作者 | OneKey
 
MacOS 的木馬也能直接竊取私鑰了?....已老實。
 
幣圈內常說,蘋果電腦一定比 Windows 系統電腦安全,但天下真的沒有密不透風的牆。
 
最近,慢霧科技團隊成員 @im23pds 發佈了一段視頻,引發熱議。其內容爲一臺蘋果電腦安裝了一個 DMG 格式安裝包之後,短短十秒內,黑客的服務器上獲取到電腦內的各種賬號權限,以及錢包私鑰文件——簡直就是一鍋端。
 
本文將帶你解析攻擊如何發生,並給出你一定需要知道的三條重磅建議。
 
攻擊具體是怎麼發生的?
 
(1)跳過了蘋果官方的審覈
 
首先,不難猜測,這個攻擊的起點就是所有黑客釣魚都會做的事情:一欺騙用戶讓其以爲是安裝的正常軟件,而實際上,這是一個木馬病毒。Windows 也是一樣的。
 
在大部分情況下,用戶安裝蘋果商店裏面的軟件,是安全的。因爲要上架蘋果商店,蘋果官方會抽絲拔繭層層審覈,系統訪問權限被限制得死死的,很難有作惡的可能。
 
但很多用戶會習慣安裝蘋果商店外的軟件,直接無視系統的「非官方商店未知程序」的提示。在這裏用戶就直接安裝這個未知程序。
 
(2)拿到了蘋果電腦的管理員密碼
 
這個管理員密碼,就是你的鎖屏密碼,同時也是拿到你係統權限的密碼。應用程序一旦拿到這個密碼,就可以進行系統級別的更改(例如修改系統配置、訪問特定系統文件夾等)。
 
要知道,絕大部分普通應用的安裝不應需要管理員權限。而這個惡意程序雞賊地彈出了一個窗口,誘騙用戶說「需要你的解鎖密碼進行安裝」。
 
缺少 MacOS 安全知識的小白就會栽在這裏,一但輸入,惡意程序就可以爲非作歹放飛自我了。
 
(3)全自動一鍋端
 
接下來就是大家都知道的,在很短的時間內掃描上傳用戶敏感的文件——瀏覽器保存的 Cookies、自動填充信息、密碼信息、擴展錢包(如小狐狸)本地加密的助記詞私鑰文件。甚至,還有你 iCloud 上保存的密碼。
 
根據慢霧科技團隊 @evilcos 的解釋,整個攻擊的意圖基本就是:
 
a. 解出擴展錢包本地加密的助記詞私鑰文件並上傳。
密碼有的是本地現成的,有的是上傳之後黑客再暴力破解,所以有一些人的錢包資產是過了些天才被盜。如果目標錢包資產過小,就潛伏着,哪天養肥了再盜竊;有人說,如果我用了複雜密碼來保護小狐狸,這個私鑰文件是不是可以不費破解?但如果你的錢包哪天進入瞭解鎖狀態,黑客也能設法後臺偷走你的私鑰。
 
b. 拿到 Cookies 瀏覽器保存的賬號權限。比如 X、交易平臺等,黑客會發送惡意信息或者轉走代幣;
 
c. Telegram、Discord 等被黑,黑客會發送惡意信息。
 
如何防患於未然?三條重磅建議硬控黑客。

(1)使用加密貨幣的電腦,不要無視風險安裝未知應用。
 
首先,面對任何讓你下載安裝應用的人,都要無比小心。現在很多僞裝成項目方讓你下載體驗 App、遊戲的,基本都是木馬詐騙。
其次,如果你的使用習慣很差,喜歡無視風險安裝各種第三方軟件,也沒有能力分辨木馬或者使用虛擬沙箱環境,那就別在這個電腦上使用加密貨幣。實在不行,也要裝一個殺毒軟件。
而且,第三方軟件也可能只是暫時地安全,不代表未來更新下載的 DMG 安裝包仍然安全。
最後劃重點,永遠不要給未知程序提供管理員密碼��。
 
(2)用硬件錢包隔離私鑰!
 
分散風險非常重要。你要確保不會被黑客一鍋端。
 
所以,只放少量的資產在小狐狸之類的熱錢包,隨用隨取。熱錢包的風險在於,你的私鑰從產生、儲存加密文件和簽名,都是放在這臺聯網的設備上的。萬一被惡意程序攻擊並拿到【私鑰文件】或者被黑客操控,所有資產都會被一鍋端。
 
所以,建議使用一個甚至多個多籤硬件錢包來保存大部分的資產。
 
目前市面上主流的硬件錢包 OneKey(我們)、Ledger、Trezor 等,要做的就是一件事——讓你的私鑰從產生、儲存到簽名,都放在離線且加密的硬件裏面,只有在簽名的時候,傳遞必要信息。
 
讓私鑰在你的電腦不留下一點痕跡,並隔絕網絡,從黑客獲取的風險中解放出來,這很重要。
 
(3)使用網頁版交易所,儘量不要保存登錄信息
 
交易所網頁的防護比手機 App 上差遠了,所以記得用完就退出。
 
許多人會選擇自動保存密碼和記住登錄信息以圖方便。然而,保存登錄信息可能導致一旦設備被入侵,攻擊者輕而易舉就能訪問你的交易賬戶。
 
現在大部分人都設置了 2FA,但依然有辦法潮州。之前就有過 Chrome 惡意插件拿到 Cookies 之後,通過買賣操作惡意對敲把錢通過低買高賣轉移給黑客。
 
最後的最後
 
最好的防禦就是永遠保持警惕,預防大於事後補救。
 
現在釣魚,已經趨向於產業化和自動化,分工分贓明確。如果資產已經被專業的黑客團隊轉移並洗錢,很大的概率是拿不回來的!最好不讓黑客有任何可趁之機。