中文

安全事例

Metamask(小狐狸) 🦊

请务必保存好您的密钥,不要丢失,不要告诉他人!

安全问题就一直是让数字货币市场头疼的问题 很多刚刚进踏入币圈的投资者因为本身安全意识不高,都习惯将自己的数字货币放在交易所里,殊不知这样做可能让自己的数字资产有被盗的风险。

导致交易所极易成为黑客攻击的对象。

因为交易所盗窃事件频频发生,许多投资者开始将自己数字资产存储在数字货币钱包里

创建新加密钱包时,会生成以12个英文单词构成的钥助记词,可让您轻松备份和恢复帐户。请务必在安全的地方保存好助记词。一旦助记词被盗用,黑客可以接近您的加密钱包里的所有内容。

助记词不可编辑, 使用最初发行的助记词可以连接加密钱包。如丢失钥助记词,加密钱包将找回。

常见骗局 & 防止方法

随着Web3.0与加密货币的生态体系快速成长,骗局与黑色攻击也在增长。请遵守Metamask使用安全规则安全保护加密钱包。

本文的内容是针对预防加密钱包骗局。 因区块链环境的特殊性一旦被盗,就很难找回钱包。所以我们认为养好安全习惯,事前预防骗局才是最重要的。

给大家整理一下常见的骗局方式:

  • 绝对不要把你的密钥助记词告诉给他人

  • 除MetaMask官方账号外, metamask绝不会用其他账号联系您。

  • 推荐使用硬件钱包(hardware wallet)。

欺骗(Spoofing)

什么是欺骗(Spoofing)?

欺骗(Spoofing)是指一个人伪装成另一个人的行为,通常是为了欺骗某人或实施欺诈或相当恶意的行为。

诈骗犯们还经常使用网络钓鱼的方式,盗取个人信息。同时使用两种方式会很容易被欺骗。随着密码货币和数字资产的人气,这些黑客的精准度也越来越高, 潜在的被害者也不断涌入web3.0世界。

Spoofing 攻击是怎样发生的?

Spoofing 攻击的攻击对象是密钥助记词。使用助记词可以找回钱包, 因此等于给黑客 对个人钥匙与对加密钱包的所有权限。MetaMask是自我监管钱包,这意味着安全保管密钥助记词的责任在于使用者个人。

最典型的 MetaMask 加密钱包欺骗行为如下:

  1. 在推特等公开网络平台向MetaMask提问(请在官方客服帮助中心提问)。

  2. 当用户在公开平台发布需要 MetaMask帮助时, 恶意账户( 使用机器人或至少使用机器人指定用户) 自动识别帖子给用户回复或发送 DM 。

  3. 这个恶意账号与 MetaMask 的官方客服账号特别相似, 带有狐狸标志,会上传看上去比较有专业性帖子或问题答辩。 另一个接近方式是把头像和用户名伪装成MetaMask的开发者。

  4. 盗用身份的黑客自称是MetaMask客服账号或开发者要求密钥助记词。 例如因交易处理发生问题,需要系统账号调查, 并跟用户要求提交密钥助记词。

  5. 黑客一旦拿到密钥助记词,就可以窃取用户的钱包里的资金。

以上情况只是示例,在所有公开平台,例如社交平台、聊天软件、论坛等都会发生类似的事故。

从Spoofing攻击中保护加密钱包的方法?

在web3.0世界 metamask加密钱包是必不可少的。 我们必须要保持警惕心,安全保护加密钱包。

告诉你们防止与识别欺骗行为的方法。

  • MetaMask 除了帮助中心官方支持账号以外, 不会发起私信。要求提供个人联系方式、密钥助记词 等 详细信息的人是潜在的诈骗犯,请忽视或举报。

  • 要保持警惕, 不要轻信他人. 请注意以下情况

    • 要求姓名, 钱包里的资金, 密钥助记词 等 个人信息时

    • 假冒官方账号(例如:@MetaMask)

    • 请求帮助或发起私信时

    • 使用不专业的语言

最重要的是! 千万不要把密钥助记词告诉给陌生人!

Sweepers

Sweeping是?

