7月初,报道称Bleeping Computer监测到试图对230个万比特币钱包实施诈骗的可疑活动,这些钱包有被黑客攻击的可能。攻击者使用被称为“剪贴板劫持者(clipboard hijackers)”的恶意软件,其在剪贴板中运行,攻击者可以替换被复制的钱包地址。

早在去年11月,卡巴斯基( Kaspersky Lab)已经预测到了此类黑客攻击的威胁,并没多久就成为现实了。目前,此类攻击是窃取用户信息或资金的最普遍黑客攻击类型之一,占到对个人帐户和钱包的恶意软件攻击总数的20%。这个数字都还不止。 7月12日,Cointelegraph发布了卡巴斯基实的报告指出,犯罪分子在过去一年中,通过社会工程计划能够窃取超过900万美元的以太坊(ETH)。

 Carbon Black

图片来源 : Carbon Black

问题概要

上文提到的Bleeping Computer门户,致力于促进计算机文化,其写道为了确保充分防范,遵循几点基本原则是非常重要的:

“大部分技术支持问题都并非来自计算机,而是用户并不了解计算机各种问题背后的 ‘基本概念’ 。这些概念包括硬件,文件和文件夹,操作系统,互联网和应用程序。”

许多加密货币专家都持有同样的观点。他们中之一的投资者和企业家Ouriel Ohayon,在专业博客Hackernoon中强调用户的个人责任:

"没错,你的确是在控制你自己的资产,而相对应要付出的代价是,你也要掌控自己的安全。大多数人都不是安全专家,于是大多数人都是暴露在风险中的,且对风险并不知情。我有时候都有些吃惊,有那么多人,甚至很多科技达人,都不进行最基本的安全防护措施。"

据Autonomous Research的金融科技战略总监Lex Sokolin表示,每年都有成千上万的人成为克隆网站和普通网络钓鱼的受害者,他们心甘情愿地送给诈骗者价值2亿美元的加密货币,有去无回。

这意味着什么呢?攻击加密钱包的黑客正在利用系统中的主要漏洞 - 人类的疏忽和自以为是。让我们看看黑客们是如何做到的,以及我们如何保护资金。

2.5亿潜在受害者

美国公司Foley&Lardner进行的一项研究表明,71%的大型加密货币交易者和投资者认为加密货币盗窃是影响市场的最大风险。 31%的受访者认为黑客活动对全球加密货币行业的威胁极高。

Foley & Lardner

图片来源: Foley & Lardner

Hackernoon的专家对2017年黑客攻击数据进行了分析,可以将攻击分为三类:

- 针对区块链,加密货币交易所和ICO的攻击;

- 隐藏挖矿(hidden mining)软件发布;

- 针对用户钱包的攻击。

令人意外的是,由Hackernoon发表的文章 "智能黑客技巧(Smart hacking tricks)" 似乎并没有得到普及,而必须一再重复对于普通加密货币用户来说看上去最明显的警告,因为根据RT的数据,加密货币持有者的数量预计在2024年将达到2亿。

ING Bank NV和Ipsos进行的研究(该研究未涵盖东亚地区)表明,大约9%的欧洲人和8%的美国居民拥有加密货币,25%的人群计划在不久的将来购买数字资产。 因此,将近25亿潜在受害者可能很快被黑客们盯上。

Google Play和App Store中的应用程序

建议
- 不要随便安装不太需要的手机应用程序;
-在智能手机上对应用程序添加双因素身份验证;
-务必查看程序官网上的应用程序连接。

被攻击的受害者通常是使用安卓操作系统的智能手机用户,因其不使用双因素身份认证(2FA) 。2FA是指不仅需要密码和用户名,还需要一些跟用户有关的信息,即只有他们自己知道的信息,或者在手边的信息,例如电子口令牌。据福布斯称,谷歌安卓的开放式操作系统更容易被病毒侵袭,因此不如iPhone安全。黑客们将某些代表特定加密货币的应用程序添加到Google Play商店。开启应用程序后,用户们输入敏感数据以访问其帐户,黑客趁机也可以访问。

