黑客竊取加密貨幣的6個工具:如何保護你的錢包?

7月初,報道稱Bleeping Computer監測到試圖對230個萬比特幣錢包實施詐騙的可疑活動,這些錢包有被黑客攻擊的可能。攻擊者使用被稱為“剪貼板劫持者(clipboard hijackers)”的惡意軟件,其在剪貼板中運行,攻擊者可以替換被複製的錢包地址。

早在去年11月,卡巴斯基( Kaspersky Lab)已經預測到了此類黑客攻擊的威脅,並沒多久就成為現實了。目前,此類攻擊是竊取用戶信息或資金的最普遍黑客攻擊類型之一,占到對個人帳戶和錢包的惡意軟件攻擊總數的20%。這個數字都還不止。 7月12日,Cointelegraph發布了卡巴斯基實的報告指出,犯罪分子在過去一年中,通過社會工程計劃能夠竊取超過900萬美元的以太坊(ETH)。

 Carbon Black

圖片來源 : Carbon Black

問題概要

上文提到的Bleeping Computer門戶,致力於促進計算機文化,其寫道為了確保充分防範,遵循幾點基本原則是非常重要的:

“大部分技術支持問題都並非來自計算機,而是用戶並不了解計算機各種問題背後的 ‘基本概念’ 。這些概念包括硬件,文件和文件夾,操作系統,互聯網和應用程序。”

許多加密貨幣專家都持有同樣的觀點。他們中之一的投資者和企業家Ouriel Ohayon,在專業博客Hackernoon中強調用戶的個人責任:

"沒錯,你的確是在控制你自己的資產,而相對應要付出的代價是,你也要掌控自己的安全。大多數人都不是安全專家,於是大多數人都是暴露在風險中的,且對風險並不知情。我有時候都有些吃驚,有那麼多人,甚至很多科技達人,都不進行最基本的安全防護措施。"

據Autonomous Research的金融科技戰略總監Lex Sokolin表示,每年都有成千上萬的人成為克隆網站和普通網絡釣魚的受害者,他們心甘情願地送給詐騙者價值2億美元的加密貨幣,有去無回。

這意味着什麼呢?攻擊加密錢包的黑客正在利用系統中的主要漏洞 - 人類的疏忽和自以為是。讓我們看看黑客們是如何做到的,以及我們如何保護資金。

2.5億潛在受害者

美國公司Foley&Lardner進行的一項研究表明,71%的大型加密貨幣交易者和投資者認為加密貨幣盜竊是影響市場的最大風險。 31%的受訪者認為黑客活動對全球加密貨幣行業的威脅極高。

Foley & Lardner

圖片來源: Foley & Lardner

Hackernoon的專家對2017年黑客攻擊數據進行了分析,可以將攻擊分為三類:

- 針對區塊鏈,加密貨幣交易所和ICO的攻擊;

- 隱藏挖礦(hidden mining)軟件發布;

- 針對用戶錢包的攻擊。

令人意外的是,由Hackernoon發表的文章 "智能黑客技巧(Smart hacking tricks)" 似乎並沒有得到普及,而必須一再重複對於普通加密貨幣用戶來說看上去最明顯的警告,因為根據RT的數據,加密貨幣持有者的數量預計在2024年將達到2億。

ING Bank NV和Ipsos進行的研究(該研究未涵蓋東亞地區)表明,大約9%的歐洲人和8%的美國居民擁有加密貨幣,25%的人群計劃在不久的將來購買數字資產。 因此,將近25億潛在受害者可能很快被黑客們盯上。

Google Play和App Store中的應用程序

建議
- 不要隨便安裝不太需要的手機應用程序;
-在智能手機上對應用程序添加雙因素身份驗證;
-務必查看程序官網上的應用程序連接。

被攻擊的受害者通常是使用安卓操作系統的智能手機用戶,因其不使用雙因素身份認證(2FA) 。2FA是指不僅需要密碼和用戶名,還需要一些跟用戶有關的信息,即只有他們自己知道的信息,或者在手邊的信息,例如電子口令牌。據福布斯稱,谷歌安卓的開放式操作系統更容易被病毒侵襲,因此不如iPhone安全。黑客們將某些代表特定加密貨幣的應用程序添加到Google Play商店。開啟應用程序後,用戶們輸入敏感數據以訪問其帳戶,黑客趁機也可以訪問。

