7月初，惡意軟件研究技術(shù)網(wǎng)Bleeping Computer發(fā)現(xiàn)了意在欺詐230萬比特幣錢包的可疑活動(dòng)。攻擊者使用惡意軟件“剪貼板加密劫持”，當(dāng)用戶使用剪切、復(fù)制和粘貼操作功能時(shí)，這種惡意軟件會(huì)讀取用戶剪貼板上的數(shù)據(jù)，并用攻擊者的錢包地址替換了受害者的錢包地址。該劫持軟件共監(jiān)視了超過230萬個(gè)加密貨幣地址。

早在去年11月，卡巴斯基實(shí)驗(yàn)室已經(jīng)預(yù)測(cè)到了這種黑客攻擊的潛在可能，并且沒多久此類攻擊就成為現(xiàn)實(shí)。目前來說，這是竊取用戶信息或資產(chǎn)最普遍的攻擊方式之一。在惡意軟件攻擊中，針對(duì)個(gè)人帳戶和錢包的攻擊估計(jì)占總體的20%。此外。據(jù)Cointelegraph 7月12日?qǐng)?bào)道，卡巴斯基實(shí)驗(yàn)室指出，網(wǎng)絡(luò)犯罪分子在過去一年中通過社會(huì)工程攻擊[1]盜竊了21,000個(gè)以太坊，價(jià)值超過9000萬美元。

問題所在之處

上述提到的Bleeping Computer 門戶網(wǎng)站希望公眾提高計(jì)算機(jī)知識(shí)，鼓勵(lì)投資者至少遵循一些基本規(guī)則，以確保足夠的安全保護(hù)：

大多數(shù)技術(shù)支持問題不在于計(jì)算機(jī)，而在于用戶不知道構(gòu)成所有計(jì)算問題的‘基本概念’，比如硬件、文件和文件夾、操作系統(tǒng)、互聯(lián)網(wǎng)和應(yīng)用程序等概念。

許多加密貨幣專家都持有相同觀點(diǎn)。投資者和企業(yè)家Ouriel Ohayon在專門的Hackernoon博客中強(qiáng)調(diào)用戶的個(gè)人責(zé)任：

沒錯(cuò)，你的資產(chǎn)由你掌控，但是為此你必須付出代價(jià)——對(duì)自己資產(chǎn)的安全負(fù)責(zé)。由于大多數(shù)人不是安全專家，新聞報(bào)道中的安全問題他們可能不了解。不過，我總是驚訝，為什么周圍有那么多人，甚至精通技術(shù)的人，都沒有采取基本的安全措施。

Autonomous Research研究中心的金融科技戰(zhàn)略總監(jiān)Lex Sokolin表示，每年都有成千上萬的人落入克隆網(wǎng)站和普通網(wǎng)絡(luò)釣魚的陷阱，他們“自愿”向欺詐者發(fā)送2億美元的加密貨幣，而且永遠(yuǎn)沒有找回的機(jī)會(huì)。

這些可以給我們帶來什么啟示?黑客之所以能夠成功攻擊加密錢包，他們利用的主要漏洞來自人們的疏忽和傲慢。

問題嚴(yán)重性：2.5億潛在受害者

美國公司Foley&Lardner進(jìn)行的一項(xiàng)研究表明，71%大型加密貨幣交易商和投資者認(rèn)為加密貨幣盜竊給市場(chǎng)帶來的負(fù)面影響最強(qiáng)，31%的受訪者認(rèn)為黑客對(duì)全球加密貨幣行業(yè)活動(dòng)的威脅非常高。

Hackernoon專家分析了2017年黑客攻擊的有關(guān)數(shù)據(jù)，并將黑客攻擊分為三大類別：

攻擊區(qū)塊鏈、加密貨幣交易所和ICO;

散布挖礦劫持軟件;

攻擊用戶錢包。

令人驚訝的是，Hackernoon發(fā)表的文章《揭秘黑客技巧》(Smart hacking tricks)似乎沒有得到廣泛普及。對(duì)于普通加密貨幣用戶而言，似乎顯而易見的警告必須一次又一次地重復(fù)，而加密貨幣持有者的數(shù)量預(yù)計(jì)到2024年將達(dá)到2億。

ING銀行和益普索的研究顯示，約9%歐洲人和8%美國居民擁有加密貨幣，25%的民眾計(jì)劃在近期購買數(shù)字資產(chǎn)。因此，約有25億潛在受害者可能會(huì)落入黑客的陷阱中。