这类黑客攻击最著名的受害者之一是美国加密货币交易所Poloniex的交易者,他们下载了黑客在Google Play上发布的移动应用程序,冒充该流行加密货币交易所的移动网关。 Poloniex团队并没有开发安卓应用程序,其网站也没有任何移动设备应用程序的链接。据ESET的恶意软件分析师Lukas Stefanko表示,在该软件被从Google Play删除之前,已有5500名交易者受到恶意软件的影响。

另一方面,iOS设备的用户更常下载带有隐藏矿工的App Store应用程序。苹果公司甚至被迫收紧软件进入其商店的规则,以便以某种方式暂停此类软件的发行。由于矿工只会减慢计算机的运行速度,因此与直接攻击钱包造成的破坏是无法比拟的。

Slack机器人

建议:
-举报Slack机器人,将其屏蔽;
-忽略机器人的活动;
-保护 Slack频道,例如使用 Metacert 或Webroot 安全机器人, Avira 杀毒软件甚至内置谷歌安全浏览(Google Safe Browsing)。

自2017年年中以来,试图窃取加密货币的Slack机器人(Slack Bots)已经成为增长最快的头号企业聊天软件杀手。 更常见的情况是,黑客们创建一个机器人,通知用户他们的加密货币出现问题。 其目标是强制某人点击该链接并输入私钥。 就在这些机器人出现时,它们马上被用户屏蔽。但即使社区通常能做出快速反应,且黑客总是要离场的,但后者也成功赚了些银子。

Steemit @sassal

图片来源: Steemit @sassal

Enigma集团遭到的黑客攻击,被认为是通过Slack进行的最大规模的攻击。 袭击者使用正在举行预售的Enigma的名号,推出了一个Slack机器人,并最终从上当受骗的用户手中骗到价值50万美金的以太坊。

加密货币交易附件

建议
-进行加密货币相关操作时,使用单独浏览器;
-选择匿名模式;
-不要下载任何加密货币附件;
-使用单独的电脑或者智能手机,专供加密货币交易;
-下载杀毒软件,安装网络保护软件。

网络浏览器提供扩展以供用户自定义界面,更轻松地使用交易所和钱包。问题甚至不是这些附件能够读取你在使用互联网时输入的所有内容,而是这些扩展是在JavaScript上开发的,意味着其极易受到黑客攻击。原因在于,近年来,随着Web 2.0Ajax丰富的互联网应用程序的普及,JavaScript及其带来的漏洞在各组织中变得极为常见,尤其是印度的组织中。此外,由于用户的计算能力资源,许多扩展可被隐蔽挖矿利用。

通过手机短信验证

建议:
-关闭呼叫转移功能,让攻击者无法获取你的数据;
-如果密码被发送到手机短信上,就不要用SMS作为双因素验证之一,使用其它双因素验证软件解决方案。

许多用户都选择使用手机身份验证,因为他们习惯了,智能手机随时都在身边。 Positive Technologies是一家专门从事网络安全的公司,它已证明通过信号系统7(SS7)协议,在全球范围内拦截带密码确认内容的短信是多么容易。专家们能够使用自己的研究工具截获短信,利用蜂窝网络中的弱点拦截传输中的短信。他们使用Coinbase的账户进行了演示,使交易所的用户大为震惊。Positive Technologies表示,乍一看,这像是Coinbase的漏洞,但真正的弱点在于蜂窝系统本身。这证明就算使用2FA,也可以通过SMS直接访问任何系统。

公共Wi-Fi

建议:
-永远不要在公共Wi-Fi 环境下交易加密货币,即使在用 VPN;
-经常性的更新你自己的路由器固件,因为硬件制造商会不定期的发布更新以防止密码置换。

早在去年10月,在路由器的Wi-Fi保护访问(WPA)协议中,就发现了一个不可恢复的漏洞。在执行基本KRACK攻击(重新安装密钥的攻击)之后,用户的设备重新连接到与黑客相同的的Wi-Fi网络中。用户通过网络下载或发送的所有信息都可供攻击者使用,包括来自加密货币钱包的私钥。对于火车站,机场,酒店和人流量大的区域的公共Wi-Fi网络来说,这个问题尤其迫切。

