信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/luochicun。

隨著加密貨幣的普及和應(yīng)用范圍的擴大，熱錢包（Hot Wallet）是一種連接互聯(lián)網(wǎng)的錢包，可以方便快捷地進行交易。最常見的熱錢包是交易所內(nèi)部的錢包，當(dāng)用戶在交易所開通賬戶時，會自動獲得一個錢包地址。此外，還有一些第三方熱錢包，如MetaMask和Trust Wallet等，可作為瀏覽器插件或移動應(yīng)用程序使用。熱錢包的優(yōu)點是操作簡單、方便快捷，適合頻繁交易和使用去中心化應(yīng)用（dApp）。

冷錢包（Cold Wallet）是一種離線存儲私鑰的錢包，用于儲存長期持有、不經(jīng)常交易的加密資產(chǎn)。冷錢包可以分為硬件錢包和紙錢包兩種形式。硬件錢包是一種物理設(shè)備，如Ledger、Trezor和Coolwallet等，通過與電腦或移動設(shè)備連接來進行交互。紙錢包是將私鑰和地址以紙質(zhì)形式打印或手寫保存。

冷錢包的優(yōu)點是安全性極高，由于私鑰離線存儲，攻擊者攻擊的風(fēng)險大大降低。無論你是交易頻繁還是長期持有加密資產(chǎn)，合理選擇熱錢包和冷錢包都能提供更好的資產(chǎn)管理和安全保護。

但隨著加密貨幣在全球的受歡迎程度越來越高，存儲它們的新方式越多，試圖盜取數(shù)字貨幣的攻擊者使用的工具庫就越廣泛。攻擊者根據(jù)目標使用的錢包技術(shù)的復(fù)雜性來調(diào)整其攻擊策略，比如通過釣魚攻擊模仿合法網(wǎng)站的來攻擊目標，如果成功，他們可以竊取其中全部的金額。熱錢包和冷錢包采用了兩種截然不同的電子郵件攻擊方法，熱錢包和冷錢包這兩種方法是最流行的加密貨幣存儲方式。

盜取熱錢包的方法簡單而粗暴

熱錢包是一種可以永久訪問互聯(lián)網(wǎng)的加密貨幣錢包，是一種在線服務(wù)，從加密貨幣交易所到專門的應(yīng)用程序都要用到。熱錢包是一種非常流行的加密存儲選項。這可以通過創(chuàng)建一個錢包的簡單性（只需注冊錢包服務(wù)）以及提取和轉(zhuǎn)換資金的便利性來解釋。熱錢包的普及性和簡單性使其成為攻擊者的主要目標。然而，由于這個原因，以及熱錢包總是在線的事實，它們很少用于存儲大額資金。因此，攻擊者幾乎沒有動力在網(wǎng)絡(luò)釣魚活動中投入大量資金，因此，用于熱錢包電子郵件攻擊的技術(shù)幾乎從來都不復(fù)雜或是沒有攻擊者為此專門開發(fā)一種技術(shù)的。事實上，它們看起來相當(dāng)原始，目標大多是初級用戶。

針對熱錢包用戶的典型網(wǎng)絡(luò)釣魚騙局如下：攻擊者發(fā)送來自知名加密貨幣交易所的電子郵件，要求用戶確認交易或再次驗證其錢包。

針對Coinbase用戶的釣魚電子郵件示例

用戶點擊鏈接后，他們會被重定向到一個頁面，在那里他們會被要求輸入他們的種子短語。種子短語（恢復(fù)短語）是一個由12個(不太常見的是24個)單詞組成的序列，用于恢復(fù)對加密錢包的訪問。這實際上是錢包的主密碼。種子短語可用于獲得或恢復(fù)對用戶帳戶的訪問權(quán)限并進行任何交易。種子短語無法更改或恢復(fù)：如果放錯位置，用戶就有可能永遠無法訪問他們的錢包，并將其交給攻擊者，從而永久破壞他們的賬戶。

