區塊鏈安全公司SlowMist指出,第二季加密用戶遭遇「心理操控」類攻擊數量上升,駭客持續探索更高級且更具創意的方式竊取加密資產。

SlowMist營運主管Lisa在公司發布的第二季MistTrack被盜資金分析報告中表示,雖然駭客技術本身未有大幅提升,但詐騙手法愈加複雜,虛假瀏覽器擴充功能、篡改硬體錢包以及社交工程攻擊均顯著增加。

「回顧第二季,有一項趨勢尤為突出:攻擊者在技術層面或許沒有提升,但心理操控性顯著增強。」

「我們清楚看到,攻擊已從單一鏈上攻擊轉向更多鏈下入口——瀏覽器擴充功能、社群媒體帳號、身分驗證流程以及用戶行為都成為常見攻擊面。」Lisa補充道。

惡意瀏覽器擴充功能偽裝為安全外掛程式

諷刺的是,近期出現的一種攻擊路徑是瀏覽器擴充功能偽裝成安全外掛程式。例如「Osiris」Chrome擴充功能,自稱能夠檢測釣魚連結和可疑網站。

實際上,該擴充功能會攔截所有.exe、.dmg及.zip檔案的下載,並將其替換為惡意程式。

「更隱蔽的是,攻擊者還會引導用戶訪問Notion或Zoom等廣泛使用的知名網站。」Lisa指出。

「當用戶嘗試在這些官網上下載軟體時,實際收到的卻是被惡意篡改的檔案——而瀏覽器依舊顯示檔案來自正規管道,用戶幾乎無法察覺異常。」

這些惡意程式會收集用戶電腦上的敏感資訊,包括Chrome瀏覽器資料和macOS鑰匙圈憑證,使攻擊者能夠獲取助記詞、私鑰或登入資訊。

受害者電腦中的敏感資訊被上傳至攻擊者伺服器。來源:SlowMist

攻擊利用加密用戶焦慮

SlowMist還表示,另一種常見攻擊方式是誘導加密投資者使用被篡改的硬體錢包。

在部分案例中,駭客會將已作手腳的冷錢包郵寄給用戶,並謊稱其中獎獲得免費設備,或以現有設備已被攻破為由要求用戶轉移資產。

Lisa透露,第二季曾有一位受害者因在TikTok上購買被篡改的冷錢包,損失高達650萬美元。

來源:Intelligence on Chain

還有攻擊者出售已預先啟用的硬體錢包,受害者將加密資產轉入後,駭客便可立即轉移全部資金。

利用假冒撤銷網站實施社交工程攻擊

慢霧科技表示,第二季曾接到一名用戶求助,稱其無法撤銷錢包中的「高風險授權」。

經調查,慢霧科技發現,該用戶嘗試撤銷智能合約權限所用的網站「幾乎完全複製了知名Revoke Cash的介面」,並誘導用戶輸入私鑰以「檢測高風險簽名」。

「透過分析前端程式碼,我們確認該釣魚網站使用EmailJS將用戶輸入的內容——包括私鑰和地址——發送至攻擊者電子郵件。」

慢霧科技發現,釣魚攻擊、詐騙和私鑰洩漏是第二季資金被盜的主要原因。來源:慢霧科技

「這些社交工程攻擊從技術層面來看並不複雜,但卻能夠極大地利用用戶的緊迫感和信任心理。」Lisa說道。

「攻擊者深知『檢測到高風險簽名』等提示極易引發用戶恐慌,促使其魯莽行事。一旦情緒被調動,用戶就更容易被操控去點擊連結或洩漏敏感資訊,這些都是他們平時絕不會做的事情。」

攻擊手法涵蓋Pectra升級與WeChat好友

其他案例還包括攻擊者利用以太坊最新Pectra升級中EIP-7702的釣魚手法,以及透過獲取多名WeChat用戶帳號實施攻擊。

Cointelegraph Magazine近期報導稱,攻擊者透過WeChat的帳號找回機制取得帳戶控制權,冒充真實帳號持有人,以折扣價USDT誘騙其聯絡人。

慢霧科技第二季資料源自該公司本季收到的429起資金被盜報告。

公司稱,第二季已為11位報告數位資產被盜的受害者凍結並追回了約1200萬美元資產。

相關推薦:情報公司稱FATF對穩定幣犯罪發出警示並非「反加密貨幣」立場