下面，讓我們看看黑客會(huì)采取哪些手段攻擊錢包，以及我們?nèi)绾伪Ｗo(hù)自己的加密資產(chǎn)。

盜竊錢包方法一：手機(jī)中Google Play和App商店的應(yīng)用程序

建議:

不要輕易安裝不常使用的移動(dòng)應(yīng)用程序

為智能手機(jī)上的所有應(yīng)用程序添加雙因素授權(quán)標(biāo)識(shí)

一定要檢查是否與官方網(wǎng)站上的應(yīng)用程序鏈接一致(最好從官網(wǎng)上下載手機(jī)APP)

遭到黑客攻擊的受害者通常使用帶有安卓操作系統(tǒng)的智能手機(jī)，因?yàn)樗麄儾皇褂秒p因素身份驗(yàn)證。要通過這種驗(yàn)證，不僅需要提供密碼和用戶名，還需要提交只有用戶和系統(tǒng)知道的“暗號(hào)”，例如物理驗(yàn)證標(biāo)記等可以立即獲得的信息?！陡２妓埂氛J(rèn)為，谷歌安卓的開放式操作系統(tǒng)易感染病毒，不如蘋果手機(jī)安全。黑客可以以某些加密貨幣資源的名義，將應(yīng)用程序添加到Google Play商店。當(dāng)下載、啟動(dòng)該應(yīng)用程序后，用戶為訪問帳戶會(huì)輸入敏感數(shù)據(jù)，從而給黑客訪問用戶賬戶并獲取信息的機(jī)會(huì)。

這類黑客攻擊最有名的的事件是，美國加密貨幣交易所Poloniex用戶在Google Play應(yīng)用商店下載了黑客設(shè)置的Poloniex虛假手機(jī)版官網(wǎng)APP。事實(shí)上，Poloniex團(tuán)隊(duì)沒有開發(fā)安卓版應(yīng)用程序，其官網(wǎng)上沒有任何移動(dòng)應(yīng)用程序的鏈接。ESET惡意軟件分析師Lukas Stefanko表示，在Google Play刪除該假冒APP之前，已有5,500名交易者下載并受到該惡意軟件影響。

反過來，蘋果iOS系統(tǒng)用戶更容易在App Store下載隱藏挖礦劫持應(yīng)用程序。蘋果公司甚至為此嚴(yán)控申請(qǐng)參入其商店的規(guī)則，以便阻止此類軟件的傳播。但是，這與前者在危害上完全不等價(jià)，挖礦只會(huì)減慢計(jì)算機(jī)操作速度，而侵入錢包的破壞是無法比擬的。

盜竊錢包方法二：Slack團(tuán)隊(duì)協(xié)作平臺(tái)機(jī)器人

建議

報(bào)告Slack機(jī)器人(bots)活動(dòng)并予以阻止

忽視機(jī)器人活動(dòng)

使用Metacert或Webroot安全機(jī)器人，Avira防病毒軟件，甚至內(nèi)置谷歌安全瀏覽功能來保護(hù)Slack通道

自2017年年中以來，竊取加密貨幣的Slack機(jī)器人不斷增加。常見的情況是，黑客創(chuàng)建一個(gè)機(jī)器人，通知用戶他們的密碼存在問題，繼而強(qiáng)制用戶點(diǎn)擊其鏈接并輸入私鑰。不過，這些機(jī)器人一出現(xiàn)，多就被用戶識(shí)破。即使加密社區(qū)通常做出快速反應(yīng)，黑客也會(huì)設(shè)法賺一些錢。

黑客Slack攻擊的最成功的“案例”應(yīng)該是Enigma集團(tuán)。攻擊者借用Enigma名字，假稱進(jìn)入ICO預(yù)售階段，在Slack平臺(tái)推出一個(gè)機(jī)器人，最終欺詐了總計(jì)50萬美元以太幣。

盜竊錢包方法三：加密貨幣交易插件

建議

使用單獨(dú)的瀏覽器進(jìn)行加密貨幣操作

選擇隱身模式

不要下載任何加密插件

單獨(dú)使用一個(gè)電腦或智能手機(jī)，僅用于加密交易

下載防病毒軟件并安裝網(wǎng)絡(luò)保護(hù)