種子短語輸入頁面

如果用戶在一個虛假的網(wǎng)頁上輸入種子短語，攻擊者就可以完全訪問錢包，并能夠?qū)⑺匈Y金轉(zhuǎn)移到自己的地址。

這類騙局相當(dāng)簡單，沒有軟件或社會工程技巧，通常針對技術(shù)小白用戶。種子短語輸入表單通常有一個精簡的外觀，即只有一個輸入字段和一個加密交易標志。

針對冷錢包的網(wǎng)絡(luò)釣魚騙局

冷錢包是一種沒有永久連接到互聯(lián)網(wǎng)的錢包，就像一個專用設(shè)備，甚至只是寫在紙條上的私鑰。硬件存儲是最常見的冷錢包類型。由于這些設(shè)備大部分時間都處于離線狀態(tài)，而且無法進行遠程訪問，因此用戶傾向于在這些設(shè)備上存儲大量數(shù)據(jù)。也就是說，如果不竊取硬件錢包，或者至少不獲得物理訪問權(quán)限，就認為硬件錢包無法被攻破，這種觀點錯誤的。與熱錢包的情況一樣，詐騙者使用社會工程技術(shù)來獲取用戶的資金。研究人員最近就發(fā)現(xiàn)了一個專門針對硬件冷錢包所有者的電子郵件活動。

這種類型的攻擊始于加密電子郵件活動：用戶收到一封來自Ripple加密貨幣交易所的電子郵件，并提供加入XRP代幣(該平臺的內(nèi)部加密貨幣)的贈品。

偽裝成Ripple加密貨幣交易所的釣魚郵件

如果用戶點擊鏈接，他們會看到一個博客頁面，其中有一篇文章解釋了“贈品”的規(guī)則。該帖子包含一個“注冊”的直接鏈接。

虛假Ripple博客

此時，可以看出該騙局已經(jīng)顯示出與攻擊熱錢包的一些不同之處：攻擊者沒有向用戶發(fā)送網(wǎng)絡(luò)釣魚頁面的鏈接，而是利用博客開發(fā)了一種更復(fù)雜的沉浸式技巧。他們甚至一絲不茍地復(fù)制了Ripple網(wǎng)站的設(shè)計，并注冊了一個與該交易所官方域名幾乎相同的域名。這被稱為Punycode網(wǎng)絡(luò)釣魚攻擊。乍一看，二級域名與原始域名相同，但仔細觀察會發(fā)現(xiàn)字母“r”已被使用cedilla的Unicode字符替換：

此外，該詐騙網(wǎng)站位于.net頂級域，而不是Ripple官方網(wǎng)站所在的.com。不過，這可能不會給受害者帶來任何危險信號，因為這兩個領(lǐng)域都被合法組織廣泛使用。

在用戶按照從“博客”到虛假Ripple頁面的鏈接后，他們可以連接到WebSocket地址wss://s2.ripple.com.

連接到WebSocket地址

Supremo遠程桌面，Supremo遠程桌面是一個強大、簡單和完整的遠程桌面控制和支持解決方案。它允許在幾秒鐘內(nèi)訪問遠程PC或加入會議。Supremo還與IT管理控制臺USilio兼容。

3Proxy，3Proxy是跨平臺的代理服務(wù)功能組件,支持HTTP,HTTPS,FTP,SOCKS(v4,4.5,5),TCP和UDP端口映射等?？梢詥为毷褂媚硞€功能,也可混合同時使用。

Powerline，Powerline是一個vim的狀態(tài)行插件，包括zsh、bash、tmux、IPython、Awesome和Qtile在內(nèi)的應(yīng)用提供狀態(tài)信息與提示。Putty，PuTTY是一個Telnet/SSH/rlogin/純TCP以及串行阜連線軟件。較早的版本僅支援Windows平臺，在最近的版本中開始支援各類Unix平臺，并打算移植至Mac OS X上。

