SlowMist: 2024 2. Çeyrek MistTrack Çalınan Form Analizi

Blockchain'in hızla gelişmesiyle birlikte kullanıcıları hedef alan coin hırsızlığı, phishing, dolandırıcılık gibi güvenlik olayları her geçen gün artıyor ve saldırı yöntemleri de çeşitleniyor. SlowMist, fonların takip edilmesi ve kurtarılması konusunda yardım sağlayabileceğimizi umarak her gün mağdurlardan çok sayıda yardım talebi alıyor. Bunların arasında on milyonlarca dolar kaybeden birçok büyük mağdur var. Buna dayanarak, bu seri her üç ayda bir alınan çalıntı formları toplayıp analiz ederek, duyarsızlaştırma sonrasında gerçek vakalarla yaygın veya nadir kötü yöntemleri analiz etmeyi ve kullanıcıların varlıklarını nasıl daha iyi koruyabileceklerini öğrenmelerine yardımcı olmayı amaçlıyor.

İstatistiklere göre MistTrack Ekibi, 2024 yılının 2. çeyreğinde 146'sı yurt dışı form ve 321'i yurt içi form olmak üzere toplam 467 çalıntı form aldı. Bu formlar için ücretsiz değerlendirme topluluğu hizmetleri sağladık (Not. Bu makalenin içeriği yalnızca formlar içindir). Gönderilen Vakalardan (e-posta veya diğer kanallar aracılığıyla iletişime geçilen vakalar hariç)

Bunların arasında MistTrack Ekibi, çalınan 18 müşteriye, 13 platformda yaklaşık 20,6641 milyon ABD doları tutarındaki fonun dondurulmasına yardımcı oldu.

Hırsızlığın en önemli 3 nedeni

2024 yılında 2. Çeyrek formları için en yaygın şemalar aşağıdaki gibidir:

Özel anahtar sızdırıldı

2. Çeyrek formundaki istatistiklere göre, birçok kullanıcı özel anahtarları/anımsatıcıları Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs vb. gibi bulut disklerde saklıyor. Bazı kullanıcılar özel anahtarlarını/anımsatıcı cümlelerini saklamak için WeChat ve diğer araçları kullanıyor. Anımsatıcı kelimeleri güvenilir arkadaşlarınıza gönderin. Dahası, WeChat'in resim okuryazarlığı işlevi aracılığıyla anımsatıcı kelimeleri WPS tablosuna kopyalayabilir, ardından tabloyu şifreleyebilir ve bulut hizmetini başlatabilir ve aynı zamanda yerel sabit diskte saklayabilirsiniz. bilgisayarın sürücüsü. Bilgi güvenliğini artırıyor gibi görünen bu davranışlar aslında bilgi hırsızlığı riskini büyük ölçüde artırıyor. Bilgisayar korsanları, internette genel olarak sızdırılan hesap ve şifre veritabanlarını toplayarak bu bulut depolama hizmeti web sitelerinde oturum açmaya çalışmak için sıklıkla "kimlik bilgisi doldurma" yöntemini kullanır. Her ne kadar bu bir şans eseri olsa da, giriş başarılı olduğu sürece bilgisayar korsanları kripto para birimi ile ilgili bilgileri kolaylıkla bulup çalabilmektedir. Bu durumlar pasif bilgi sızıntısı olarak değerlendirilebilir. Kurbanların müşteri hizmetleri gibi davranan dolandırıcılar tarafından hatırlatıcı ifadeler doldurmaya teşvik edilmesi veya Discord gibi sohbet platformlarındaki kimlik avı bağlantıları tarafından kandırılıp özel anahtar bilgilerinin girilmesi gibi bazı aktif sızıntı vakaları da vardır. Burada MistTrack Ekibi, özel anahtarın/anımsatıcı ifadenin hiçbir koşulda kimseye açıklanmaması gerektiğini herkese şiddetle hatırlatır.