Sweeping(也称为scavenging)是黑客恶意在用户的钱包里导入脚本,这个脚本会监控向网上的交易,以及临时存储未决交易的mempool或txpool(交易池)。一旦这些脚本扫描识别出目标钱包中的传入或传出交易,它们就会介入,在原始交易完成之前签署新交易。然后,这些资金可以被截获并转移到一个钱包中。

尤其请注意以下两种情况

代码的反应速度比人类要快得多。在你的钱包里以比脚本更快的速度移动你的资金,结果你总是排在第二位。

  • 代码比人们的反应速度快得多。钱包中的恶意脚本每次都会比你更快地将钱包中的资金转移出去。

  • 由于恶意脚本在后台运行,用户很难立即发现自己受到了黑客的攻击。例如,如果处理了一项交易,但收款人未收到货币的话,许多人认为这将是MetaMask的系统问题。

发生Sweeping该怎么办?

对于骗子来说,第一步也是关键的一步是获得你的密钥助记词。要做到这一点,他们可能会进行钓鱼攻击,会使以下几种欺骗方法。伪装成专业开发者或官方MetaMask客服账号,主动帮助您解决问题。另一种方法是建立一个看似可信的Dapp——或者假冒已有的Dapp—并要求用户输入密钥助记词。

*Dapp是去中心化应用,DAPP之于区块链,类似APP之于IOS和Android。

Sweeper恶意脚本一旦侵入加密钱包就很难删除, 需要使用非常复杂方法。 具体方法请点击链接

如何在Sweeping中安全保护加密钱包?

密钥助记词句安全是防止黑客的最佳、最可靠的方法。没有密钥助记词,黑客就无法接近个人密钥 并无法窃取签署资金交易

另一种方法是考虑购买硬件钱包。最常用的硬件钱包有Ledger和Trezor。硬件钱包是把个人密钥保存在线下所以被称为cold wallet冷钱包,硬件钱包永不触网,杜绝来自网络的攻击,保证敏感信息的安全。一个Quallet 冷钱包可创建多个钱包管理你的多种代币,支持BTC,ETH、LTC以及 所有基于ERC-20产生的所有代币。

什么是剪贴板劫持(Clipboard hacking)?

“剪贴板劫持”如何诱骗用户 ?

加密钱包的地址是16进制,而且字符很长, 一般不会像邮箱地址或用户名一样需要记忆或手动输入。

一般用使用最简答的方法, “复制粘贴”,按ctrl+c键进行复制,然后按ctrl+V进行粘贴。包括MetaMask等 许多加密钱包货币都有内置可以复制粘贴的快捷键。这样可以轻松传送货币,只需复制粘贴替他网站的钱包地址就可以轻松完成货币发送

黑客们就是使用复制,粘贴功能窃取钱包。他们使用恶意黑客软件感染你的电脑。当你复制钱包地址代剪贴板中,会自动被黑客劫持,更改发送地址。当你在粘贴地址时,地址已被更改,货币会发送到黑客的钱包里。 因区块链的交易不能返回,一旦发送就不能重新找回货币。

如何避免剪切板劫持?

如何保护自己这还真不是一件简单事情,第一个方法是安装电脑杀毒软件,扫描并删除恶性黑客软件。 但部分恶意软件,用杀毒软件也很难发现,所以另一个解决方案便是在粘贴加密钱包地址之前先验证内容。

  1. 绝对不要把你的密钥助记词告诉给他人,使用密钥助记词可以获取私人密钥,拥有私人密钥可以获得对钱包的所有权限。

  2. MetaMask只通过官方客服账号联系你,并且不会要求密钥助记词。

预防垃圾短信黑客攻击的技巧

小贴士

  • 在discord不要点击未经核实的陌生链接。如果点击一个链接离开Discord的话, 陌生网站可能获取你的个人信息。我们建议在点击任何陌生链接之前,先通过 SucuriVirusTotal 等网站检查器进行扫描。您还可以考虑通过URL扩展,确认所有被缩短的URL。

  • 绝不要下载运行陌生文件

  • 小心个人信息泄漏! 在Discord可以结识新朋友,加入新社区,但与其他社交平台一样,不能随意把个人信息告诉给他人。

  • Discord只通过官方频道发布公告,不会通过用户或连锁邮件发布信息。

如果您认为自已的账户被盗, 请在Trust & Safety 提交举报。

垃圾短信

Discord使用垃圾消息过滤器保护用户体验和平台环境。发送垃圾消息是违反Discord服务条款。Discord会对发送垃圾消息的帐户、机器人或服务器采取制裁行动。如果收到垃圾消息,请立即发送邮件至support@discordapp.com。如果你收到未经请求的消息或朋友请求,点击这里查看隐私设置方法。

