“ bịnạnce.com ” 兩個小點以假亂真,發動大規模搶劫虛擬貨幣交易所 !還有假 CEO 趁火打劫

趨勢科技發現為數不少的網路釣魚（Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,詐騙者把英文字母l 和 O 魚目混珠成數字 1 和 0 是常見的手法,這些雷同 URL ,很容易矇騙臉友點擊。「ɢoogle.com」乍看之下似乎看不出來什麼端倪。把它和正宮「Google.com」擺在一起再看仔細,有發現哪裡不對勁嗎?看出來了吧，就是「ɢ」、「G」的差別。事實上，這個「ɢ」其實是一個拉丁字母，而不是我們平常常見的「G」。

點開一封網路釣魚信件的代價有多高?
日本知名加密貨幣交易所Coincheck，今年初因內部員工誤開了網路釣魚郵件，讓駭客入侵竊取了價值新臺幣154億元的加密貨幣。雲林某女網友上網看了色情網站影片連結，一不小心按了讚之後，沒想到卻中毒，臉書帳號遭盜後被用來轉貼了暗示性交易相關訊息，因而觸犯「妨害風化案及兒童及少年性剝削防制條例」被函送法辦！警方表示，有犯罪集團利用工具軟體，將色情圖片與木馬程式結合，一旦點選相關連結，就會被導向臉書網路釣魚登錄假頁面，導致帳號被盜。

點開一封網路釣魚信件的機率有多高?
網路釣魚陷阱何其多,在2012年的 Black Hat USA安全大會上所做的調查顯示，69％的人表示每週都會有網路釣魚（Phishing）郵件進入到使用者的信箱。超過25％的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。

現在網路釣客也把歪腦筋動在目前最夯的虛擬貨幣交易上….

最近出現許多跟加密虛擬貨幣相關的駭客或詐騙報導。首先是偽裝成獵人頭公司發送內嵌Dropbox連結的釣魚郵件。該連結包含一份銀行高階主管的職務描述文件,文件帶有 Visual Basic巨集會掃描系統上是否有比特幣活動的跡象。然後再植入第二個為了長期資料採集和持久性而設計的病毒。

3月上旬虛擬貨幣交易所Binance發現，駭客使用相似的假網域“bịnạnce.com”進行網路釣魚（Phishing）攻擊,以取得 Binance使用者的帳號密碼。由於假網域“ bịnạnce.com”。“i”和“a”下面的兩個小點幾乎不會被發現，許多人因此上當。該事件雖然觸發了虛擬貨幣交易所 Binance 的內部警報系統。

編按:加密貨幣交易平台 coinbase.com也曾被仿冒，駭客所註冊的網址為 coinḃase.com，不仔細看難發現後者的字母b上多了一個點。這就是所謂的同形異義（homograph）攻擊,主要透過註冊類似網域名稱來仿冒成另一個網站，偽造網站網址字符看起來像英文字，但其實它們並不是。

Binance CEO 在 Twitter 帳號發表的官方聲明，但動作快的駭客，就在幾個小時內創建了仿冒Binance CEO 的假帳號，並用假帳號回覆真正 CEO 的推文，表示將送出 5000 個以太幣 ETH做為 Binance客戶的免費補償，光3月8日當天，就有 151 個用戶 (不同的錢包位址) 把錢轉給駭客，這151個用戶總共轉了353 個 ETH。以3月8日的均價來看 (1ETH = USD780)，駭客在1天內就獲利 28 萬美金 (相當於820 萬台幣)，相當驚人的詐騙獲利。

事件始末

3月上旬虛擬貨幣交易所Binance的使用者發現未經他們同意而執行的交易。在社群媒體和線上討論區中，有多位使用者推測交易所或自己的帳號被駭。他們貼出圖片並確認自己的山寨幣（altcoin，市價相對較低的虛擬貨幣）被用來購買比特幣，然後購買較鮮為人知的虛擬貨幣 Viacoin。

Viacoin的市價在這段時間大幅上漲，有些人開始懷疑這是否是為了抬高Viacoin的價格。此貨幣的開發者否認與此有任何關連。

3月8日Binance團隊透過部落格說明了此一事件。根據他們的調查，駭客使用網路釣魚（Phishing）攻擊（從一月開始進行）來取得Binance使用者的帳號密碼。駭客使用了很相似的假網域“bịnạnce.com”。“i”和“a”下面的兩個小點幾乎不會被發現，讓這假網站跟合法網站幾乎沒有區別。許多使用者都被這騙局所害。

圖1、Binance執行長秀出網路釣魚攻擊是如何運作

駭客並沒有直接從入侵的帳號竊取資料，而是建立了交易API金鑰。根據 Binance的報告，駭客接著在短短兩分鐘內（UTC 14:58到14:59）使用API金鑰購買了大量的Viacoin。有31個帳號出售了預存的Viacoins（這些帳號可能由駭客設立）。駭客企圖將比特幣從受駭帳號轉到這31個帳號。交易之後又立即企圖提領。

Binance 風險管理系統發現不尋常….

