上个月,加密货币用户和NFT艺术家Princess Hypio告诉她的粉丝,在一名诈骗者说服她在Steam上与他们玩游戏后,她损失了17万美元的加密货币和非同质化代币。
当她"无意识地"与诈骗者玩游戏时,他们正在秘密窃取她的资金并入侵她的Discord。她在8月21日的X帖子中写道,同样的策略被用在了她的另外三个朋友身上。
事实证明,这种策略已经存在了一段时间,被一些人称为"试玩我的游戏"诈骗,用户多年来一直以不同形式报告这种诈骗。
Kraken首席安全官Nick Percoco在接受Cointelegraph采访时表示,这些方法已成为越来越流行的攻击方法。
"试玩我的游戏"黑客攻击——工作原理
这种诈骗的加密货币版本涉及黑客加入Discord服务器或群组,潜伏等待,了解用户如何相互交流,然后利用这些信息获得信任。
然后黑客询问用户是否拥有加密货币或NFT,通常假装感兴趣地提问并评估他们可能拥有什么数字资产。在Princess Hypio的案例中,她们拥有一个Milady NFT,这导致她成为目标。
在识别出拥有加密货币的目标后,黑客邀请受害者玩游戏,发送一个带有木马恶意软件的服务器链接,该软件提供对用户设备的访问权限,从而允许他们窃取个人信息并清空任何连接的钱包。
在Princess Hypio的案例中,这个策略涉及通过提供为她购买游戏来说服她在Steam上下载游戏。游戏本身是安全的,但托管游戏的服务器是恶意的。
她表示,这次攻击让她损失了17万美元的加密货币和NFT。
这发生在Discord发布其欺骗性做法政策解释器仅几天后,警告在社交平台上推广或实施金融诈骗违反使用条款。
"这些诈骗不是利用代码;它们利用信任。攻击者冒充朋友并向人们施压,让他们采取通常不会采取的行动,"Percoco说。
"加密货币中最大的漏洞不是代码,而是信任。诈骗者利用社区精神和好奇心来利用善意。"
他说,攻击者将自己嵌入社区,学习文化,模仿可信的朋友,然后发起攻击。
网络安全公司Halborn首席信息安全官Gabi Urrutia告诉Cointelegraph,这种诈骗结合了社会工程学和恶意软件,虽然不是"非常复杂",但因其"滥用社区成员之间的信任"而具有潜伏性。
"它在数量上不如传统钓鱼那么重要,但在Web3和游戏社区中越来越频繁,这些社区中存在点对点信任和高价值资产的混合,"他说。
"这里的关键是心理操纵:攻击者开始成为社区的一部分,学习俚语并将自己介绍为朋友的朋友。"
诈骗者策略超越加密货币
2月,一位用户名为RaeTheRaven的用户在Malwarebytes论坛上发帖称,在他们认为是朋友的人发送链接后,他们成为了这种"臭名昭著诈骗"的受害者。7月开始的Reddit论坛也警告针对游戏玩家的诈骗。
Percoco告诉Cointelegraph,虽然加密货币行业往往首先看到这些诈骗,但这种策略会传播到各个行业。
他说避免被诱骗的最好方法是保持"健康的怀疑态度",通过另一个渠道确认身份,避免运行未知软件,并记住"什么都不做比采取有风险的步骤更安全"。
"如果某事感觉匆忙、慷慨或好得令人难以置信,几乎总是如此。不要信任,要验证。"
Urrutia说,防御这种诈骗涉及非常具体的习惯,比如在签署任何东西之前停下来思考,将权限保持在最低限度,避免使用同一设备进行游戏和管理钱包。
"从社区方面来说,也有很多工作要做:限制陌生人的直接消息,验证新成员,加强安全文化。最终,最大的挑战不是技术性的,而是文化性的,"他补充道。
虚假招聘活动甚至更糟
然而,Percoco还表示,虽然Discord诈骗正在上升,但目前加密货币中更广泛的趋势涉及虚假招聘者。
在最近的6月案例中,一个与朝鲜结盟的威胁行为者用旨在窃取加密货币钱包和密码管理器密码的恶意软件瞄准加密货币行业的求职者。
"Discord冒充正在迅速上升,但我们目前追踪的最广泛趋势是虚假招聘活动,受害者被工作机会引诱并被欺骗点击钓鱼链接,"Percoco说。
与此同时,Urrutia表示Halborn看到的最大数量的诈骗涉及盲签、批准钓鱼和类似的,但它们都是"同一想法的演变:不是通过武力窃取密钥,而是让用户自愿交出密钥"。
"最近一个备受关注的案例是Bybit攻击,攻击者利用盲签名和糟糕的权限管理来清空资金。"