近日,多家数字货币交易所反映,其收到了敲诈勒索信息。
敲诈者向交易所发送邮件或Telegram消息称,交易所存在漏洞,一旦被攻击,将导致平台无法被打开。若要获取漏洞报告,需向指定的地址支付 *** C。然而,多家交易所表示其支付 *** C后,对方只发送了初步的漏洞报告或没有回应。
目前已有5家交易所反映了这种情况,敲诈者使用不同的邮箱或Telegram ID,向交易所的相关负责人发送敲诈邮件,敲诈金额为0.1 *** C至2 *** C不等,并且使用的是不同的 *** C地址。
截至发稿,据不完全统计,敲诈者地址入账约43.45个 *** C(约40.41万美元)。
诈骗邮件原文,邮件称,“交易所存在‘Web服务整型溢出’漏洞,一旦被攻击,将导致Web服务器崩溃,最终无法访问.....我们能解决此类漏洞问题......若要获取漏洞报告,需支付2个 *** C至指定地址。”
值得注意的是,该邮件还指出,“截至2019年3月1日,已获得了约10万美元的赏金,打赏机构包括KuCoin、CoinSwitch、Phanta *** a、PlatonFinance、Vulnerability Analysis、 STEX Exchange、XCOYNZ Project等。”
负责人表示确实有Telegram用户反映漏洞问题(如下图),但KuCoin并未支付2 *** C赏金,提醒大家不要相信骗子。
截图由KuCoin相关负责人提供
还有一类与Linkedin相关的钓鱼邮件,大致内容如下:
Hey, We have found a nefty integer overflow vulnerability on => https://www.xxx.com
Attacker could alter webserver. I have experience working to upgrade security for large exchanges,like xxx, and would like to propose about this.
May we go on to demonstrate this vuln?
You can verify me as an security researcher on LinkedIn as follows: =>https://www.linkedin.com/in/xxxxx/
邮件包含一个 Linkedin链接,因为在Linkedin 平台上需要登录个人账号才能查看个人信息,所以当交易所工作人员登录自己的 Linkedin 账号,去查看提交漏洞人员(可能是钓鱼攻击者)的 Linkedin 账号信息时,攻击者也能查看到交易所工作人员的信息,攻击者可以通过社交平台获取其他的信息。
近几年,数字货币市场的资金量呈现井喷式爆发,以交易市场操纵风险、交易平台风险、诈骗风险、钱包风险为主的安全风险屡见不鲜。
除了上述的邮件钓鱼攻击外,其他类型的钓鱼攻击包括域名钓鱼(使用与官网相似的网址)、Twitter 1 for 10(支付0.5-10ETH返利5-100ETH)、假APP和假工作人员等。
所谓“钓鱼攻击”,指的是攻击者伪装成可以信任的人或机构,通过电子邮件、通讯软件、社交媒体等方式,以获取收件人的用户名、密码、私钥等私密信息。
此次邮件钓鱼攻击事件中,部分交易所之所以上当受骗,主要由于交易所缺少专业的安全漏洞判断能力,信息孤立导致其无法对当前漏洞的整体情况作出准确判断。他说,
“对于交易所来说,不管对方是不是真的发现了漏洞,只要价格合适,都愿意花钱赌一把。如果赌对了,那么交易所就能少一次被曝光漏洞的公关危机,或少一次平台被攻击的可能;如果赌亏了,亏的也不多,可以承受。骗子就是利用了交易所的这种心理。”
对于初次遭遇钓鱼攻击的交易所,建议,首先,不要一激动就打开攻击者发送的内容里面的任何链接或者文件,可能有木马病毒;其次,在攻击者没有确切告知漏洞细节之前,不要转给攻击者 *** C;最后,如果有交易所无法准确判断和独自处理,可以联系安全公司协助处理。
附(钓鱼邮件原文):
一下几种方式可以辨别钓鱼网站:
1.比较网站内容
假冒网站上的字体样式可能不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开,如果链接多为打不开,极有可能是钓鱼网站哦。
2.查看安全证书
大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,尤其是涉及输入密码等相关界面,如果发现不是“https”开头,应谨慎对待。
3.核对网站域名
假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通常将英文字母I被替换为数字1,如10086被换成I0086这样的仿造域名,或者改变域名后缀等。
4.查验“可信网站”
通过第三方网站身份诚信认证辨别网站真实性。不少网站已在网站首页安装了第三方网站身份诚信认证——“可信网站”,可帮助判断网站的真实性。我们在 *** 交易时应养成查看网站身份信息的使用习惯。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。