Ayrıca sahte cüzdanlar da özel anahtarların sızmasına yol açan en ağır darbe alan alandır. Bu kısım zaten bir klişe ama hala arama motorlarını kullanırken yanlışlıkla reklam bağlantılarına tıklayan ve sahte cüzdan uygulamaları indiren çok sayıda kullanıcı var. Ağ nedenlerinden dolayı, birçok kullanıcı ilgili uygulamaları üçüncü taraf indirme sitelerinden almayı seçecektir. Bu siteler, uygulamalarının Google Play aynalarından indirildiğini iddia etse de gerçek güvenlikleri şüphelidir. SlowMist güvenlik ekibi daha önce üçüncü taraf uygulama pazarı apkcombo'daki cüzdan uygulamasını analiz etmiş ve apkcombo tarafından sağlanan imToken 24.9.11 sürümünün mevcut olmayan bir sürüm olduğunu ve şu anda en sahte imToken cüzdanlarına sahip sürüm olduğunu tespit etmişti. piyasada.

Ayrıca sahte cüzdan ekibiyle ilgili, kullanıcı yönetimi, para birimi yönetimi ve yükleme yönetimi gibi karmaşık dijital para birimi kontrol işlevlerini içeren bazı arka uç yönetim sistemlerini de takip ettik. Bu tür balıkçılığın gelişmiş özellikleri ve profesyonelliği birçok insanın hayal gücünü aşmıştır.

Örneğin, 2. çeyrekte nispeten nadir görülen bir durum yaşandı: Bir kullanıcı, bir arama motorunda "Twitter" kelimesini arattı ve yanlışlıkla Twitter uygulamasının sahte bir sürümünü indirdi. Kullanıcı uygulamayı açtığında, bölgesel kısıtlamalar nedeniyle VPN'in gerekli olduğunu iddia eden bir uyarı çıkıyor ve kullanıcıyı uygulamayla birlikte gelen sahte VPN'i indirmeye yönlendiriyor. Bunun sonucunda kullanıcının özel anahtarı/anımsatıcı ifadesi çalınıyor. Bu gibi durumlar bize, herhangi bir çevrimiçi uygulama ve hizmetin yasallığı ve güvenliğinin sağlanması için dikkatle incelenip doğrulanması gerektiğini bir kez daha hatırlatır.

Balık tutma

Analize göre, 2. çeyrekte çalınan yardım taleplerinin çoğu kimlik avından kaynaklanıyordu: kullanıcılar, Twitter'da iyi bilinen projelerin gönderilen kimlik avı bağlantısı yorumlarına tıkladılar. Daha önce SlowMist güvenlik ekibi hedefe yönelik analiz ve istatistikler yapıyordu: Tanınmış proje taraflarının yaklaşık %80'i tweet yayınladıktan sonra, yorum alanındaki ilk mesaj sahte kimlik avı hesapları tarafından işgal ediliyordu. Ayrıca Telegram'da Twitter hesaplarını satmak için çok sayıda grup bulunduğunu da tespit ettik. Bu hesapların farklı sayıda takipçisi ve gönderisi var ve farklı kayıt süreleri var, bu da potansiyel alıcıların ihtiyaçlarına göre satın alma işlemi yapmalarına olanak tanıyor. Tarih, satılan hesapların çoğunun kripto para sektörü veya internet ünlüleriyle ilişkili olduğunu gösteriyor.

Ayrıca Twitter hesaplarının satışı konusunda uzmanlaşmış web siteleri de bulunmaktadır. Bu web siteleri çeşitli yıllara ait Twitter hesaplarının satışını yapmakta ve hatta oldukça benzer hesapların satın alınmasını desteklemektedir. Örneğin sahte hesap Optimlzm, gerçek Optimism hesabına çok benziyor. Kimlik avı çetesi, bu kadar benzer bir hesabı satın aldıktan sonra, hesabın etkileşimini ve hayran sayısını artırmak için tanıtım araçlarını kullanacak ve böylece hesabın güvenilirliğini artıracaktır. Bu tanıtım araçları yalnızca kripto para ödemelerini kabul etmekle kalmıyor, aynı zamanda beğeniler, retweetler, takipçiler vb. gibi çeşitli sosyal platform hizmetlerinin de satışını yapıyor. Kimlik avı grubu, bu araçları kullanarak çok sayıda takipçisi ve gönderisi olan bir Twitter hesabını ele geçirebilir ve proje ekibinin bilgi yayınlama dinamiklerini taklit edebilir. Gerçek proje partisinin hesabıyla yüksek benzerlik nedeniyle, birçok kullanıcının orijinalliği sahte olandan ayırt etmesi zorlaşıyor, bu da kimlik avı gruplarının başarı oranını daha da artırıyor. Kimlik avı çeteleri daha sonra, tanınmış projelerin dinamiklerini takip etmek için otomatik botlar kullanmak gibi kimlik avı operasyonları gerçekleştirir. Proje ekibi bir tweet yayınladığında bot ilk yorumu almak için otomatik olarak yanıt verecek ve böylece daha fazla görüntüleme çekecektir. Phishing çetesinin gizlediği hesapların proje ekibinin hesaplarına çok benzediği göz önüne alındığında, kullanıcının ihmalkar davranıp sahte hesaptaki phishing linkine tıklayıp yetkilendirme ve imza atması varlık kayıplarına yol açabilmektedir.

