一年窃取50万美元的加密货币,黑客如何做到的?

受近期市场避险资产需求及短期资金推动等因素影响,沉寂8个月后,比特币价格再次大幅冲高,一度突破8000美元关口。而在市场大呼过瘾的同时,小编注意到,近日,全球第二大加密货币交易所币安公开表示,其热钱包中有7000枚比特币被盗,引发市场紧张。

事实上,币安已三次遭黑客“光顾”。近年来,更是有多家加密货币交易所受黑客攻击,部分甚至因此破产。由此,加密货币交易所如何更好地保护相应资产以防范失窃风险等隐患也引发市场广泛关注。

用户的比特币被盗似乎已经成为加密货币世界的诅咒。但这种盗窃行为究竟是如何发生的呢?一名加密货币黑客说明了窃取他人加密货币是多么容易的一件事。

加密货币很难追踪。在大多数情况下,它们也是不受监管的,并且基于去中心化的区块链网络。这也意味着被盗的加密资产基本上不可能寻回,这使得这类资产成为黑客的首要目标。Daniel就是这样一个加密货币黑客,Daniel并非他本名。他说明了自己是如何在短短一年时间里窃取了价值50万美元的加密资产的。“但我只攻击了大约20个人,所以我不是特别活跃。”

欺骗电信公司易如反掌

当Daniel盗取别人的加密货币时,他主要采取的手段是“SIM卡互换骗局”。 Daniel说,欺骗大型电信公司是很容易的。当黑客打电话给受害者的电信公司,并谎称是受害者,声称SIM卡已丢失,要求将受害者的电话号码转移到黑客控制的电话号码时,就是受害者资金被盗的第一步。

大型电信公司的大多数客户服务都应该签署了一个协议,并进行控制检查,以将这种欺诈的风险降到最低,但是Daniel说,说服客服转移电话号码并不难。“说服客服的方法有很多。例如,你可以打电话假装在Tele2(一家瑞典电信公司)工作,请他们帮你转接一个号码。”那么Daniel在这方面是否很擅长呢?“是的,几个电话过后你就能学会伪装。”

双因素认证?不总是管用

一旦号码被转移,黑客就会访问受害者的Gmail或Outlook帐户,输入受害者的电子邮件地址,然后点击“忘记密码”。然后,黑客选择通过语音将验证码发送到受害者的手机号码——毕竟号码已经被黑客控制。这实际上是一个额外的功能,可以帮助视力受损等有特殊需要的人重置他们的账户密码。

通过这种方式,双因素认证在黑客面前也变得微不足道。“我认为这是粗心大意造成的。这么多资金都是通过这种方式盗取的。但依然没有得到足够的重视,这对我们来说是一个优势。”

据Daniel介绍,他在人们的Gmail邮箱中多次发现了加密货币的私钥。这些私钥有的保存为草稿,有时他们也会通过邮件把私钥发给自己。一旦Daniel获得了私钥,他就可以轻松地登录到一个数字加密钱包,窃取里面所有的加密货币。他说,他有时也会找到不同加密货币交易所的登录信息,然后他就登录进去,偷走受害者的资产。

那么黑客是否会因为窃取他人的资产而感到内疚呢?“你什么都感觉不到。你从来没有见过这个人,而且一切都是匿名的,所以你不会有罪恶感。”他还说,他认为,如果人们没有更好地保护自己,那只能怪他们自己。

加密、杀毒软件和多因素识别只能在一定程度上保证你的资产安全,所以,大家伙儿在数字资产上一定要保护好自己的私钥,不要将电话号码与邮箱绑定,不要轻易点击链接,不去下载任何密码附加组件,也不要在公共WIFI下输入密码私钥等。

除了这些,对于黑客窃取用户钱包的行为,我们还该做那些针对性的防护呢?

手机中Google Play和App商店的应用程序

建议:

- 不要轻易安装不常使用的移动应用程序

- 为智能手机上的所有应用程序添加双因素授权标识

- 一定要检查是否与官方网站上的应用程序链接一致(最好从官网上下载手机APP)

遭到黑客攻击的受害者通常使用带有安卓操作系统的智能手机,因为他们不使用双因素身份验证。要通过这种验证,不仅需要提供密码和用户名,还需要提交只有用户和系统知道的“暗号”,例如物理验证标记等可以立即获得的信息。《福布斯》认为,谷歌安卓的开放式操作系统易感染病毒,不如苹果手机安全。黑客可以以某些加密货币资源的名义,将应用程序添加到Google Play商店。当下载、启动该应用程序后,用户为访问帐户会输入敏感数据,从而给黑客访问用户账户并获取信息的机会。

