区块链技术学习(微信号:Blockchain1024)翻译
原文作者:Julia Magas
原文链接:https://cointelegraph.com/news/six-tools-used-by-hackers-to-steal-cryptocurrency-how-to-protect-wallets
去年7月初,有报道称,Bleeping电脑检测到有人以诈骗230万比特币钱包为目标进行可疑活动,他们发现这些活动受到黑客威胁。攻击者使用的恶意软件被称为“剪贴板劫持者”,它在剪贴板中运行,并可能将复制的钱包地址替换为攻击者之一。
之前,卡巴斯基实验室已经预测到了这种类型的黑客攻击的威胁,而且它们很快就成为现实。目前,这是一种最广泛的攻击类型,旨在窃取用户的信息或金钱,据估计,针对个人账户和钱包的攻击占恶意软件攻击总数的20%左右,甚至还有更多。
Cointelegraph发表了卡巴斯基实验室的报告,报告指出,在过去一年里,犯罪分子通过社会工程计划在以太坊(ETH)窃取了超过900万美元。
Image source: Carbon Black
关于这个问题
已经提到的Bleeping Computer Portal,致力于提高电脑识字率,它指出了至少遵循一些基本规则以确保充分的保护水平的重要性:
“大多数技术支持问题不在于计算机,而在于用户不知道构成所有计算问题基础的‘基本概念’。这些概念包括硬件、文件和文件夹、操作系统、Internet和应用程序。
许多加密货币专家也持有相同的观点。其中一位投资者兼企业家Ouriel Ohayon在Hackernoon博客中强调用户的个人责任:
“是的,你可以控制自己的资产,但代价是你要对自己的安全负责。由于大多数人不是安全专家,他们经常被暴露在不知情的情况下。我惊讶地发现,我周围有那么多人,甚至是精通技术的人,不采取基本的安全措施。”
据Autonomous Research的金融技术战略总监莱克斯·索科林(Lex Sokolin)说,每年都有成千上万的人成为克隆网站和普通网络钓鱼的受害者,他们自愿向骗子发送2亿美元的加密货币,而这些钱永远不会归还。
这告诉了我们什么呢?攻击加密钱包的黑客利用系统的主要漏洞:人类的疏忽和傲慢。让我们看看他们是怎么做到的,以及如何保护他们的资金。
2.5亿潜在受害者
美国公司Foley & Lardner进行的一项研究表明,71%的大型加密货币交易商和投资者认为,加密货币盗窃主要原因是来自恶意软件和黑客的袭击。31%的受访者认为黑客活动对全球加密货币行业的威胁非常大。
Image source: Foley & Lardner
据悉,有专家曾对2017年黑客攻击的数据进行分析。总的来看,黑客侵袭主要围绕三部分展开:
1、攻击区块链、加密货币交易所和ico
2、隐藏采矿软件的分发
3、针对用户钱包的攻击
令人惊讶的是,由Hackernoon发表的文章“智能黑客技巧”似乎并未得到广泛普及和警告,根据RT的数据,对于普通加密货币用户来说,似乎显而易见的警告必须反复出现,因为到2024年,加密货币持有者的数量预计将达到2亿。
根据荷兰兴业银行(Ing Bank NV)和益普索(Ipsos)的研究,约9%的欧洲人和8%的美国居民拥有加密货币,25%的人口计划在不久的将来购买数字资产。因此,近25亿潜在受害者可能很快就落入黑客活动领域。
以下是黑客盗取加密货币常用的六种伎俩,以及用户保护加密货币资产需要留心的注意事项。
1、Google Play和App Store上的应用
小贴士:
1、若没有必要,就不必急于安装移动应用程序
2、为智能手机上的所有应用程序添加双因素授权标识
3、一定要检查项目官方网站上的应用程序链接
黑客攻击的受害者通常是使用Android操作系统的智能手机用户,该系统不使用双因素身份验证(2FA)——这不仅需要密码和用户名,还需要用户拥有的一些东西,比如:,一种只有他们才能立即知道或手头有的信息,如物理标记。
据《福布斯》报道,谷歌安卓的开放式操作系统使其更容易受到病毒的攻击,因此比iPhone更不安全。
通常,黑客会在代表某些加密货币资源的情况下,将应用程序添加到Google Play商店。当应用程序启动时,用户输入敏感数据来访问他们的帐户,这就给黑客提供了可乘之机。
美国加密货币交易所Poloniex的交易者,曾经就成为了这类黑客袭击的目标。该交易所下载了黑客在谷歌Play上发布的移动应用程序,Poloniex团队没有为Android开发应用程序,其网站也没有任何移动应用程序的链接。ESET的恶意软件分析师卢卡斯•斯蒂凡科(Lukas Stefanko)表示,在谷歌播放系统中删除该软件之前,已有5500名交易员受到了该恶意软件的影响。
反过来,iOS设备的用户则更经常下载带有隐藏矿商的App Store应用程序。苹果甚至被迫收紧应用程序进入其商店的规定,以某种方式暂停此类软件的发行。不过,用户下载应用后,隐匿的矿工只会减慢移动设备的操作速度,这相比安卓手机黑客对钱包的侵犯与破坏,有着明显的不同。
2、Slack平台上的机器人
小贴士:
1、举报屏蔽Slack机器人
2、无视机器人的活动
3、使用Metacert或Webroot安全机器人、Avira防病毒软件甚至内置的Google安全浏览功能来确保Slack通道的安全。
自2017年年中以来,意图窃取加密货币的Slack已成为增长最快的企业信使的祸害。黑客通常会创建一个机器人,向用户通报密码系统的问题。其目的是强迫用户单击链接并输入私钥。
3、加密货币交易附加组件
小贴士:
1、使用单独的浏览器操作加密货币
2、选择隐身模式
3、不要下载任何密码附加组件
4、单独购买个人电脑或智能手机进行密码交易
5、下载杀毒软件并安装网络保护
为了让用户更轻松地使用钱包进行交易,互联网浏览器提供了自定义用户界面的扩展服务。即使问题不在于附加组件在使用互联网时读取您键入的所有内容,但这些扩展是在JavaScript上开发,这就使得它们极易受到黑客攻击。
原因在于,近年来,随着Web 2.0,Ajax和富Internet应用程序的普及,JavaScript及其随之而来的漏洞已经变得非常普遍。尤其是在印度组织中。此外,由于用户的计算资源,许多扩展可以用于隐藏挖掘。
4、通过短信认证
小贴士:
1、关闭呼叫转发功能,使攻击者无法访问您的数据
2、在文本中发送密码时,不要使用通过短信提供的双因素认证识别,而是使用双因素认证识别软件解决方案。
许多用户选择使用移动身份验证,因为他们已经习惯了这样做,而且智能手机总是在手边。专门从事网络安全的积极技术公司(Positive Technologies)已经证明,通过信令系统7(SS7)协议在全球范围内用密码确认拦截一条短信是多么容易。
专家们能够利用他们自己的研究工具劫持手机短信,该工具利用手机网络的弱点拦截传输中的短信。以Coinbase账户为例进行了演示,该演示震惊了交易所的用户。
表面上看,这是Coinbase存在的漏洞,但真正的问题在于蜂窝系统本身。这就说明,即使是使用2FA,也可以通过SMS直接对任何系统进行访问。
5、公共Wi-Fi
小贴士:
1、切勿透过公共Wi-Fi进行密码交易,即使你使用VPN