瀏覽器為方便用戶使用交易所和錢包，提供了各種自定義擴(kuò)展界面。這些附加插件讀取你在使用互聯(lián)網(wǎng)時(shí)輸入的所有內(nèi)容，不過真正問題甚至不在于此，而是這些擴(kuò)展程序都是在JavaScript上開發(fā)的，這意味著它們極易受到黑客攻擊。近年來，隨著互聯(lián)網(wǎng)2.0的到來，Ajax和互聯(lián)網(wǎng)應(yīng)用程序普遍使用的JavaScript，導(dǎo)致的漏洞普遍存在于組織中，尤其是印度企業(yè)。此外，黑客盯上了計(jì)算機(jī)算利，擴(kuò)展應(yīng)用可能存在隱藏挖礦。

盜竊錢包方法四：短信認(rèn)證

建議：

關(guān)閉呼叫轉(zhuǎn)移，使攻擊者無法訪問你的數(shù)據(jù)

當(dāng)用文本發(fā)送密碼時(shí)，禁止借助短信來驗(yàn)證雙因素授權(quán)，而是使用雙因素識(shí)別軟件

許多用戶習(xí)慣選擇移動(dòng)身份驗(yàn)證，因?yàn)槭謾C(jī)能隨時(shí)待命。網(wǎng)絡(luò)安全公司Positive Technologies已經(jīng)證明，在全球范圍內(nèi)通過七號(hào)信令系統(tǒng)(signaling System 7)協(xié)議用密碼確認(rèn)來攔截短信是多么容易。專家們完全能夠使用工具劫持短信，即利用蜂窩網(wǎng)絡(luò)中的弱點(diǎn)攔截傳輸中的短信。該公司還用Coinbase帳戶作了示例展示，交易所的用戶對(duì)此都感到震驚。Positive Technologies表示，雖然一眼看上去，這像Coinbase的漏洞，但真正的弱點(diǎn)在于蜂窩系統(tǒng)本身。這證明了：即使使用雙重因素授權(quán)認(rèn)證，也可以通過短信劫持直接訪問任何系統(tǒng)。

盜竊錢包方法五：公共Wi-Fi

建議：

即使使用VPN時(shí)，也不要通過公共Wi-Fi進(jìn)行加密貨幣交易

定期更新路由器固件，因?yàn)橛布圃焐虝?huì)不斷更新防止密鑰替換的技術(shù)

去年10月，在使用路由器Wi-Fi保護(hù)訪問(WPA)協(xié)議中，發(fā)現(xiàn)了一個(gè)不可恢復(fù)的漏洞。執(zhí)行基本KRACK攻擊(重新安裝密鑰的攻擊)后，用戶的設(shè)備會(huì)連接到黑客的Wi-Fi網(wǎng)絡(luò)。用戶通過網(wǎng)絡(luò)下載或發(fā)送的所有信息都可供攻擊者使用，包括加密錢包的私鑰。對(duì)于火車站、機(jī)場(chǎng)、酒店和大量人群出現(xiàn)地方的公共Wi-Fi，這個(gè)問題尤其迫切。

盜竊錢包方法六：克隆網(wǎng)站和網(wǎng)絡(luò)釣魚

建議：

永遠(yuǎn)不在沒有HTPPS協(xié)議的加密貨幣相關(guān)網(wǎng)站交流互動(dòng)

使用谷歌瀏覽器Chrome時(shí)，自定義顯示子菜單地址的擴(kuò)展名

當(dāng)收到任何與加密貨幣相關(guān)的資源消息時(shí)，將鏈接復(fù)制到瀏覽器地址欄，然后將其與原始站點(diǎn)地址進(jìn)行比較

如果出現(xiàn)可疑情況，立即關(guān)閉窗口并刪除收件箱中的信件

自“互聯(lián)網(wǎng)革命”以來，人們已經(jīng)知道這些古老卻典型的黑客攻擊方法，但是似乎它們?nèi)匀蛔嘈А?duì)于克隆網(wǎng)站，攻擊者拷貝原始網(wǎng)站所有內(nèi)容，但網(wǎng)站地址缺少了一個(gè)字母。這樣做是為了引誘用戶訪問克隆網(wǎng)站并強(qiáng)制他們輸入帳戶密碼或密鑰。對(duì)于釣魚網(wǎng)站，攻擊者同樣復(fù)制官方項(xiàng)目電子郵件并發(fā)送給潛在受害者，但實(shí)際上只要你點(diǎn)擊鏈接并輸入個(gè)人數(shù)據(jù)，信息就被盜取。Chainalysis研究顯示，詐騙者已利用這種方法竊取了2.25億美元加密貨幣。

