比賠錢的交易更虧! 虛擬貨幣交易所的9個資安風險

有鑑於 虛擬貨幣的價值和重要性突然飆升,網路犯罪集團已開始想辦法利用這波趨勢來開拓額外賺錢途徑。其中最常見的犯罪手法是利用虛擬貨幣挖礦惡意程式,而且這儼然已逐漸取代了勒索病毒。不過,加密貨幣挖礦程式並非唯一威脅,網路犯罪集團已開發出各種不同工具和技巧,來詐騙加密貨幣交易所的使用者,竊取其貨幣和個人資訊。

虛擬加密貨幣交易所是投資人買賣虛擬貨幣 (如比特幣Bitcoin)、以太幣等等) 的平台,例如 Binance、Bitfinex、Kucoin 和 Bittrex 都是。由於交易所在數位貨幣交易過程當中擔任的是「仲介」的角色,因此也是歹徒最常攻擊的目標之一,包括直接駭入交易所,或者假冒這類交易平台。除此之外,網路犯罪集團也經常利用投資人渴望致富的心理,針對加密貨幣投資人推出一些所謂的「輔助」工具,但其實是惡意程式。

賠錢的交易或許會造成投資人損失,但本文將討論的9種網路犯罪風險,甚至會讓原本賺錢的投資人血本無歸。

1.     網路釣魚

目前,這類交易平台相關的網路釣魚手法相當常見。因為,歹徒只要能夠騙到使用者的帳號登入憑證,就等於意味著獲利。歹徒經常使用的一種詐騙手法就是,利用看似很像的網域名稱或網站來假冒虛擬加密貨幣交易平台,讓使用者誤以為自己連上的是官方網站,進而提供自己的帳號登入憑證。在這些攻擊當中,歹徒會利用網路釣魚郵件將使用者導向假冒網站。

另一種攻擊方式是,歹徒會使用國際化網域名稱 (Internationalized Domain Name,簡稱 IDN) 來註冊網路釣魚網站的網域名稱。這些 IDN 名稱會刻意取得跟其假冒的對象很像。

如上圖,乍看之下,左邊假冒網站的網址和右邊原始網站的網址很像,甚至還支援 HTTPS 安全連線。但如果細看就會發現,假冒的「yobit.net」網域名稱的第二個字母是「õ」而不是「o」。使用者如果沒有特別留意,很可能就會以為自己正在登入該交易所的官方網站。

2.     交易平台遭駭

交易平台如果不幸遭到駭客入侵,其客戶帳上的貨幣通常都會因而遭殃。今年稍早,東京 Coincheck 交易所即遭遇虛擬加密貨幣有史以來最大一樁駭客事件,損失了超過 5 億美元的虛擬加密貨幣。而駭客除了竊取貨幣之外,還可能竊取交易平台程式開發介面 (API) 的金鑰。歹徒可利用這些金鑰來開發機器人程式,進而提領使用者帳上的貨幣或偷偷執行買賣。

3.     註冊表單遭駭入

儘管許多虛擬加密貨幣交易平台都有嚴格的身分驗證機制,但歹徒還是有辦法在其註冊表單當中注入惡意程式碼,進而將使用者輸入的資料傳送至歹徒的幕後操縱 (C&C) 伺服器。這些資料很可能被歹徒賣到地下市場,或者被用來到其他交易平台開戶。

 

 

4.     第三方應用程式

虛擬加密貨幣投資人可能會使用一些第三方應用程式來協助他們即時監控貨幣的漲跌並計算獲利或損失。這類應用程式雖然很方便,但卻可能帶來潛在危險,尤其是那些使用者必須提供投資組合資料的應用程式。使用者的資料有助於駭客物色攻擊目標,因此相當具有價值。

5.     惡意程式

過去一年,加密貨幣相關的惡意程式數量一直在穩定成長。由於加密貨幣挖礦是非常耗費運算資源的一件工作 (而且相當耗電),因此歹徒紛紛開發挖礦惡意程式來感染使用者的電腦,利用其運算資源來進行挖礦,而這正是目前最大的威脅之一。其他虛擬加密貨幣相關的惡意程式還有:會直接從數位錢包內偷取虛擬加密貨幣的惡意程式,以及假冒官方應用程式的工具程式。

