著名的以太幣錢包網站 MyEtherWallet.com 在亞洲時間 2018/4/24晚間,遭受到 DNS Hijacking 攻擊。以太幣 (數位貨幣代號ETH) 的持有者在這段受攻擊時間,如果透過 MyEtherWallet.com 網站轉帳以太幣,就有可能誤入釣魚網站而把資產轉進駭客的錢包裡。
駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站,成功的騙到幾百位的受害者。一個月前也有駭客利用假冒的 Binance 數位貨幣交易所CEO 名義,在Twitter 上大方贈送以太幣,利用受害人貪小便宜的心理,同樣在極短的時間內騙到近千萬台幣。
作者: Ieta Chi 紀孟宏 (趨勢科技 首席資安顧問)
虛擬貨幣 (Crypto Currency) 市場自2018年初以來因為各種不確定因素,總市值 (根據CoinMarketCap資料) 從一月初的最高點八千億美元,一路下跌到三月底的最低點二千四百億美元,總共下跌了70%。四月初開始大幅回升,一個月不到總市值己經上漲超過80%,光是以太幣的價格在過去一週時間就大漲 40%,熱騰騰的錢潮不僅僅吸引了大批的投資客,同時也吸引了駭客的注意力。
4/24晚間所發生的DNS Hijacking事件,讓使用者透過瀏灠器開啟MyEtherWallet.com 網站時,被導到一個偽造的釣魚網站,受害者如果沒有察覺這是個假網站而進行以太幣轉帳,轉出去的錢不是到想要轉幣的位址,而是進到駭客錢包的位址。在這次的資安事件裡 MyEtherWallet.com 網站本身並沒有被駭,而是在 Internet 上提供網域名解析工作的 DNS服務器被駭客下毒,在正常情況下當使用者連線到 MyEtherWallet.com 網站,DNS 服務器會解析出該網站的正確 IP 地址並回覆給使用者端,當 DNS服務器被駭客下毒,這時候所回覆的IP 地址就不是指向真正的 MyEtherWallet.com 網站,而是駭客用來欺騙受害者的偽裝電腦。
在發生 DNS Hijacking 事件期間,使用者開啓 MyEtherWallet.com 網站時,以 Chrome瀏灠器為例,會出現紅色的 HTTPS 不安全警告,HTTPS是一種資料傳輸安全協定,會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到,在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告就表示準備要連線的遠端服務器的憑證有安全性問題,如果這是一個正式對外提供服務的網站,在真實案例中幾乎可以直接斷言是個釣魚網站。
在正常情形下,一個 HTTPS 的連線畫面應該長得像這樣,出現綠色的組織名稱,並且有一把鎖頭在最前面。
在這次的 MyEtherWallet.com釣魚事件中,目前己知駭客用來詐騙以太幣的錢包位址至少有兩個:
- 0xf203a3b241decafd4bdebbb557070db337d0ad27
- 0x1d50588c0aa11959a5c28831ce3dc5f1d3120d29
從以太幣區塊鏈上調查這兩個駭客錢包位址,發現在這次的詐騙事件中,總共有200個以上的以太幣錢包裡的錢被偷天換日,轉到這兩個駭客的錢包裡,釣魚網站上線的時間大約介於11AM – 2PM UTC 之間 (台灣時間 7PM – 10PM),短短3個小時時間,總共成功的獲得了 525 個以太幣,以當天平均市價1 顆以太幣等於 705 美金的價格來計算,共獲利37萬美金(約1,100萬台幣)。駭客在事發後幾個小時,己經迅速的把騙來的以太幣給轉出到其它多個帳戶,那些受到釣魚攻擊的受害者想把錢追回來基本上是非常困難了。
(下圖是以太幣區塊鏈上的部份交易資料,紅色框裡是不同受害者的錢包。藍色框是駭客把騙到的以太幣轉出了)
如何預防金融釣魚詐騙?
詐騙是駭客獲利的主要技倆,在這個案例中駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站,成功的騙到幾百位的受害者。一個月前也有駭客利用假冒的 Binance 數位貨幣交易所CEO 名義,在Twitter 上大方贈送以太幣,利用受害人貪小便宜的心理,同樣在極短的時間內騙到近千萬台幣。如何預防金融釣魚詐騙,以下是幾點建議:
- 任何線上交易網站只要出現 紅色的 HTTPS 不安全連線警告,就應該立刻停止交易動作。
- 在社群媒體上 (Facebook, Twitter, LINE等) 所有看到的免費或超極優惠,請直接跳過,不要轉寄訊息,也不要 tag 親友,以免更多人受騙。
- 大部份的釣魚詐騙都會使用社交工程攻擊手法(Social Engineering Attack)。提高企業員工及個人對於社交工程攻擊的資安意識,才能真正降低受到網路詐騙的風險。
趨勢科技提供免費的社交工程演練服務 Phish Insight,歡迎立刻試用
趨勢科技PC-cillin雲端版主動偵測並預警網站、電子郵件和Facebook等社群網站中的惡意連結,防範您的上網裝置感染病毒、勒索病毒等惡意威脅 》即刻免費下載試用