幸運的是，Binance的風險管理系統注意到不尋常的交易尖峰，所有提領動作很快就被停止。這令人費解的作法實際上導致了駭客的損失，因為預先存入Viacoins的31個帳號被凍結。

圖2、Binance執行長向使用者保證並提供一些建議

在事件發生幾個小時候，Binance CEO (CZ, Changpeng Zhao) 隨即在自己的 Twitter 帳號發表對此事件的官方聲明 (圖中藍框)，並安撫交易所的客戶。

駭客用假帳號回覆真正 CEO 的推文

不過動作快的駭客，就在幾個小時內創建了仿冒Binance CEO 的假帳號(下圖中紅框)，並用假帳號回覆真正 CEO 的推文，表示將送出5000 個以太幣 ETH做為 Binance客戶的免費補償，只要用戶傳送0.3-5 ETH到指定Address，就可以立即收到 Binance 所回贈的 3-50 個ETH。為了以假亂真取信於人，駭客還建立了許多假 twitter 帳號，回覆推文說在極短的時間內就收到CEO 的慷慨贈幣，感謝推文一個接著一個，看到這些推文很難不讓人信以為真。

動作快的駭客，就在幾個小時內創建了仿冒Binance CEO 的假帳號(圖中紅框)，並用假帳號回覆真正 CEO 的推文

為了刺激人們想要獲得免費贈幣的慾望，駭客還設計了一個動態網站，顯示逐漸減少的贈幣數量，用來告訴你動作再不快一點，5000個免費 ETH 就快送完了。利用害怕搶不到所導致的思考不週來進行詐騙，也是詐騙的常見手法。

在短短一天內(3月8日)，就有超過七百個 tweet 回覆Binance CEO 最早的官方推文，只不過90% 的回覆推文都駭客假造的，絕大多數是由一連串假帳號所發出成功收到數個到數十個免費 ETH 的感謝推文。甚至還利用假帳號，秀出戶頭畫面，證明自己收到 99 個贈幣。

光3月8日當天，就有 151 個用戶 (不同的錢包位址) 把錢轉給駭客，這151個用戶總共轉了353 個 ETH。以3月8日的均價來看 (1ETH = USD780)，駭客在1天內就獲利 28 萬美金 (相當於820 萬台幣)，相當驚人的詐騙獲利。

如何判斷 Twitter 帳號真假 ?

除了記住天下沒有不勞而獲這個致理名言以外，如何判斷 Twitter 帳號真假也很重要。一個通過Twitter 實名制認證的帳號 (下圖/上)，在帳號旁邊會出現一個藍色圓圈打勾的圖案，反之，駭客建立的假帳號(下圖/下)幾乎不可能接受實名制認證，也就不會有前面說的認證圖案 (駭客也知道所以放了一個藍色心型圖案魚目混珠)，有能力辨認詐騙帳號才免於上當。

在2017年，虛擬貨幣價值的不斷攀升引發了一波新的威脅。這趨勢似乎持續到了2018年，惡意份子嘗試著不同作法 – 從社群媒體詐騙到駭客試圖入侵網路錢包，而現在是網路釣魚攻擊。網路釣魚是種雖然舊但被網路犯罪分子不斷改進的技術，並且持續地尋找會上鉤的目標。除了這起事件，我們也在二月初看見一起針對虛擬貨幣新創公司Bee Token的網路釣魚郵件攻擊。

雖然使用強密碼並啟用雙因子身份認證（2FA）是防護網路和行動應用程式帳號安全的良好作法，不過網路釣魚又是另一回事。很重要的一點是要保持警覺，了解狀況和作好準備以免落入騙局。

《同場加映》四招預防網路釣魚

駭客常利用極為相似之字母或數字，如英文字母小寫 l 與數字 1，n 與 h 等極為相似之符號以假亂真，收件者難辨真偽

台灣發生過一案例,有人收到一封來自好友 Lis從國外寄來的求救信,訴說旅行時錢包被扒走了,沒錢支付飯店費用,因為Email 帳號乍看之下是他熟悉不過的:1isa@hotmail.com,他二話不說地匯款,但 Lisa 卻否認寄過那封請求匯款的信,原來他收到是山寨版 “1”isa 的來信!

雖然網路詐騙份子不會讓你一眼就看穿,不論你是忙著追蹤熱門話題、上網購物，或者只是到處瀏覽打發時間，你最好避開一些看起來就很可疑的連結和電子郵件。以下四個秘訣教您如何預防網路釣魚:

以下是我們對於防範網路釣魚攻擊的一些建議。

接到老闆的”急件”交辦信件,請沉著應對
現在流行的假冒階主管的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC),最喜歡用”非常緊急”,”緊急付款”欺騙財務部門.而且屢屢得逞
務必仔細查看寄件人名稱來確認郵件的真實性
大多數企業的網站和電子郵件都會掛在同一個網域，因此，如果信件不是來自該公司的官方網域，那就是個重要警訊。
不要點選郵件中的連結或下載其隨附檔案，就算似乎來自「可靠」來源也一樣
將滑鼠滑到連結上方檢查網址
除非使用者百分之百確定連結沒問題，否則切勿點選連結。將滑鼠滑到連結上方等一下，就會看到其實背後真正的網址。
注意郵件是否有拼錯字或文法錯誤的情況。
正牌的公司在發信之前一定會用拼字檢查軟體來確保內容的正確性。
如果對自己的帳戶狀況不放心，請直接向該公司確認, 切勿被郵件威嚇性的口吻嚇到。