтобы побудить жертв загрузить вредоносные приложения для видеоконференций. Например, одна из полученных нами форм касалась случая, когда мошенник выдавал себя за венчурного инвестора или журналиста, отправлял жертве личное сообщение и общался через Telegram. Затем мошенник побуждает жертву совершить видеозвонок в приложении для видеоконференций WasperAI. Поскольку у жертвы не было приложения, мошенник отправил ссылку (wasper[.]app), выдавая себя за официальную ссылку для скачивания приложения, но на самом деле это была фишинговая ссылка, тем самым похитив компьютерные данные жертвы, включая закрытый ключ.
Мы обнаружили, что фишинговый сайт прекрасно оформлен и имеет соответствующий проект с открытым исходным кодом на GitHub.
Чтобы повысить доверие к фейковому проекту, мошенники даже разработали Watch, Fork и Star проекта с открытым исходным кодом.
Поскольку информация между фишинговым сайтом, фейковым проектом и
Мы обнаружили, что это хакерская группа, которая организована, действует партиями, обладает профессиональными навыками и владеет социальной инженерией. Иногда они притворяются участниками проекта, создают красивые официальные веб-сайты проектов, учетные записи в социальных сетях, склады проектов с открытым исходным кодом, увеличивают число подписчиков и пишут официальные документы проектов, которые очень похожи на обычные проекты, заставляя многих жертв так думать. Таким образом, проект был атакован.
SlowMist рекомендует пользователям быть более бдительными и сохранять подозрительность, прежде чем переходить по ссылкам на веб-сайтах; установите известное антивирусное программное обеспечение, такое как Kaspersky, AVG и т. д., чтобы повысить безопасность устройства. Если вас, к сожалению, поймали, как можно скорее переведите средства с кошелька. И провести комплексную антивирусную проверку персонального компьютера.
4. «Активно» ввести приватный ключ
Этот тип метода утечки в основном относится к тому, что жертва сама вводит закрытый ключ, не зная причины, что приводит к его краже. В основном он делится на три категории:
При привязке робота-кошелька он не был тщательно проверен, в результате чего секретный ключ попал в руки поддельному роботу.
При участии в проекте мошенник предоставляет скрипт, пользователь предоставляет средства, а мошенник напрямую крадет вывод и доход через приватный ключ.
Пользователи задавали вопросы в Discord и X, получали личные сообщения от фальшивых официальных лиц, их побуждали посещать фишинговые ссылки и вводить приватные ключи.
Опять же, никогда не раскрывайте свой закрытый ключ. При возникновении проблем вам следует обращаться за помощью напрямую через формальные каналы обслуживания клиентов, предоставляемые официальным сайтом, и не доверять сторонним роботам или службе поддержки клиентов.
рыбалка
Согласно анализу, многие из украденных запросов о помощи в третьем квартале были вызваны фишингом: переходом по фишинговым ссылкам в комментариях, размещенных под известными твитами проекта. Ранее команда безопасности SlowMist провела таргетированный анализ и статистику: после того, как около 80% известных участников проекта публикуют твиты, первое сообщение в области комментариев будет занято мошенническими фишинговыми аккаунтами. Мы также обнаружили, что все еще существуют веб-сайты, специализирующиеся на продаже учетных записей X. Эти веб-сайты продают учетные записи X разных лет и даже поддерживают покупку очень похожих учетных записей. Из-за высокого сходства с учетной записью реального участника проекта многим пользователям сложно отличить подлинность от подделки, что еще больше увеличивает вероятность успеха фишинговых групп. Затем фишинговые банды проводят фишинговые операции, например, используя автоматизированных ботов для отслеживания динамики известных проектов. Когда команда проекта публикует твит, бот автоматически отвечает, чтобы получить первый комментарий, тем самым привлекая больше просмотров. Учитывая, что аккаунты, замаскированные фишинговой бандой, очень похожи на аккаунты команды проекта, если пользователь по халатности нажмет на фишинговую ссылку на фейковом аккаунте, а затем авторизуется и подпишется, это может привести к потере активов.
