文章來源:
加密錢包詐騙增加
從歷史上看,加密貨幣市場是週期性變化的,每次牛市波動都會吸引新來者進入該領域,受到頭條新聞和口碑的吸引。 這自然增加了不良行為者希望透過詐騙和其他網路釣魚計劃來利用這些新人的情況。 這些可能會導致在不知情的情況下參與此類計劃的用戶資金遭受重大損失。 因此,個人加密貨幣用戶在 Yoroi 中操作時需要始終保持警惕,並在進行加密交易時仔細檢查資訊。
Yoroi 上透過強大的加密技術保護私鑰,防止攻擊者直接竊取加密資產。 因此,如果用戶沒有透露他們的助記詞,這些詐騙通常會要求用戶無意中簽署詐欺交易。 騙子已經成功地利用社交工程誘騙用戶簽署有害交易。
這就是為什麼像 Yoroi 這樣的自我託管錢包是抵禦這些詐騙的第一道防線。 重要的是要了解攻擊的性質,以便提前發現它們,並且永遠不要簽署這些惡意交易之一。
在本部落格中,我們將介紹一些最受歡迎的加密詐騙類型,這些詐騙會導致用戶無意中批准欺詐性交易,以及如何防範這些詐騙。
常見的錢包詐騙策略
- 虛假熱門網址
該騙局是經典網路釣魚攻擊的修改。 在其中,攻擊者創建一個與合法網站外觀相同的副本,並用它來引誘毫無戒心的受害者。 假網站使用與原始網站相同的風格、字體和品牌,即使對於經驗豐富的用戶來說也很難注意到。
一旦潛在受害者進入詐騙網站,他們的加密錢包中就會打開一個請求,要求他們簽署交易。 這會導致用戶批准一筆轉賬,從而耗盡他/她錢包中的資金。
- 假錢包應用程式和擴充程序
在加密貨幣的數位領域,假錢包的出現代表了一個緊迫的問題,特別是在 Chrome 和 Android 應用程式商店等值得信賴的市場中。 這些詐騙實體巧妙地偽裝成合法的加密貨幣錢包,利用真實項目建立的信任和信譽。
透過採用真實性的幌子,假錢包會引誘毫無戒心的用戶落入陷阱,促使他們輸入種子短語等敏感資訊或將其數位資產直接轉移到詐騙者手中。 這種形式的欺騙不僅利用了人們對加密貨幣的熱情,還利用了用戶對應用程式商店審核流程的固有信任,凸顯了數位資產領域的重大漏洞。
- 空投代幣或帶有虛假網站連結的 NFT
另一種常見類型的加密錢包詐騙或詐欺包括詐騙者向目標錢包發送新代幣和 NFT(不可替代代幣),以引誘毫無戒心的受害者訪問虛假網站。 然後,用戶會在錢包中發現這些新的假冒資產,即使他們沒有購買這些資產,這些資產是不請自來的。 這些NFT 和/或代幣在其元數據中,提示用戶進入一個網站,在該網站中,他們通常會得到豐厚的優惠,以索取額外的獎勵,這些獎勵被宣傳為免費,作為特別促銷的一部分。
毫無戒心的用戶進入該網站,該網站打開他們基於瀏覽器的加密錢包,聲稱這是一項免費創造新獎勵的交易。 相反,用戶再次將其全部錢包餘額轉給創建虛假網站的攻擊者。
- 假空投
空投詐騙是加密貨幣產業駭客使用的另一種常見攻擊方式。 空投是一種將數位代幣或加密貨幣自動發送到某些用戶錢包的促銷活動。 從表面上看,用戶似乎會免費接收加密貨幣。 空投詐騙利用社會工程來利用加密貨幣用戶參與激勵計劃的意願來打開他們的錢包並創建一項耗盡他們資金的交易。
對於這種類型的加密騙局,攻擊者冒充合法協議或影響者,推廣虛假的空投門戶,要求用戶在網站上連接他們的錢包。 這些網站總是建設得很好並且看起來很官方。 有時,這些網站可能會要求用戶錢包的助記詞。 如果沒有,他們會要求簽署一項聲稱是空投的交易,而事實上,它會耗盡用戶的加密錢包的所有資產。
這些類型的詐騙在各種形式的社交媒體、電子郵件和簡訊上傳播——包括 YouTube。
辨識危險訊號
尋找網域名稱中的拼字錯誤或細微變化
網站的名稱通常是透過網域服務購買的。 這意味著該名稱是為購買該特定單字或單字組合的個人或組織保留的。 攻擊者經常使用非常相似的名稱,但域的實際拼寫略有不同。
另一種常見策略是購買相同的網域但使用不同的副檔名。 例如,如果網域的擴展名為 .com,則攻擊者將購買相同的名稱,但擴展名為 .org、.io、.site 或市場上任何其他有效的擴充。
檢查安全連接 (https://)
合法的項目和產品通常總是為其網站購買安全證書。 當您造訪使用 HTTPS(連接安全)的網站時,網站的伺服器會使用憑證來證明網站的身份給常用的網路瀏覽器(例如Brave、Chrome、Opera、Edge 等)。
這提供了一些額外的安全措施,確保網站是正確的。
