原創 | Odaily星球日報

作者 | 南枳

昨日,X 用戶@CryptoNakamao 發文表示,因 Chrome 惡意插件 Aggr 導致其瀏覽器 Cookies 被挾持,黑客通過此方式操縱其幣安賬戶,通過對敲造成損失達 100 萬美元。

針對該事件,幣安發文迴應,事件發生的原因是該用戶的電腦本身被黑客攻破,安全客服用時 1 分 19 秒處理了該用戶的凍結需求,平臺排查對敲交易、確認嫌疑人賬戶,跨平臺提出凍結需求需要時間,截至目前的排查結果,幣安在本事件之前並未注意到 AGGR 插件的相關信息。因此對於此類事件無法進行賠償。

該事件再一次爲廣大用戶敲響了安全警鐘,由於黑客的專業化程度不斷提升,出現安全事件後往往是神仙難救。因此如何做好安全防範雖是老生常談的話題,但值得以最高優先級對待,Odaily 將於本文彙總常見的攻擊與防範手段。

一鍵凍結賬戶

首先針對該事件,如果發現遭到了黑客攻擊,但賬戶內資金還沒被完全轉移時,如何最快速保護剩餘資金?除了向其他賬戶轉移資金外,還可以通過一鍵禁用賬戶來保護賬戶,禁用後需要聯繫客服方可解凍。

禁用賬戶需要通過幣安 App 進行,首先進入設置界面,然後在界面底部將有“賬戶安全”板塊,最後再進入板塊底部的“管理賬戶”,點進禁用賬戶並確認。幣安當前的官方指引爲 2018 年版本,具體執行流程與記者當前實操大不相同,建議用戶提前確認和熟悉具體位置。

Chrome 插件

Chrome 插件對於 Crypto 用戶來說不可或缺,因此不使用插件並不現實,那麼如何做好 Chrome 的安全使用?用戶可以通過以下幾個方面:

  • 檢查瀏覽器插件權限,不常用的瀏覽器插件可以選擇禁用;

  • 多開瀏覽器,對於不同安全等級需求的業務分配不同的瀏覽器;

  • 所有的 Chrome 插件建議都通過官方 X 賬戶所提供的鏈接進行跳轉,不建議使用 Google 搜索,更不建議使用 X 度搜索,通過以上渠道搜索容易遇到付費置頂的釣魚鏈接,從而遭受損失。官方有義務保持 X 賬戶鏈接正確,甚至受到攻擊事件時需要對用戶做出賠償。

已安裝插件權限查看

關於 Chrome 擴展的原理和安全問題,慢霧已撰文進行了說明,慢霧首席安全官 23 pds 指出,最關鍵的在於 manifes.json 文件,該文件決定了插件了權限範圍。

如何查看權限範圍?用戶可進入 chrome://extensions 界面,該界面包括了所有在瀏覽器上安裝的插件,點進詳情後能夠看到插件的權限範圍,對於權限爲“在所有網站上讀取和改變您的所有數據(Read and change all your data on all websites)”的插件需要慎之又慎。

瀏覽器多開

用戶可通過對不同安全等級需求的業務分配不同的瀏覽器進行安全防護,例如在登陸交易所的瀏覽器上不安全任何插件,對於涉及鏈上資金的瀏覽器僅安全錢包等基礎工具。

常見的 Chrome 瀏覽器多開有兩種方式:

第一種方式是通過官方的賬戶切換方式進行多開,在 Chrome 的右上角的賬戶界面,用戶可選擇添加臨時的訪客賬戶或者 Google 賬戶,添加完畢後點擊新增賬戶即可開啓全新的瀏覽器界面,不同賬戶開啓的瀏覽器獨立運行,插件不能跨瀏覽器作惡。並且相較下一種方法,具備插件可雲端同步的優勢。

另一種常見的批量創建方法爲基於電腦的快捷方式進行多開。

用戶可在電腦端複製一個或者任意數量的 Chrome 快捷方式,然後在快捷方式上右鍵進入屬性界面,在目標地址的末端輸入

 --user-data-dir=“目標文件夾地址”

即可創建全新的獨立 Chrome 瀏覽器(注意最前面有一個空格),該方法相較前一種方法更加快捷,但需要注意數據都保存在本地,需要做好錢包祕鑰等關鍵數據的備份。

剪切板權限

由於 TG Bot 的盛行,許多用戶往往會進行直接複製祕鑰的操作。該場景下建議不要一次性複製完整的祕鑰,可留存幾個字母手工輸入,避免剪切板監聽風險。此外關閉 APP 與網頁的剪切板讀取權限也非常關鍵,對於網頁端用戶可進入以下鏈接 chrome://settings/content/clipboard,在該界面可對網站的讀取權限進行關閉,在特殊必要的情況下再另行開啓,能夠大幅提升安全性。

X 平臺虛假賬戶騙局

近幾個月來,仿冒官方在 X 平臺發佈惡意釣魚鏈接的情況頻發,這些賬戶往往都爲金標賬戶,用戶名與官方一致,僅賬戶句柄存在一兩個字母的差異,難以一眼看出。

對於此類騙局,建議用戶安裝Scam Sniffer 插件,該插件將對 X 平臺賬戶進行掃描,提示在評論區出沒的虛假官方賬號。

其他基本安全意識

除了以上可手動檢查和開關的安全操作之外,還有許多基本意識層面的安全要素,包括:

  • 不要在 TG 和 DC 上相信任何私信鏈接,僅相信官方賬戶發佈鏈接與信息;

  • 助記詞和祕鑰儘量不觸網,尤其是不要使用手機拍照記錄助記詞;

  • 在涉及大額資金的電腦上,避免安裝 todesk、向日葵等遠程操控軟件;

  • 涉及大額資金的交易所賬戶設置2FA,使用完畢後退出賬戶;

去中心化意味着安全問題永遠不會消失的同時損失難以挽回,黑客的攻擊手段仍在不斷升級,只有自己能保護自己,做好最基本的安全防護纔是“活下去”的根本。

#Binance #黑客攻击