Crypto 钓鱼常见手法

网络安全6个月前更新 cryptobaby
388 0 0

本文作者:Cos(余弦)@evilcos。发文时间:6:02 PM · Jan 19, 2024


Crypto 钓鱼常见手法

Drainer-as-a-Service (DaaS) 功能:

注:DaaS 可以理解为针对 Crypto 行业的钓鱼工具,知名的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等这些 Crypto Drainers,牛鬼蛇神们购买这些 Drainers 结合成千上万钓鱼网站、营销账号、各类骗术、漏洞利用、渗透、垃圾广告等等,如洪水猛兽冲进这个行业。

– eth_sign/personal_sign/eth_signTypedData_* 这种原生签名利用,eth_sign 已经被钱包们封堵得越来越少了
– Token/NFT 类似 approve/permit 这些授权函数的利用
– 类似 Uniswap swapExactTokensForTokens/permit2 等这些强大函数的利用
– OpenSea/Blur 等协议函数的利用(五花八门)
– TX data 4byte 利用,Claim Rewards/Security Update 等
– 用 Create2 预创建资金接收地址,绕过相关检测
– Solana 一笔签名钓走目标钱包地址里的所有资产
– 比特币铭文一键批量钓鱼,UTXO 机制
– 各 EVM 链/Solana/Tron 等切换钓鱼

钓鱼路径(不一定使用 DaaS):

– Google/X 等广告投毒、X 评论或私信投毒
– 黑掉官方号(X、Discord、Telegram 等)发布钓鱼链接或其他骗术,黑掉的方法常见如:SIM 卡劫持、第三方应用 OAuth 授权、骗取 Discord token、骗取 Telegram Login code 等方式
– BGP/DNS 等劫持或入侵手法在官方网站植入恶意代码
– 供应链攻击在官方网站植入恶意代码(如之前 Ledger 模块 ledgerhq/connect-kit 被投毒事件)
– 隐蔽的陷阱合约(貔貅盘、套利陷阱等)
– 知名项目合约存在授权漏洞
– 空投代币买卖或以取消授权名义偷走用户过大的 Gas
– 伪造事件/零转账等障眼法
– 污染钱包的转账历史(首尾号一样),坐等用户复制
– 伪装记者、资方、项目方等诱骗用户下载打开带木马的文档、游戏程序、工具等
– 带后门的薅毛工具
– 假 Telegram/WhatsApp/Binance 等替换钱包地址
– 假钱包直接采集助记词或者给 Tron 地址加把权限锁,坐等目标入账
– 诱骗用户转账时填写存在猫腻(如授权)的 data
– 假币、假官网、假官方人员等等骗局
– 诱骗用户直接“上供”自己的助记词…
– 明文助记词/私钥陷阱:窃取手续费或诱导安装带木马的钱包程序
– 类“杀猪盘”线上套路
– 类“扳手攻击”“色诱”“大生意”等这种线下套路
– 硬件钱包售卖渠道被中间人动手脚
– …

钓鱼是个广泛概念,还有不少手法,但基本大同小异。除了钓鱼,还有一些其他主流作恶手法,这里先不展开了。我特别提钓鱼,是因为这种手法实在过于泛滥,大家一定要谨慎谨慎再谨慎。

相关案例见黑手册扩展阅读:
https://github.com/evilcos/darkhandbook

或者:https://ytm.app/app/266.html

© 版权声明

相关文章

暂无评论

暂无评论...