然而,SSL 憑證本身並不足以確保網站的真實性。
這是很好的第一道防線,但還需要其他驗證方法,因為所有好的騙局都使用 SSL 憑證。 如果網站沒有 SSL 證書,這可能會令人擔憂,但擁有 SSL 證書本身不應激發信心。
-
警惕未經請求的訊息
攻擊者經常透過 X、Reddit、Telegram、Discord 等流行社群媒體應用程式聯繫加密貨幣用戶,進行空投、贈品、一般投資機會和其他「好得令人難以置信」的活動。 任何未經請求的訊息都應謹慎和懷疑地看待。 切勿向隨機發送訊息參與的人提供任何個人信息,也切勿點擊這些訊息中提供的任何未經驗證的連結。 -
詢問用戶的私鑰、助記詞或其他敏感資訊
種子短語是任何加密錢包的主密鑰。 dApp 永遠不會要求錢包的助記詞才能運作,因為它只需要用戶在交易上簽名。 因此,請務必離開任何網站詢問此資訊。 -
僅從官方來源下載錢包
打擊此類詐騙需要採取雙重方法,將用戶警覺性與社群驅動的教育結合。
對於用戶來說,必須僅從經過驗證的官方來源下載錢包。 這一點無論如何強調都不為過,它是防範詐騙計畫的第一道防線。
此外,Yoroi Wallet 等專案的開源性質提供了額外的安全層,讓社群檢查、審計和驗證他們委託資產的軟體的完整性。 這種透明和自我託管的文化象徵著更廣泛的卡爾達諾生態系統的精神,它倡導權力下放和用戶賦權。
隨著加密貨幣社群繼續應對這些挑戰,培養對未經驗證的來源的認識和懷疑態度對於保護數位資產免受假錢包的威脅至關重要。
避免下載假錢包:
- 始終直接訪問開發者的官方網站以獲取正確的下載連結/
- 仔細檢查 App Store 詳細資訊。
另外,在安裝應用程式之前,請查看商店中的出版物並問自己:
- 它有足夠數量的評論嗎?
- 開發商是誰?
- 同一應用程式是否有多個版本?
- 是否存在拼字錯誤或文法錯誤?
- 驗證網站真實性
如前所述,攻擊者使用略有不同的拼寫或不同的擴展名來引誘受害者訪問虛假網站。 因此,切勿點擊訊息、推文、留言板、電子郵件或任何類型的公共論壇上的貼文中提供的連結。
如果加密產品或 dApp 引起了您的注意,請尋找透過官方來源找到的 URL。 透過專案的官方管道(多個)驗證 URL,加入社區,並閱讀一些訊息以驗證他們正在按照說明談論該項目。 沒有方法可以 100% 驗證檢查項目,尤其是當項目規模較小或存在時間較短時。
在這裡,我們可以提供的最佳建議是擁有一個二級錢包,可以容納最少的資金,或者更好的是,沒有資金。 這樣,當網站要求簽署可疑交易時,加密資產就不會面臨風險。
- 非常強烈的緊迫感
在您的錢包簽署任何交易之前,請停止並仔細檢查該交易。 這是對加密貨幣帳戶餘額進行任何更改之前的最後一站,因此無需著急。 這是防止任何類型的資金被不當分配的主要權宜之計。
因此,在簽署交易之前,請務必花時間檢查所需的輸入和預期結果。 如果用戶沒有簽署交易,任何人都無法從加密錢包中轉移資金。
- 警惕錢包中出現的 NFT 或代幣
如果您的錢包餘額中神奇地出現了並非直接購買的數位代幣或加密貨幣,請務必謹慎對待。 在某些情況下,專案確實會免費向用戶發送 NFT 代幣,為新服務或平台製造熱度。
然而,這種做法已被攻擊者破壞,他們利用這些資產將用戶引導至詐騙網站。 如果令牌將您引導至網站,請勿使用提供的連結。 相反,研究該項目,瀏覽他們的社交媒體,看看該
防範加密貨幣網路釣魚和詐騙
-
在輸入任何敏感資訊前請仔細檢查 URL
切勿使用公共論壇或第三方提供的連結或 URL。 在搜尋引擎上或從官方社群媒體貼文中尋找該服務的名稱。 請務必檢查網站的拼字以及項目使用的副檔名。 -
使用書籤或可信任連結存取錢包服務
驗證項目的官方網站後,在網頁瀏覽器中將該位址加入書籤。 將來,這將提供對同一網站的直接、安全訪問,而無需依賴連結或其他外部引用。 -
利用瀏覽器擴充功能或工具來驗證網站的真實性
檢查網站真實性的工具上可以找到許多擴充功能。 如果網站的證書與 URL 的名稱不匹配,或者更糟的是,如果網站根本沒有證書,這些可以立即發出警告。 -
簽署前務必仔細檢查交易
最後,在簽署之前務必仔細檢查交易條件。 當與智能合約互動時,錢包將提供合約的地址。 用它與項目發布的進行比較,或在他們的社交媒體渠道中要求分享官方智能合約地址。