6.       專門竊取加密貨幣的惡意程式

專門竊取加密貨幣的惡意程式,會從被感染的電腦上竊取數位錢包,或者想辦法從記憶體當中篡改錢包的位址。當使用者電腦感染這類應用程式時,惡意程式會將虛擬貨幣交易所或使用者的錢包位址偷偷換成歹徒的錢包位址,如此就能將貨幣直接轉到歹徒的錢包內。這類攻擊很容易透過 惡意瀏覽器附加元件來達成,因為絕大多數的交易都是經由瀏覽器來執行。

7.       假冒工具

惡意程式也可能假扮成工具程式,並在虛擬加密貨幣相關網站上打廣告。例如,一些虛擬加密貨幣論壇會廣告一些宣稱可以幫助投資人獲利的冒牌套利計算機 (arbitrage calculator)。事實上,這些計算機暗藏了惡意腳本,其程式碼會下載惡意程式到電腦上執行。

下圖顯示一個這類腳本的下載函式範例:

8.       交易機器人

交易機器人是加密貨幣投資人經常用的工具,可讓投資人將交易自動化,不必自己手動輸入。但網路犯罪集團卻經常利用這點,將其惡意程式假冒成交易機器人,並在網路論壇上做宣傳。使用者若下載到假冒的交易機器人,很可能會讓電腦感染挖礦程式或是其他會消耗電腦資源的惡意程式。

9.       交易平台安裝程式被植入惡意程式

通常,虛擬加密貨幣交易所會開發自己的專屬應用程式來方便客戶執行交易。但網路犯罪集團也經常看上這點,將自己的惡意程式植入這些應用程式的安裝程式當中,然後再提供給受害者下載。這類惡意程式不易被偵測,因為它們都躲在背後暗中執行,不讓使用者發覺。

防範加密貨幣威脅

儘管目前虛擬加密貨幣市場暗藏著許多危險,但使用者只要養成良好的安全習慣,並且格外小心自己所使用的網站和應用程式,就能確保自身安全。

閱讀使用條款與條件

在開立帳戶之前,使用者應仔細檢視交易平台的使用條款與條件。以免未來遇到一些當初沒預料到或條款未明確記載的情況。

在註冊或登入帳號之前,務必重複確認一次自己所連上的網站

網路犯罪集團隨時都在註冊新的網路釣魚網域,並散播新的網路釣魚郵件來誘騙受害者上當。所以使用者很重要的一點就是,務必確認自己所連上的是正牌網站。檢查一下網址是不是以「HTTPS」開頭以及查看一下網站的憑證,這都有助於判斷網站的真偽。此外,也建議使用者將自己常用的網站加入書籤,這樣就不必每次都重新搜尋一次,以免不小心誤觸冒牌網站。

使用多重認證

雙重認證 (2FA) 機制可讓使用者多一道防護機制來防範歹徒攻擊。當然,僅仰賴雙重認證機制或許還是不夠,因為許多網路釣魚網站甚至也採用了雙重認證。不過,只要是網站或交易所有提供雙重認證,我們都建議使用者採用,因為這樣雖然麻煩一點,但至少可提供多一道保障。

使用第三方應用程式要特別小心

雖然第三方應用程式的功能可能相當方便,但使用者必須了解,將其個人資訊、投資組合與 API 金鑰分享給不明的應用程式開發者將帶來風險。而且,如果應用程式開發者看起來很可疑,或者程式免費得有點可疑,那麼建議您最好不要使用。

請勿將交易平台當成錢包使用

使用者應避免將交易平台當成儲存虛擬加密貨幣的代用錢包,因為萬一交易所遭到駭客入侵,錢包內的貨幣很可能一去不回。此外,建議使用者將一些平常用不到的貨幣轉到硬體式錢包當中保存。同時也可考慮使用多個交易平台,算是避免將所有雞蛋放在同一個籃子當中。

原文出處:Beyond Bad Trades: Cybersecurity Risks to Cryptocurrency Exchange Users