Genel olarak konuşursak, blockchain endüstrisindeki kimlik avı saldırılarına bakıldığında, bireysel kullanıcılar için risk esas olarak "alan adı ve imza" olmak üzere iki temel noktada yatmaktadır. Kapsamlı bir güvenlik koruması elde etmek için her zaman personel güvenliği farkındalığı savunması + teknik araçlar savunması olmak üzere ikili bir koruma stratejisinin benimsenmesini savunduk. Teknik savunma, varlıkların ve bilgilerin güvenliğini sağlamak için kimlik avı riskini engelleyen eklenti Scam Sniffer gibi çeşitli donanım ve yazılım araçlarının kullanılmasını ifade eder. Kullanıcı şüpheli bir kimlik avı sayfasını açtığında, araç bir risk istemi açar. Böylece riskin oluşmasını ilk etapta engelleyebilirsiniz. Personel güvenliği farkındalığı savunması açısından, herkesin "Blockchain Karanlık Orman Kişisel Kurtarma El Kitabı"nı (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/) derinlemesine okumasını ve yavaş yavaş uzmanlaşmasını şiddetle tavsiye ediyoruz. blob/main/ README_CN.md). Ancak bu iki koruma stratejisinin işbirliğiyle değişen ve gelişen phishing saldırı yöntemleriyle etkili bir şekilde mücadele edebilir ve varlık güvenliğini koruyabiliriz.

Sahtekarlık

Pek çok dolandırıcılık tekniği var S2 En yaygın dolandırıcılık tekniği Pixiu Pan'dır. Efsanelerde Pixiu'nun sihirli bir yaratık olarak kabul edildiği, her şeyi dışarı atmadan yutabildiği söylenir. Bu nedenle Pixiu diski, satın alındıktan sonra satılamayan dijital para birimleri için bir metafor olarak kullanılıyor.

Bir mağdur deneyimini şöyle anlattı: "Telegram grubunda bir soru sordum ve birisi sorularıma coşkuyla cevap verdi ve bana çok şey öğretti. İki gün boyunca özel olarak sohbet ettikten sonra, diğerlerinin oldukça iyi olduğunu hissettim. Beni yeni tokenlar satın almam için birincil piyasaya götürmeyi teklif etti ve bana PancakeSwap'teki para birimi için bir sözleşme adresi verdi. Satın aldıktan sonra para biriminin altın bir fırsat geldiğini söyledi. Bununla birlikte, yatırımı hemen artırmamı önerdi. İşlerin bu kadar basit olmadığını hissettim, bu yüzden onun tavsiyesine uymadım. Aldatılmış olabileceğimi anlayınca gruptaki diğer insanlara sordum. Soruşturmaya yardımcı oldum ve bunun gerçekten Pixiu Coin olduğunu öğrendim. Ben de denedim ve sadece satın alabildim ancak satamadım.

