網路犯罪集團在全球各地利用 NFT 與虛擬加密貨幣進行詐騙。儘管詐騙集團的伎倆眾多,但主要靠兩個東西賺取暴利:取得錢包的授權,以及竊取使用者的助記詞 (seed phrase)。
虛擬加密貨幣自從 2009 年問世以來,至今使用率已大幅成長,而區塊鏈技術也讓這類貨幣更加普及。虛擬加密貨幣以及使用區塊鏈技術所產生的數位資產,越來越受到關注,不過,雖然虛擬世界為這類貨幣提供了良好的發展環境,但卻也成了網路犯罪的溫床,以至於虛擬加密貨幣與 NFT (Non-fungible tokens,非同質化代幣) 詐騙事件頻傳。
趨勢科技威脅研究機構 Trend Micro Threat Research 一直在密切注意虛擬加密貨幣相關攻擊所使用的各種斂財手法。我們利用趨勢科技 Smart Protection Network™ (SPN) 全球威脅情報網所蒐集到的資料,研究了詐騙集團的各種不同伎倆,並在一份名為「 防範虛擬加密貨幣詐騙,保障資產安全」(Keeping Assets Safe From Cryptocurrency Scams and Schemes) 的技術摘要當中詳細說明了各種詐騙集團所使用的機制。
儘管詐騙集團的伎倆眾多,但根據我們的研究,其主要目標只有兩個:取得錢包的授權,以及竊取使用者的助記詞 (seed phrase)。
【詐騙警訊】幣安用戶小心!收到「您所在地區賬戶將終止服務」簡訊,不要點!
近日出現大量中文幣安簡訊釣魚,以「限制使用、立即升級」等字眼,引誘受害者點選詐騙簡訊中釣魚網址,並連到為冒充成幣安的假登入頁面,要求你輸入手機或郵箱帳號和密碼,登入並更新帳戶,藉以騙取使用者的帳號與密碼。一旦你的幣安帳戶被盜用,存在裡面的資金可能一夕蒸發。
趨勢科技行動安全防護已可全面阻擋。歡迎免費下載試用!
詐騙簡訊內容:
〔BN〕你所在的地區賬戶將被限制使用,請立即升級:
bianceance(.)com
*該簡訊內容還把帳戶打成賬戶
提醒用戶,幣安的中文官方網址為:
✅https://www.binance.com/zh-TW
已知詐騙網址(隨時可能變動):
❌bianceance(.)com
❌binancev(.)net
趨勢科技行動安全防護,成功封鎖幣安詐騙網站,第一時間阻擋網路釣魚網址,識破各種詐騙手法,全面防護更安心。
如何保護自己?
- 仔細檢查寄件者的電子郵件地址 – 是否與公司/品牌相符?
- 如果你發現自己的電子郵件出現在任何資料外洩事件中,請立刻變更密碼。
- 記得只用官方網站/應用程式,而非來源不明的連結。
【詐騙警訊】Apple 帳號被網路釣魚, iCloud 中存 MetaMask 註記詞,錢包損失 65 萬美元
最近有許多詐騙和網路釣魚(Phishing)活動圍繞著NFT (Non-fungible tokens,非同質化代幣),最新的一個案例是DAPE NFT創始人@Serpent在Twitter上寫了篇關於Apple ID網路釣魚詐騙事件,讓一名受害者MetaMask損失了65萬美元。由於加密貨幣的去中心化,受害者想追回幾乎是不可能的!
如何運作?
詐騙者一旦知道你的Apple ID電子郵件地址,就會進行大量的Apple ID密碼重置嘗試,這會讓你收到很多簡訊,讓你擔心自己的Apple ID出現安全問題。
接著,詐騙者會冒充成Apple打電話給你。他們告知你的Apple帳號出現可疑活動,為了證明你是真正的擁有者,他們會需要你提供6位數的驗證碼。
事實上,此驗證碼是在詐騙者試圖登入你的帳號時產生。有了它,詐騙者就可以重置你的Apple ID密碼並存取iCloud上的所有資料,包括儲存其中的 MetaMask 錢包的助記詞。
這意味著什麼?嗯,就是他們可以控制你的 MetaMask 帳號並轉走你所有的加密資產。更糟的是,由於加密貨幣的去中心化,因此想追回幾乎是不可能的!要小心!