Во-вторых, немало случаев фишинговых веб-сайтов, которые кликают на рекламные места в поисковых системах, что приводит к краже. Например, при поиске Rabby Wallet в Google, судя по ключевым словам поиска Google, два верхних результата поиска представляют собой фишинговую рекламу. Однако ссылка в первом рекламном объявлении очень ненормальна. Она отображает адрес официального сайта Rabby Wallet. В ходе отслеживания было обнаружено, что фишинговые рекламные объявления иногда переходят на реальный официальный адрес rabby.io. После многократной смены агентов в разных регионах они перейдут на фишинговый адрес rebby[.]io, и фишинговый адрес будет обновлен и изменен. измененный.
Таким образом, не доверяйте никакому рекламному адресу, отображаемому в результатах поиска! Пользователям рекомендуется установить плагин Scam Sniffer для блокировки фишинговых рисков, чтобы обеспечить безопасность активов и информации. Когда пользователи открывают подозрительные фишинговые страницы, инструмент вовремя выводит на экран всплывающие подсказки о рисках. Также рекомендуется всем внимательно прочитать. и освойте его шаг за шагом (Руководство по самоспасению Blockchain Dark Forest): https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.
Мошенничество
В сообщениях пользователей третьего квартала наблюдалось значительное увеличение числа пользователей, скомпрометированных мошенничеством с фальшивыми пулами майнинга. По описаниям многих жертв, мошенники выдавали себя за известные биржи, чтобы создать мошеннические группы в Telegram. Такие мошеннические группы часто насчитывают тысячи участников, что позволяет людям легко ослабить бдительность. Когда многие пользователи ищут официальные аккаунты в Telegram, они рассматривают количество людей в группе как один из факторов, определяющих подлинность аккаунта. Это правда, что число людей в официальной группе будет больше, но эта логика не обязательно верна, если ее перевернуть. Невозможно себе представить, чтобы мошенник создал группу из десятков тысяч человек только для того, чтобы обмануть несколько «овечек», и даже «чат» в ней — всего лишь приманка. Стоит отметить, что в группе, насчитывающей более 50 000 человек, в сети менее 100 человек.
Существует также мошенничество, при котором мошенники сначала направляют пользователей на мошенническую платформу и создают иллюзию, что пользователи получают «прибыль», манипулируя данными платформы. Однако эта прибыль существует только на дисплее платформы и не представляет собой фактическое увеличение активов. На этом этапе пользователи были обмануты «превосходными» инвестиционными возможностями мошенника. Далее мошенник далее приглашает пользователей принять участие в деятельности майнинг-пула и предусматривает, что для активации майнинг-пула пользователям необходимо ежедневно пополнять 5% или 8% от общего объема активов в USDT на депозитный счет. В целях получения дивидендов и под давлением того, что «основная сумма не может быть погашена, если они не будут продолжать пополняться», пользователи продолжают пополнять счета, предоставленные мошенниками.
Во-вторых, растет и количество случаев внебиржевого мошенничества.
напиши в конце
Если ваша криптовалюта, к сожалению, была украдена, мы предоставим бесплатную помощь сообществу для оценки ситуации. Вам нужно только отправить форму в соответствии с правилами классификации (украденные средства/мошенничество/вымогательство). В то же время предоставленный вами хакерский адрес также будет синхронизирован с сетью сотрудничества по анализу угроз SlowMist InMist Lab для контроля рисков. (Примечание. Отправьте форму на китайском языке по адресу https://aml.slowmist.com/cn/recovery-funds.html и отправьте форму на английском языке по адресу https://aml.slowmist.com/recovery-funds.html)
SlowMist уже много лет активно участвует в борьбе с отмыванием денег в криптовалюте и разработал комплексное и эффективное решение, охватывающее соблюдение требований, расследование и аудит. Оно активно помогает создавать здоровую экологическую среду для криптовалюты, а также обеспечивает поддержку. Web3 индустрии, финансовые учреждения, регулирующие органы и отделы соответствия для предоставления профессиональных услуг. Среди них MistTrack — это платформа для расследования соответствия, которая обеспечивает анализ адресов кошельков, мониторинг средств и отслеживание. Она накопила более 300 миллионов адресных меток, более 1000 адресных объектов, более 500 000 данных разведки об угрозах и более 90 миллионов адресов риска. они обеспечивают мощную защиту для обеспечения безопасности цифровых активов и борьбы с преступлениями, связанными с отмыванием денег.
Автор |
Редактор | Лиз