这类黑客攻击最有名的的事件是,美国加密货币交易所Poloniex用户在Google Play应用商店下载了黑客设置的Poloniex虚假手机版官网APP。事实上,Poloniex团队没有开发安卓版应用程序,其官网上没有任何移动应用程序的链接。ESET恶意软件分析师Lukas Stefanko表示,在Google Play删除该假冒APP之前,已有5,500名交易者下载并受到该恶意软件影响。

反过来,苹果iOS系统用户更容易在App Store下载隐藏挖矿劫持应用程序。苹果公司甚至为此严控申请参入其商店的规则,以便阻止此类软件的传播。但是,这与前者在危害上完全不等价,挖矿只会减慢计算机操作速度,而侵入钱包的破坏是无法比拟的。

Slack团队协作平台机器人

建议:

-报告Slack机器人(bots)活动并予以阻止

-忽视机器人活动

- 使用Metacert或Webroot安全机器人,Avira防病毒软件,甚至内置谷歌安全浏览功能来保护Slack通道

自2017年年中以来,窃取加密货币的Slack机器人不断增加。常见的情况是,黑客创建一个机器人,通知用户他们的密码存在问题,继而强制用户点击其链接并输入私钥。不过,这些机器人一出现,多就被用户识破。即使加密社区通常做出快速反应,黑客也会设法赚一些钱。

黑客Slack攻击的最成功的“案例”应该是Enigma集团。攻击者借用Enigma名字,假称进入ICO预售阶段,在Slack平台推出一个机器人,最终欺诈了总计50万美元以太币。

加密货币交易插件

建议:

- 使用单独的浏览器进行加密货币操作

- 选择隐身模式

- 不要下载任何加密插件

- 单独使用一个电脑或智能手机,仅用于加密交易

- 下载防病毒软件并安装网络保护

浏览器为方便用户使用交易所和钱包,提供了各种自定义扩展界面。这些附加插件读取你在使用互联网时输入的所有内容,不过真正问题甚至不在于此,而是这些扩展程序都是在JavaScript上开发的,这意味着它们极易受到黑客攻击。近年来,随着互联网2.0的到来,Ajax和互联网应用程序普遍使用的JavaScript,导致的漏洞普遍存在于组织中,尤其是印度企业。此外,黑客盯上了计算机算利,扩展应用可能存在隐藏挖矿。

短信认证

建议:

- 关闭呼叫转移,使攻击者无法访问你的数据

- 当用文本发送密码时,禁止借助短信来验证双因素授权,而是使用双因素识别软件

许多用户习惯选择移动身份验证,因为手机能随时待命。网络安全公司Positive Technologies已经证明,在全球范围内通过七号信令系统(signaling System 7)协议用密码确认来拦截短信是多么容易。专家们完全能够使用工具劫持短信,即利用蜂窝网络中的弱点拦截传输中的短信。该公司还用Coinbase帐户作了示例展示,交易所的用户对此都感到震惊。Positive Technologies表示,虽然一眼看上去,这像Coinbase的漏洞,但真正的弱点在于蜂窝系统本身。这证明了:即使使用双重因素授权认证,也可以通过短信劫持直接访问任何系统。

公共Wi-Fi

建议:

- 即使使用VPN时,也不要通过公共Wi-Fi进行加密货币交易

- 定期更新路由器固件,因为硬件制造商会不断更新防止密钥替换的技术

去年10月,在使用路由器Wi-Fi保护访问(WPA)协议中,发现了一个不可恢复的漏洞。执行基本KRACK攻击(重新安装密钥的攻击)后,用户的设备会连接到黑客的Wi-Fi网络。用户通过网络下载或发送的所有信息都可供攻击者使用,包括加密钱包的私钥。对于火车站、机场、酒店和大量人群出现地方的公共Wi-Fi,这个问题尤其迫切。

克隆网站和网络钓鱼

建议:

- 永远不在没有HTPPS协议的加密货币相关网站交流互动

- 使用谷歌浏览器Chrome时,自定义显示子菜单地址的扩展名

- 当收到任何与加密货币相关的资源消息时,将链接复制到浏览器地址栏,然后将其与原始站点地址进行比较

- 如果出现可疑情况,立即关闭窗口并删除收件箱中的信件

自“互联网革命”以来,人们已经知道这些古老却典型的黑客攻击方法,但是似乎它们仍然奏效。对于克隆网站,攻击者拷贝原始网站所有内容,但网站地址缺少了一个字母。这样做是为了引诱用户访问克隆网站并强制他们输入帐户密码或密钥。对于钓鱼网站,攻击者同样复制官方项目电子邮件并发送给潜在受害者,但实际上只要你点击链接并输入个人数据,信息就被盗取。Chainalysis研究显示,诈骗者已利用这种方法窃取了2.25亿美元加密货币。

推荐阅读更多精彩内容