主要要点:
币安风控团队实施了严格的平台措施,保护用户帐号不外泄。其中包括优化 cookie 注销频率和添加异常交易的验证步骤,这有助于提供关键警告并保护用户资金。
此外,我们的安全专家建议使用者实施一系列主动步骤,帮助他们避免成为恶意浏览器外挂攻击的受害者。用户应避免在浏览器中安装第三方插件,及时退出有权存取资金和金融帐户的应用程式和扩充程序,并使用币安官方应用程式和网站。
币安还鼓励社区参与我们的漏洞赏金计划,该计划依靠众包和奖励系统来帮助尽早提高对潜在威胁的认识。
浏览器插件被广泛用于增强在线体验、简化工作流程以及在访问 Web 时添加功能。然而,并非所有插件都是无害的,因为有些插件会被犯罪分子利用,从而带来重大安全风险。本文探讨了恶意浏览器插件的潜在危险,并为社区提供了保护自己免受此类攻击的提示。
浏览器插件的隐患
Web 浏览器插件,也称为扩展程序或附加组件,是旨在集成到 Web 浏览器中以提供附加特性和功能的程序。虽然许多插件是合法且有用的,但其他插件可能是恶意的。恶意插件可以:
窃取敏感信息:某些插件可以捕获击键、跟踪浏览活动并窃取登录凭据。
注入恶意代码:插件可以将恶意脚本注入网页,导致网络钓鱼攻击或恶意软件安装。
劫持会话:恶意插件可以劫持您的登录会话,让攻击者以您的身份访问您的帐户。
篡改您的地址:恶意扩展程序可以读取和写入剪贴板内容,这可能导致您在币安或其他金融平台和服务上的存款/取款地址被篡改,从而可能导致资金损失。
风险控制就像一场猫捉老鼠的游戏
风控措施始终是一种平衡行为,需要在安全性和便捷性之间找到最佳比例。措施不够严格会威胁用户资产安全,而流程过于严格又会损害用户体验。因此,风控就像一场攻防之间的猫捉老鼠游戏,安全措施会随着威胁的演变而不断调整。考虑到恶意浏览器攻击带来的风险,币安风控团队采取以下措施加强对用户的保护:
增加Cookie注销频率和验证步骤:团队根据用户场景调整Cookie注销频率,增加插件操作和Cookie授权的验证频率,并根据具体情况和用户特征增加必要的安全验证步骤。
价格突发波动双重确认:针对价格突发波动的场景,我们通过大数据预警和人工验证实现双重确认。
通过 2FA 验证补充风险控制规则:出现异常的交易在处理之前会触发双因素身份验证。
如何保护自己
随着加密货币行业的发展,诈骗和黑客手段也越来越复杂。用户需要不断增强安全意识,面对不断出现的安全威胁保持警惕。为避免成为恶意插件攻击的受害者,用户应考虑以下措施:
限制插件使用:仅安装绝对必要且可靠的插件。安装的插件越多,遭遇恶意插件的风险就越高。
验证插件:在安装插件之前,请彻底研究它。检查评论、开发者信息和它请求的权限。避免授予不必要的访问权限。
定期检查插件:定期检查并删除不再使用的插件。这可以减少潜在的攻击面。
保持软件更新:确保您的浏览器和所有安装的插件都是最新的。开发人员经常发布更新来修补安全漏洞。
使用安全工具:利用防病毒和反恶意软件工具来检测和防止恶意活动。
隔离配置文件:创建一个单独的浏览器用户配置文件来登录 DAPP,并且不要在该配置文件上安装任何插件。
立即退出:对于任何涉及资金的应用程序,请记住在使用后立即退出网站。不要仅仅因为想避免重新输入密码而让 cookie 保持活动状态。
隐身模式:以隐身模式打开网站并禁用所有插件。
金融应用程序的额外隐私:使用专用设备进行金融操作。
应用程序设置:设置金融应用程序在几分钟不活动后立即注销(许多传统银行应用程序都这样做)。
币安的漏洞赏金计划
2019 年 3 月,币安启动了漏洞赏金计划,众包早期发现潜在威胁并奖励参与者。该计划已被证明对于增强币安平台安全系统具有无价的价值。对已发现漏洞的根本原因分析有助于我们避免其他现有或正在开发的产品中出现类似风险,任何事件都有助于增强币安的风险控制和安全性。
币安始终坚定不移地致力于用户保护。平台安全和风险控制措施是一场持久战,需要大量且持续的投入。作为行业领导者,币安将继续构建和增强安全工具和防御措施,以保护用户及其资产。