這類黑客攻擊最著名的受害者之一是美國加密貨幣交易所Poloniex的交易者,他們下載了黑客在Google Play上發布的移動應用程序,冒充該流行加密貨幣交易所的移動網關。 Poloniex團隊並沒有開發安卓應用程序,其網站也沒有任何移動設備應用程序的鏈接。據ESET的惡意軟件分析師Lukas Stefanko表示,在該軟件被從Google Play刪除之前,已有5500名交易者受到惡意軟件的影響。

另一方面,iOS設備的用戶更常下載帶有隱藏礦工的App Store應用程序。蘋果公司甚至被迫收緊軟件進入其商店的規則,以便以某種方式暫停此類軟件的發行。由於礦工只會減慢計算機的運行速度,因此與直接攻擊錢包造成的破壞是無法比擬的。

Slack機器人

建議:
-舉報Slack機器人,將其屏蔽;
-忽略機器人的活動;
-保護 Slack頻道,例如使用 Metacert 或Webroot 安全機器人, Avira 殺毒軟件甚至內置谷歌安全瀏覽(Google Safe Browsing)。

自2017年年中以來,試圖竊取加密貨幣的Slack機器人(Slack Bots)已經成為增長最快的頭號企業聊天軟件殺手。 更常見的情況是,黑客們創建一個機器人,通知用戶他們的加密貨幣出現問題。 其目標是強制某人點擊該鏈接並輸入私鑰。 就在這些機器人出現時,它們馬上被用戶屏蔽。但即使社區通常能做出快速反應,且黑客總是要離場的,但後者也成功賺了些銀子。

Steemit @sassal

圖片來源: Steemit @sassal

Enigma集團遭到的黑客攻擊,被認為是通過Slack進行的最大規模的攻擊。 襲擊者使用正在舉行預售的Enigma的名號,推出了一個Slack機器人,並最終從上當受騙的用戶手中騙到價值50萬美金的以太坊。

加密貨幣交易附件

建議
-進行加密貨幣相關操作時,使用單獨瀏覽器;
-選擇匿名模式;
-不要下載任何加密貨幣附件;
-使用單獨的電腦或者智能手機,專供加密貨幣交易;
-下載殺毒軟件,安裝網絡保護軟件。

網絡瀏覽器提供擴展以供用戶自定義界面,更輕鬆地使用交易所和錢包。問題甚至不是這些附件能夠讀取你在使用互聯網時輸入的所有內容,而是這些擴展是在JavaScript上開發的,意味着其極易受到黑客攻擊。原因在於,近年來,隨着Web 2.0Ajax豐富的互聯網應用程序的普及,JavaScript及其帶來的漏洞在各組織中變得極為常見,尤其是印度的組織中。此外,由於用戶的計算能力資源,許多擴展可被隱蔽挖礦利用。

通過手機短信驗證

建議:
-關閉呼叫轉移功能,讓攻擊者無法獲取你的數據;
-如果密碼被發送到手機短信上,就不要用SMS作為雙因素驗證之一,使用其它雙因素驗證軟件解決方案。

許多用戶都選擇使用手機身份驗證,因為他們習慣了,智能手機隨時都在身邊。 Positive Technologies是一家專門從事網絡安全的公司,它已證明通過信號系統7(SS7)協議,在全球範圍內攔截帶密碼確認內容的短信是多麼容易。專家們能夠使用自己的研究工具截獲短信,利用蜂窩網絡中的弱點攔截傳輸中的短信。他們使用Coinbase的賬戶進行了演示,使交易所的用戶大為震驚。Positive Technologies表示,乍一看,這像是Coinbase的漏洞,但真正的弱點在於蜂窩系統本身。這證明就算使用2FA,也可以通過SMS直接訪問任何系統。

公共Wi-Fi

建議:
-永遠不要在公共Wi-Fi 環境下交易加密貨幣,即使在用 VPN;
-經常性的更新你自己的路由器固件,因為硬件製造商會不定期的發布更新以防止密碼置換。

早在去年10月,在路由器的Wi-Fi保護訪問(WPA)協議中,就發現了一個不可恢復的漏洞。在執行基本KRACK攻擊(重新安裝密鑰的攻擊)之後,用戶的設備重新連接到與黑客相同的的Wi-Fi網絡中。用戶通過網絡下載或發送的所有信息都可供攻擊者使用,包括來自加密貨幣錢包的私鑰。對於火車站,機場,酒店和人流量大的區域的公共Wi-Fi網絡來說,這個問題尤其迫切。