为了维护 Discord 用户健康的使用体验,我们可能会针对以下的行为採取适当措施。

私信(DM)中的垃圾消息

收到垃圾信息或广告是一种不好的体验。

以下是针对用户或BOT的一些DM垃圾消息的事例:

  • 未经请求的消息或广告

  • 邀请至服务器

  • 短时间内不断收到同样内容的消息

Join 4 Join

Join 4 Join 是一种服务器的推广手法。主要是与对方约定会加入他们的服务器,但前提必须是他们也要加入自己的服务器。听起来可能是一个与新朋友交流的快速又有趣的方式,但也让Join 4 Join 与垃圾消息间的界限变得较为模糊。

就算收到这些邀请连结对您来说是预期的,但它们还是有可能被侦测并过滤为垃圾消息。因为在短时间内发送大量消息将会影响到 Discord 的服务,并可能导致您的帐户被列为取缔对象。

加入大型服务器&寄出大批好友申请

儘管我们确实希望您在Discord上能找到新的社群及新朋友,我们仍有必要实施速率限制以防垃圾邮件发送者滥用邀请系统。并且,同时加入大量伺服器,或是发出大批好友申请可能会导致您的帐户被视为垃圾邮件发送者。另外为了强制关闭所有发佈垃圾讯息的机器人,我们积极取缔不断加入新伺服器,以及一次向大量用户发送好友申请的帐户。大多数的一般用户不大可能会被垃圾讯息过滤器列为取缔对象,但是假设您发送的好友申请在一瞬间送到伺服器上的几千人的帐户裡,那您的帐户有可能会遭到取缔。

因此,我们建议您能利用 探索公开伺服器 的功能,在一些活跃中的公共伺服器中看看是否有您感兴趣的话题。

垃圾讯息专用伺服器

专门複制粘贴并发送大量讯息,或是鼓励寄送广告讯息给私人用户的伺服器,一般将被我们列为垃圾讯息专用伺服器。

有许多伺服器喜欢使用一些受欢迎的BOT,比如“Pokécord”, 这个BOT已被允许能持续发送符合设定的讯息,因此不会被视为垃圾讯息。但是,如果一个BOT只是单纯的不断的複制粘贴大量讯息,这被视为等于在滥用我们的API,因此这可能会导致我们针对发现问题的用户或伺服器进行处置。因为这不仅是一个系统上的作弊行为,一次发送大量讯息将会对平台带来损害。

钓鱼伺服器

钓鱼伺服器意指承诺免费提供一些好康 (特别是一些需要付费的产品) 以吸引用户加入的伺服器。我们强烈建议您不要参加如此一般有诱饵的活动,因为通常他们的目的是让您的帐号向其他用户发送垃圾讯息。如果您的帐号不幸的成为他们的垃圾讯息发送工具,我们很可能会对所有相关的用户及伺服器进行处置,这包括了帐号停用或终止等处置方式。

机器人帐号(Bot)与自动化机器人帐号(Selfbot)

如果您看到一个机器人帐号 (BOT) 擅自发讯息给您,并要求您按下一个可疑的连结,请不要照他的指示行动并且立即向我们的信任和安全团队 提出检举

Discord从来不会创建任何会以免费赠品引诱用户的BOT。所有以免费当诱饵的BOT都是一场骗局。因此,如果您收到私人讯息告诉您能免费得到任何东西,请您不要犹豫立即向我们检举。

我们完全能体会免费赠品的诱惑,谁不喜欢在超市裡获得免费样品呢?但是我们必须告诉您,在Discord上并没有所谓的免费赠品,这些告诉您可以得到免费赠品的BOT都是有目的的。因此请不要因为一时的衝动而将这些BOT置入您的伺服器裡,让这些BOT得到机会以攻击您的伺服器。如果您不幸的因此失去任何东西,我们没有任何管道能协助您恢复。

如果您在任何的应用程序裡使用“用户Token” (俗称 Selfbot),或是实施帐号自动化,都有可能让您的帐号被停用或终止。我们的自动化系统将会标记任何疑似发送垃圾讯息,或是进行任何可疑活动的每一个伺服器。在深入调查确认事实后,该BOT以及该BOT的所有者的帐号可能会遭到停用或终止。如果您公开了您的BOT开发码,请务必删除该BOT的Token,避免您的BOT遭到不肖人士盗用。