加密劫持、隱藏挖礦和常識(shí)

好消息是，由于有越來越多的聲音反對(duì)加密貨幣服務(wù)以及用戶自身水平的提高，黑客逐漸失去了“野蠻”攻擊錢包的興趣。不過，他們將焦點(diǎn)轉(zhuǎn)移到隱藏挖礦上。

根據(jù)邁克菲實(shí)驗(yàn)室(McAfee Labs)研究數(shù)據(jù)，在2018年第一季度，全球共有290萬個(gè)用于隱藏挖礦的病毒軟件樣本，這比2017年最后一個(gè)季度增加了625%。這種方法也被稱為“加密劫持”。由于操作簡(jiǎn)單，黑客大量使用此法，并放棄了傳統(tǒng)的攻擊方式勒索軟件。

壞消息是，黑客攻擊并沒有因此減少。網(wǎng)絡(luò)安全公司Carbon Black專家透露，截至2018年7月，暗網(wǎng)上大約有12,000個(gè)交易平臺(tái)，向黑客兜售約34,000種加密劫持軟件。在這樣的平臺(tái)上，惡意攻擊軟件的平均售價(jià)僅為224美元。

那么加密劫持軟件是怎么進(jìn)入我們的電腦中的呢?讓我們回到本文最開始提到的“剪貼板加密劫持”。6月27日，有用戶開始在Malwarebytes論壇上留言稱：一個(gè)名為All-Radio 4.27 Portable的程序無意中安裝在他們的設(shè)備上，但是始終無法將其刪除。雖然這個(gè)軟件表面上是一個(gè)無害且受歡迎的內(nèi)容查看器，但是實(shí)際上黑客早已將它修改為有害軟件。

這個(gè)軟件包里包含隱藏挖礦程序，但它只會(huì)減慢計(jì)算機(jī)的運(yùn)行速度。而用于監(jiān)控剪貼板的程序，已經(jīng)收集了2,343,286個(gè)潛在受害者的比特幣錢包。這是黑客第一次展示如此龐大的加密貨幣所有者數(shù)據(jù)庫，而到目前為止，這些程序包含的替換地址非常有限。

在更換地址后，用戶“自愿”將資金轉(zhuǎn)移到攻擊者的錢包地址。要想保護(hù)資金不受此影響，唯一方法是在訪問網(wǎng)站時(shí)仔細(xì)檢查輸入的地址。雖然這有些麻煩，但是安全可靠，而且可能成為一種有用的習(xí)慣。

在詢問All-Radio 4.27 Portable受害者后，可以發(fā)現(xiàn)：惡意軟件都是由于人們不合理的操作行為而進(jìn)入了計(jì)算機(jī)。正如Malwarebytes和Bleeping Computer專家們所發(fā)現(xiàn)的那樣，人們使用了程序和游戲的免費(fèi)破解版，以及像KMSpico這樣的Windows激活器。也就是說，黑客選擇了那些有意識(shí)地違反版權(quán)和安全規(guī)則的用戶。

知名Mac惡意軟件專家帕特里克•瓦德爾(Patrick Wardle)經(jīng)常在他的博客中寫道，許多針對(duì)普通用戶的病毒都非常愚蠢，而成為這種黑客攻擊的受害者也同樣愚蠢。因此，最后，我們想強(qiáng)調(diào)谷歌小企業(yè)顧問布萊恩•華勒斯(Bryan Wallace)的建議：

采用加密、防病毒軟件和多因素識(shí)別防范措施，只會(huì)在某種程度上保護(hù)你的資產(chǎn)安全。真正關(guān)鍵的是采取預(yù)防措施并掌握簡(jiǎn)單的常識(shí)。

注釋：社會(huì)工程攻擊：一種欺詐他人以收集信息、行騙和入侵計(jì)算機(jī)系統(tǒng)的行為，通過與他人的合法地交流，使其心理受到影響，做出某些動(dòng)作或者是透露一些機(jī)密信息的方式。包括木馬植入、群發(fā)誘導(dǎo)、釣魚技術(shù)、非交互式技術(shù)等。

關(guān)鍵詞：