克隆網站和釣魚軟件

建議:
-永遠不要碰沒有HTPPS協議的加密貨幣相關網站;
-使用谷歌瀏覽器時,定製擴展名,例如Cryptonite — 顯示的是子菜單的地址;
-當收到任何來自加密貨幣相關的資源的信息時,將鏈接複製到瀏覽器地址欄,然後跟原始網址對比一下;
-如果有些東西看起來可疑,關閉窗口,刪除收件箱的郵件。

自“網絡革命”以來,這種古老的黑客攻擊方法已經開始了,但似乎現在仍然管用。第一種情況,黑客們創建原始站點的完整副本,僅僅修改域名的一個字母等等。這種小技巧,包括替換瀏覽器地址字段中的地址,是為了引誘用戶訪問克隆網站並強制他們輸入帳戶的密碼或密鑰。第二種情況,他們發送一封電子郵件 ,設計成與官方信件看上去一樣的,但實際上強迫你點擊鏈接並輸入個人數據。據Chainalysis表示,使用這種老手段的詐騙者已經竊取了2.25億美元的加密貨幣。

加密貨幣劫持,隱藏挖礦和常識

好消息是,由於加密貨幣服務日益增強的抵抗,以及用戶自身知識水平的提高,黑客逐漸失去了野蠻攻擊錢包的興趣。黑客目前的焦點是隱藏挖礦。

根據McAfee Labs的數據,在2018年第一季度,全球共有290萬個用於隱藏挖礦的病毒軟件樣本註冊。這比2017年第四季度增加了625% 。這種方法被稱為“加密貨幣劫持”,黑客們鍾愛其簡單性,因此大量實施這種手段,放棄了傳統的勒索計劃。

壞消息是,黑客攻擊活動並沒有減少。網絡安全公司Carbon Black的專家透露,截至2018年7月,黑暗網站上大約有12000個交易平台,為黑客們提供約34000個惡意軟件。在這樣的平台上銷售的惡意攻擊軟件的平均價格約為224美元。

Carbon Black

圖片來源: Carbon Black

但它是怎麼進入我們的電腦的呢?讓我們回到我們開頭的新聞。 6月27日,用戶開始在Malwarebytes論壇上留下關於一個名為All-Radio 4.27 Portable的程序的評論,他們的設備上無意中被安裝了該程序。由於無法將其刪除,情況變得複雜。雖然,從其原始格式看來,這個軟件似乎是一個無害和受歡迎的內容查看器,而其版本被黑客修改為一個“潘多拉魔盒”。

毫無疑問,該軟件包內含一個隱藏礦工,但它只會減慢計算機的運行速度。至於用於監控剪貼板的程序,當用戶複製並粘貼密碼時,它會替換地址,並且它已經收集了2343286個潛在受害者的比特幣錢包。這是黑客們第一次得到如此龐大的加密貨幣所有者的數據庫,到目前為止,這些程序得到替換地址非常有限。

在更換數據後,用戶自願將資金轉移到黑客的錢包地址。保護資金不受此影響的唯一方法,是在訪問網站時仔細檢查輸入的地址,挺麻煩,但是很可靠,並且可能是一種有用的好習慣。

在詢問All-Radio 4.27 Portable的受害者後,研究人員發現惡意軟件由於不合理操作而進入了他們的計算機。正如Malwarebytes和Bleeping Computer專家的發現,人們使用了許可程序和遊戲的破解軟件,以及像KMSpico這樣的Windows激活工具。因此,黑客選擇了那些有意識地違反版權和安全規則的用戶作為攻擊目標。

著名Mac惡意軟件專家Patrick Wardle經常在他的博客中寫道,許多病毒進入到用戶的系統中的過程是十分愚蠢的。而能成為這些軟件的受害者,也同樣愚蠢。因此,在這裡我們提醒您遵守Google小企業諮詢師Bryan Wallace的建議 :

“加密的,防毒的軟件和多因素驗證,只能在一定程度上保護你的資產;最關鍵的是防備措施和基本的常識。”