7月初,恶意软件研究技术网Bleeping Computer发现了意在欺诈230万比特币钱包的可疑活动。攻击者使用恶意软件“剪贴板加密劫持”,当用户使用剪切、复制和粘贴操作功能时,这种恶意软件会读取用户剪贴板上的数据,并用攻击者的钱包地址替换了受害者的钱包地址。该劫持软件共监视了超过230万个加密货币地址。

早在去年11月,卡巴斯基实验室已经预测到了这种黑客攻击的潜在可能,并且没多久此类攻击就成为现实。目前来说,这是窃取用户信息或资产最普遍的攻击方式之一。在恶意软件攻击中,针对个人帐户和钱包的攻击估计占总体的20%。此外。据Cointelegraph 7月12日报道,卡巴斯基实验室指出,网络犯罪分子在过去一年中通过社会工程攻击[1]盗窃了21,000个以太坊,价值超过9000万美元。

问题所在之处

上述提到的Bleeping Computer 门户网站希望公众提高计算机知识,鼓励投资者至少遵循一些基本规则,以确保足够的安全保护:

大多数技术支持问题不在于计算机,而在于用户不知道构成所有计算问题的‘基本概念’,比如硬件、文件和文件夹、操作系统、互联网和应用程序等概念。

许多加密货币专家都持有相同观点。投资者和企业家Ouriel Ohayon在专门的Hackernoon博客中强调用户的个人责任:

没错,你的资产由你掌控,但是为此你必须付出代价——对自己资产的安全负责。由于大多数人不是安全专家,新闻报道中的安全问题他们可能不了解。不过,我总是惊讶,为什么周围有那么多人,甚至精通技术的人,都没有采取基本的安全措施

Autonomous Research研究中心的金融科技战略总监Lex Sokolin表示,每年都有成千上万的人落入克隆网站和普通网络钓鱼的陷阱,他们“自愿”向欺诈者发送2亿美元的加密货币,而且永远没有找回的机会。

这些可以给我们带来什么启示?黑客之所以能够成功攻击加密钱包,他们利用的主要漏洞来自人们的疏忽和傲慢。

问题严重性:2.5亿潜在受害者

美国公司Foley&Lardner进行的一项研究表明,71%大型加密货币交易商和投资者认为加密货币盗窃给市场带来的负面影响最强,31%的受访者认为黑客对全球加密货币行业活动的威胁非常高。

Hackernoon专家分析了2017年黑客攻击的有关数据,并将黑客攻击分为三大类别:

- 攻击区块链、加密货币交易所和ICO;

- 散布挖矿劫持软件;

- 攻击用户钱包。

令人惊讶的是,Hackernoon发表的文章《揭秘黑客技巧》(Smart hacking tricks)似乎没有得到广泛普及。对于普通加密货币用户而言,似乎显而易见的警告必须一次又一次地重复,而加密货币持有者的数量预计到2024年将达到2亿。

ING银行和益普索的研究显示,约9%欧洲人和8%美国居民拥有加密货币,25%的民众计划在近期购买数字资产。因此,约有25亿潜在受害者可能会落入黑客的陷阱中。

下面,让我们看看黑客会采取哪些手段攻击钱包,以及我们如何保护自己的加密资产。

建议:

- 不要轻易安装不常使用的移动应用程序

- 为智能手机上的所有应用程序添加双因素授权标识

- 一定要检查是否与官方网站上的应用程序链接一致(最好从官网上下载手机APP)

遭到黑客攻击的受害者通常使用带有安卓操作系统的智能手机,因为他们不使用双因素身份验证。要通过这种验证,不仅需要提供密码和用户名,还需要提交只有用户和系统知道的“暗号”,例如物理验证标记等可以立即获得的信息。《福布斯》认为,谷歌安卓的开放式操作系统易感染病毒,不如苹果手机安全。黑客可以以某些加密货币资源的名义,将应用程序添加到Google Play商店。当下载、启动该应用程序后,用户为访问帐户会输入敏感数据,从而给黑客访问用户账户并获取信息的机会。

这类黑客攻击最有名的的事件是,美国加密货币交易所Poloniex用户在Google Play应用商店下载了黑客设置的Poloniex虚假手机版官网APP。事实上,Poloniex团队没有开发安卓版应用程序,其官网上没有任何移动应用程序的链接。ESET恶意软件分析师Lukas Stefanko表示,在Google Play删除该假冒APP之前,已有5,500名交易者下载并受到该恶意软件影响。

反过来,苹果iOS系统用户更容易在App Store下载隐藏挖矿劫持应用程序。苹果公司甚至为此严控申请参入其商店的规则,以便阻止此类软件的传播。但是,这与前者在危害上完全不等价,挖矿只会减慢计算机操作速度,而侵入钱包的破坏是无法比拟的。

盗窃钱包方法二:Slack团队协作平台机器人

建议

-报告Slack机器人(bots)活动并予以阻止

-忽视机器人活动

- 使用Metacert或Webroot安全机器人,Avira防病毒软件,甚至内置谷歌安全浏览功能来保护Slack通道

自2017年年中以来,窃取加密货币的Slack机器人不断增加。常见的情况是,黑客创建一个机器人,通知用户他们的密码存在问题,继而强制用户点击其链接并输入私钥。不过,这些机器人一出现,多就被用户识破。即使加密社区通常做出快速反应,黑客也会设法赚一些钱。

黑客Slack攻击的最成功的“案例”应该是Enigma集团。攻击者借用Enigma名字,假称进入ICO预售阶段,在Slack平台推出一个机器人,最终欺诈了总计50万美元以太币。

盗窃钱包方法三:加密货币交易插件

建议

- 使用单独的浏览器进行加密货币操作

- 选择隐身模式

- 不要下载任何加密插件

- 单独使用一个电脑或智能手机,仅用于加密交易

- 下载防病毒软件并安装网络保护

浏览器为方便用户使用交易所和钱包,提供了各种自定义扩展界面。这些附加插件读取你在使用互联网时输入的所有内容,不过真正问题甚至不在于此,而是这些扩展程序都是在JavaScript上开发的,这意味着它们极易受到黑客攻击。近年来,随着互联网2.0的到来,Ajax和互联网应用程序普遍使用的JavaScript,导致的漏洞普遍存在于组织中,尤其是印度企业。此外,黑客盯上了计算机算利,扩展应用可能存在隐藏挖矿。

盗窃钱包方法四:短信认证

建议:

- 关闭呼叫转移,使攻击者无法访问你的数据

- 当用文本发送密码时,禁止借助短信来验证双因素授权,而是使用双因素识别软件

许多用户习惯选择移动身份验证,因为手机能随时待命。网络安全公司Positive Technologies已经证明,在全球范围内通过七号信令系统(signaling System 7)协议用密码确认来拦截短信是多么容易。专家们完全能够使用工具劫持短信,即利用蜂窝网络中的弱点拦截传输中的短信。该公司还用Coinbase帐户作了示例展示,交易所的用户对此都感到震惊。Positive Technologies表示,虽然一眼看上去,这像Coinbase的漏洞,但真正的弱点在于蜂窝系统本身。这证明了:即使使用双重因素授权认证,也可以通过短信劫持直接访问任何系统。

盗窃钱包方法五:公共Wi-Fi

建议:

- 即使使用VPN时,也不要通过公共Wi-Fi进行加密货币交易

- 定期更新路由器固件,因为硬件制造商会不断更新防止密钥替换的技术