骇客入侵 & 分散式阻断服务 (DDoS) 攻击

如果您觉得自己的帐户已被骇客入侵,实施以下的步骤将能让您重新获得访问权限并保护您的帐户。

1. 重置密码

  • 选择一个混合了大小写字母,以及特殊符号构成的难以猜测的长密码,并确保这组密码不被其他应用程式所使用。我们建议您透过网路上的密码管理器,让您能简单管理帐户和密码。

  • 如果您的帐户似乎已被盗用,请重置您的密码以重新取得一个新的Token。您不应该将您的密码或Token提供给其他用户。并且 Discord 永远不会要求您提供密码或Token。

2. 启用双重验证 (2FA)

双重验证 (2FA) 透过要求您以外部APP验证您确实是此帐户的拥有者,让您的帐户安全更有保障,并有效防止骇客入侵。 我们在这篇文章裡说明如何设置 2FA 的一些基本步骤。如果您因为某些原因无法使用2FA登录,请参阅这篇文章寻求帮助。

3. DDoS (分散式阻断服务) 攻击

分散式阻断服务攻击 (俗称 DDoS) 会不断对遭到攻击的IP位址发送无限个请求,进而让您的数据机或路由器丧失连到网路的功能。如果您相信您的IP位址已遭到骇客DDoS 攻击,您可以採取以下措施:

  • 依照使用说明书上的指示将路由器恢复至原厂设定。

  • 拔掉数据机的插头5-10分钟后重新插电。这将会重设您的IP位址

  • 请向您的网路公司 (ISP) 求助。通常您的 ISP 能够明确告诉您骇客从哪裡攻击您,而 Discord 无法取得这些讯息。

  • 如果您肯定这个骇客攻击是来自 Discord 的用户,请透过 这个连结 向我们的信任和安全团队检举。

  • 请注意:Discord 永远不会将您的IP位址告诉任何用户。不肖用户通常会寄给您一个连结以千奇百怪的理由诱惑您按下,进而获得您的IP位址。因此,请永远不要在不确定的状况下按下可疑的连结,并且随时保持警觉不要轻易公开您的IP位址。

** 출처: Discord

** 更详细信息请参考 Discord

防止Discord 诈骗的方法

1. Discord Nitro 网络钓鱼

Nitro是Discord的付费服务,可以升级表情符号、可以上传更大的文件等等。一般骗子会通过Discord私信你,说他们有一个额外的Discord Nitro帐户,通过他发送的链接来免费申请。会要求你来绑定Steam帐户获取“免费Nitro” ,然后骗子就会盗取你的Steam账号。千万不要上当!

预防网络钓鱼的技巧:

  • 请确认链接和URL,Discord的网页地址尾部是 discord.com

  • 如果你认为自己被Discord Nitro诈骗,请立即更改密码。此外,请设置难度高的密码

  • 开启双重验证(2FA),保护帐户安全。

  • 如果你收到类似的诈骗信息,请联系Discord客服寻求帮助。

  • 请不要点击未知来源的链接或附件。

2. 比特币/加密货币免费赠送骗局

比特币免费赠送骗局是怎样发生的?

骗子假装来自肯德基等合法公司,通过Discord与接近用户。他们说正在举办一场赠品活动,试图说服你去点击链接获得比特币作为奖励。骗子使用不同的借口,但Discord诈骗的套路都是相似的。请注意以下情况:

  • 登录诈骗网站

  • 输入活动码

  • 核实账号

  • 撤销奖励

一旦你点击他们提供的网络钓鱼链接,你就会被带到一个网站,并被要求输入个人信息,如密码、信用卡号码或银行账户等敏感信息。或者你只要点击以下链接,就会自动下载恶意软件。

以下是关于比特币免费赠送诈骗案例截图。

防止Discord 比特币诈骗的方法:

  • 一般让你免费领取货币的信息都是诈骗。如果事情看起来太好而不真实,那就是可疑的。永远记住天下没有白吃的午餐,经保持警惕心。

  • 如果收到诈骗信息,请向Discord客服举报。

** 出处: Trend Micro

** 更详细内容请访问 trend micro

Previous发布NFT项目

Last updated