Bu kurbanın deneyimi aslında Pixiu Pan dolandırıcılığının tipik modelini yansıtıyor:

1. Dolandırıcılar, tuzak kuran ve yüksek kar vaat eden yemleri atan akıllı sözleşmeler kullanır;

2. Dolandırıcılar, token satın almak için hedefleri etkilemek için ellerinden geleni yaparlar. Kurbanlar genellikle satın aldıktan sonra tokenlerin hızlı bir şekilde değer kazandığını görürler. Bu nedenle, kurbanlar genellikle tokenleri satın almadan önce yeterince artmasını beklemeye karar verirler, ancak onları satamayacaklarını anlarlar. satın alınan jetonlar;

3. Son olarak dolandırıcı, kurbanın yatırdığı parayı geri çeker.

İkinci çeyrek formunda bahsedilen Pixiu koinlerinin tamamının BSC'de gerçekleştiğini belirtmekte fayda var. Aşağıdaki resimde de görebileceğiniz gibi, dolandırıcılar ellerinde bulundurdukları tokenleri cüzdanlara ve borsalara da göndermişler. birçok işlem İnsan katılımı yanılsaması.

Pixiu piyasasının gizli doğası nedeniyle deneyimli yatırımcıların bile gerçeği net bir şekilde görmesi zor olabilir. Günümüzde meme trendi oldukça yaygın ve çeşitli “Dogecoin” türleri piyasada belirli bir etkiye sahip. Pixiu plakasının fiyatı hızla artacağından, insanlar genellikle trendi takip ediyor ve düşünmeden satın alıyor. Gerçeği bilmeyen birçok piyasa katılımcısı bu "yerel köpek ateşi" dalgasının peşinde koşuyor, ancak istemeden Pixiu plakasının tuzağına düşüyor. Satın aldıktan sonra artık satışta kullanamazlar.

Bu nedenle MistTrack Ekibi, Pixiu ticaretine katılmanın yol açacağı mali kayıpları önlemek için kullanıcıların işlem yapmadan önce aşağıdaki önlemleri almasını önermektedir:

• İlgili adreslerin risk durumunu kontrol etmek için MistTrack'i kullanın veya Pixiu paralarını tanımlamak ve ticaret kararları vermek için GoPlus'ın Token güvenlik algılama aracını kullanın;

• Kodun Etherscan, BscScan'de denetlenip doğrulanıp doğrulanmadığını kontrol edin veya bazı kurbanların dolandırıcılık parası incelemeleri sekmesinde uyardığı gibi yorumları okuyun;

• İlgili sanal para birimi bilgilerini anlayın, proje tarafının geçmişini göz önünde bulundurun ve kendini önleme farkındalığını geliştirin. Ultra yüksek getiriler genellikle daha büyük risk anlamına geldiğinden, ultra yüksek getiri sunan sanal para birimlerine karşı dikkatli olun.

sonunda yaz

Kripto paranızın maalesef çalınması durumunda, vaka değerlendirmesi için ücretsiz olarak topluluk yardım hizmetleri sunacağız. Yalnızca sınıflandırma kurallarına (çalınan fonlar/dolandırıcılık/gasp) uygun bir form göndermeniz yeterlidir. Aynı zamanda gönderdiğiniz hacker adresi de risk kontrolü için SlowMist InMist Lab tehdit istihbarat işbirliği ağına senkronize edilecektir. (Not: Çince formu https://aml.slowmist.com/cn/recovery-funds.html adresine ve İngilizce formu https://aml.slowmist.com/recovery-funds.html adresine gönderin)

SlowMist, uzun yıllardır kripto para biriminin kara para aklamayla mücadele alanında derin bir şekilde yer almaktadır ve uyumluluk, soruşturma ve denetimi kapsayan eksiksiz ve etkili bir çözüm seti oluşturmuştur. Kripto para birimi için sağlıklı bir ekolojik ortam oluşturulmasına aktif olarak yardımcı olur ve aynı zamanda destek sağlar. Web3 endüstrisi, finansal kurumlar, düzenleyici kurumlar ve uyumluluk departmanları profesyonel hizmetler sunmaktadır. Bunların arasında MistTrack, cüzdan adresi analizi, fon izleme ve izlenebilirlik sağlayan bir uyumluluk araştırma platformudur. 300 milyondan fazla adres etiketi, 1.000'den fazla adres varlığı, 500.000'den fazla tehdit istihbaratı verisi ve 90 milyondan fazla risk adresi biriktirmiştir. bunlar dijital varlıkların güvenliğini sağlamak ve kara para aklama suçlarıyla mücadele etmek için güçlü koruma sağlar.