Dumpert，Dumpert是一個使用直接系統(tǒng)調(diào)用和API解除連接的LSASS內(nèi)存轉(zhuǎn)儲器最近的惡意軟件研究表明，使用直接系統(tǒng)調(diào)用來逃避安全產(chǎn)品使用的用戶模式API掛鉤的惡意軟件數(shù)量有所增加。NTDSDumpEx；ForkDump。我們首先在前面提到的Log4j示例中注意到EarlyRat的一個版本，并假設(shè)它是通過Log4j下載的。然而，當(dāng)我們開始尋找更多樣本時，發(fā)現(xiàn)了最終釋放EarlyRat的網(wǎng)絡(luò)釣魚文檔。網(wǎng)絡(luò)釣魚文檔本身并不像下面所示的那樣高級。

接下來，用戶可以輸入其XRP帳戶的地址。

輸入XRP帳戶地址

然后，該網(wǎng)站提供選擇一種認證方法來接收獎勵令牌。

選擇身份驗證方法

正如你所看到的，硬件錢包是攻擊者建議的首選。選擇Trezor會將用戶重定向到官方網(wǎng)站Trezor.io，它允許通過Trezor connect API將設(shè)備連接到web應(yīng)用程序。該API用于在硬件錢包的幫助下簡化交易。攻擊者希望受害者連接到他們的網(wǎng)站，這樣他們就可以從受害者的賬戶中提取資金。

當(dāng)用戶試圖連接到第三方網(wǎng)站時，Trezor connect會要求他們同意匿名收集數(shù)據(jù)，并確認他們想連接到該網(wǎng)站。詐騙網(wǎng)站的地址在Punycode視圖中顯示為：https://app[.]xn--ipple-4bb[.]net。攻擊者希望受害者連接到他們的網(wǎng)站，這樣他們就可以從受害者的賬戶中提取資金。

Trezor Connect：確認連接到詐騙網(wǎng)站

通過Ledger進行連接很像Trezor，但它使用WebHID接口，其他步驟保持不變。

用戶連接硬件錢包后會發(fā)生什么？為了回答這個問題，有必要觀察一下網(wǎng)絡(luò)釣魚網(wǎng)站的代碼。該網(wǎng)站由一個用Node.js編寫的應(yīng)用程序提供支持，它使用兩個API：

1.wss://s2.ripple.com，Ripple交易的官方WebSocket地址；

2.釣魚網(wǎng)站API，例如：app[.]xn--ipple-4bb[.]net/API/v1/action；

攻擊者使用這兩個API與受害者的XRP賬戶進行交互。釣魚網(wǎng)站API與WebSocket地址對話，驗證帳戶詳細信息并請求資金。為此，攻擊者們專門設(shè)計了一次性的中間錢包。

中間賬戶只用于兩件事：接收受害者的資金，并將這些資金轉(zhuǎn)入攻擊者的永久賬戶。這有助于隱藏最終目的地。

2023年3月，卡巴斯基反垃圾郵件解決方案檢測并屏蔽了85362封針對加密貨幣用戶的欺詐電子郵件。詐騙電子郵件活動在3月份達到頂峰，共收到34644條信息，在4月份屏蔽了19902封電子郵件，在5月份屏蔽了30816封。

2023年3月至5月檢測到的針對加密貨幣用戶的釣魚電子郵件數(shù)量

總結(jié)

攻擊者很清楚一件事，越難攻擊的對象，其利潤就越大。因此，硬件錢包看似無懈可擊，但只要成功，那收貨將無比豐厚，對硬件錢包的攻擊使用的策略遠比針對在線加密存儲服務(wù)用戶的策略復(fù)雜得多。盡管硬件錢包確實比熱錢包更安全，但用戶不應(yīng)放松警惕。在允許任何網(wǎng)站訪問你的錢包之前，請仔細檢查每個細節(jié)，如果有任何可疑之處，請拒絕連接。

參考及來源：https://securelist.com/hot-and-cold-cryptowallet-phishing/110136/