克隆网站和钓鱼软件

建议:
-永远不要碰没有HTPPS协议的加密货币相关网站;
-使用谷歌浏览器时,定制扩展名,例如Cryptonite — 显示的是子菜单的地址;
-当收到任何来自加密货币相关的资源的信息时,将链接复制到浏览器地址栏,然后跟原始网址对比一下;
-如果有些东西看起来可疑,关闭窗口,删除收件箱的邮件。

自“网络革命”以来,这种古老的黑客攻击方法已经开始了,但似乎现在仍然管用。第一种情况,黑客们创建原始站点的完整副本,仅仅修改域名的一个字母等等。这种小技巧,包括替换浏览器地址字段中的地址,是为了引诱用户访问克隆网站并强制他们输入帐户的密码或密钥。第二种情况,他们发送一封电子邮件 ,设计成与官方信件看上去一样的,但实际上强迫你点击链接并输入个人数据。据Chainalysis表示,使用这种老手段的诈骗者已经窃取了2.25亿美元的加密货币。

加密货币劫持,隐藏挖矿和常识

好消息是,由于加密货币服务日益增强的抵抗,以及用户自身知识水平的提高,黑客逐渐失去了野蛮攻击钱包的兴趣。黑客目前的焦点是隐藏挖矿。

根据McAfee Labs的数据,在2018年第一季度,全球共有290万个用于隐藏挖矿的病毒软件样本注册。这比2017年第四季度增加了625% 。这种方法被称为“加密货币劫持”,黑客们钟爱其简单性,因此大量实施这种手段,放弃了传统的勒索计划。

坏消息是,黑客攻击活动并没有减少。网络安全公司Carbon Black的专家透露,截至2018年7月,黑暗网站上大约有12000个交易平台,为黑客们提供约34000个恶意软件。在这样的平台上销售的恶意攻击软件的平均价格约为224美元。

Carbon Black

图片来源: Carbon Black

但它是怎么进入我们的电脑的呢?让我们回到我们开头的新闻。 6月27日,用户开始在Malwarebytes论坛上留下关于一个名为All-Radio 4.27 Portable的程序的评论,他们的设备上无意中被安装了该程序。由于无法将其删除,情况变得复杂。虽然,从其原始格式看来,这个软件似乎是一个无害和受欢迎的内容查看器,而其版本被黑客修改为一个“潘多拉魔盒”。

毫无疑问,该软件包内含一个隐藏矿工,但它只会减慢计算机的运行速度。至于用于监控剪贴板的程序,当用户复制并粘贴密码时,它会替换地址,并且它已经收集了2343286个潜在受害者的比特币钱包。这是黑客们第一次得到如此庞大的加密货币所有者的数据库,到目前为止,这些程序得到替换地址非常有限。

在更换数据后,用户自愿将资金转移到黑客的钱包地址。保护资金不受此影响的唯一方法,是在访问网站时仔细检查输入的地址,挺麻烦,但是很可靠,并且可能是一种有用的好习惯。

在询问All-Radio 4.27 Portable的受害者后,研究人员发现恶意软件由于不合理操作而进入了他们的计算机。正如Malwarebytes和Bleeping Computer专家的发现,人们使用了许可程序和游戏的破解软件,以及像KMSpico这样的Windows激活工具。因此,黑客选择了那些有意识地违反版权和安全规则的用户作为攻击目标。

著名Mac恶意软件专家Patrick Wardle经常在他的博客中写道,许多病毒进入到用户的系统中的过程是十分愚蠢的。而能成为这些软件的受害者,也同样愚蠢。因此,在这里我们提醒您遵守Google小企业咨询师Bryan Wallace的建议 :

“加密的,防毒的软件和多因素验证,只能在一定程度上保护你的资产;最关键的是防备措施和基本的常识。”