六個保護自己的建議
- 仔細檢查來電者的電話號碼。但請記住,來電顯示是可以造假的。此外,Apple也幾乎不可能打電話給你。
- 千萬不要將驗證碼分享給任何人。
- 使用冷錢包儲存你的加密資產以避免網路釣魚詐騙。
- 透過設定 > 個人檔案 > iCloud > 管理儲存空間 > 備份來停用MetaMask資料的iCloud備份。此外,透過設定 > Apple ID/iCloud > iCloud > iCloud備份來關閉自動iCloud備份。
- 謹慎處理個人資訊 – 詐騙者可以利用外洩資料來進行網路釣魚攻擊。
- 使用 趨勢科技PC-cillin 來多加一層保護,輕鬆管理你的網路安全和隱私。
假 NFT 交易平台、假 NFT 社團、假 NFT 聊天群組
NFT 的新鮮熱潮在全球吸引了大量的資金投入,同時也讓它成為詐騙集團賺取暴利的工具。例如,有些詐騙專門設立假的 NFT 交易平台,其實是網路釣魚(Phishing)網站。此外,詐騙集團還會使用所謂的空降 NFT (airdropped NFT) 作為網路釣魚連結的誘餌,吸引使用者參與惡意的智慧合約 (smart contract)。某些駭客還會在熱門即時通訊平台架設假的社群媒體社團或聊天群組,假裝提供協助來試圖接觸 NFT 擁有者。這種詐騙伎倆是為了引誘使用者將加密貨幣錢包與駭客連結,好讓駭客取得使用者的助記詞,進而進入使用者的錢包。當然,無所不用其極的駭客也會使用一般垃圾郵件來引誘使用者前往假的 NFT 與虛擬加密貨幣交易平台上註冊。
「幫助烏克蘭,下載這個,攻擊支持俄羅斯的網站?」不止同情心被濫用, 加密貨幣錢包還被偷
還有一種類似手法是駭客利用使用者對烏克蘭對抗俄羅斯入侵的同情心,透過東歐地區相當流行的加密即時通訊軟體發送惡意連結,要求使用者下載一些執行檔,宣稱可以用來攻擊支持俄羅斯的網站。但這些檔案其實是專門竊取加密貨幣錢包資訊的惡意程式,駭客偷到這些資訊之後會拿到地下市場販賣。
249 個假的加密貨幣錢包軟體,不法所得超過 430 萬美元
趨勢科技在 Andoid 和 iOS 上總共發現了 249 個假的虛擬加密貨幣錢包軟體,這些軟體已竊取了超過 430 萬美元以上的不法之財。還有一項重要的研究發現是這類攻擊相當具有針對性,因此很可能意味著使用者的資訊早已遭到外洩。這類假的虛擬加密貨幣錢包目前還在四處流竄,因此仍是一項持續的威脅。
趨勢科技在技術摘要當中提供了一份完整的資安建議清單,希望對虛擬加密貨幣使用者與事件回應團隊能有所幫助。
獲利越高、風險越大
雖然許多人對虛擬加密貨幣和 NFT 都躍躍欲試,但獲利越高、風險越大,所以也可能血本無歸。
從網路犯罪集團的角度來看,虛擬加密貨幣的蓬勃發展,為他們提供了竊取資產的大量機會,除了使用者眾多之外,還有交易平台的漏洞。網路犯罪集團利用了虛擬加密貨幣交易無法逆轉的特性,再加上許多虛擬加密貨幣及 NFT 使用者都缺乏足夠的專業知識,因此無法安全地駕馭這個無法可管的領域。
因此,虛擬加密貨幣和 NFT 使用者必須具備一定的基本常識,並確保自己只透過正式的通路與合法對象進行交易。此外,養成良好的網路資安習慣也是防範威脅的一項重要關鍵。
至於 NFT 交易平台與虛擬加密貨幣服務供應商,則應該建立能防止詐騙的管道來保護使用者,這方面還有好長一段路要走。其實,提供安全的銷售管道不應該只是一種理想,而是一項必須持之以恆的目標,並且需要時間來達成。畢竟區塊鏈牽涉的層面相當複雜,需要所有利益關係人共同努力 (當然也包括網路資安社群在內) 才能確保這些數位資產的安全,防止駭客與犯罪集團的覬覦。
◼部分原文參考出處:An Investigation of Cryptocurrency Scams and Schemes
◼延伸閱讀
幣安(Binance)警告:加密貨幣投資者小心簡訊釣魚詐騙
[NFT詐騙] 假MetaversePRO網站
OpenSea 帳號被盜走價值 2 百萬美元的 NFT
NFT是什麼?常見的五種NFT騙局以及九個安全建議
【詐騙警訊】 OpenSea網路釣魚郵件
援助烏克蘭詐騙趁火打劫,捐款前問自己四件事,避免成為詐騙集團提款機