歡迎來到上海仝薪網絡科技有限公司官網,上海網站建設公司上海網站制作公司微信網站上海競價托管公司
咨詢,就免費贈送域名與服務器,咨詢熱線:13761675098當前位置: 競價外包 > 建站知識 > 網站建設知識 >
聯系我們
電話咨詢:13761675098
E-mail:[email protected]
地址: 上海市金園一路1118弄

回望“幣安驚魂夜”:釣魚事件如何發生,用戶又該如何防御?

作者/整理:admin 來源:互聯網 2018-03-14

幣安網創始人趙長鵬

幣安網創始人趙長鵬

3 月 7 日,知名數字貨幣交易平臺幣安遭到黑客攻擊,此次攻擊造成全球數字幣價格大跌。

根據幣安交易所的公告,有 31 個賬戶遭到黑客的釣魚入侵,黑客在掌握用戶的賬戶權限之后,使用機器掛單,進行程序化高頻交易,給用戶帶來巨大損失。

這幾天關于此事的新聞很多,但絕大多數都是從事件本身出發,對數字貨幣的影響、對交易平臺的影響等。

最關鍵的一點沒人提及:到底釣魚事件是怎么發生的,作為幣安的普通用戶,我們應該如何防御此類攻擊?

一年前,華裔學生報告unicode釣魚漏洞

在幣安交易所發布的公告中指出,本次攻擊,黑客使用了“unicode釣魚手法”,這個是什么鬼?估計99%的記者沒看懂。

2017 年 4 月 14 日,在約翰霍普金斯大學研究數學的學生xudong zheng發表了一篇論文,題目是《Phishing with Unicode Domains》,中文大意為“用unicode網址釣魚”。文章中給出了一種釣魚的方法,多語言字符混合來騙過用戶的眼睛。

安全專家向黑奇士表示,咱們使用的瀏覽器,是以英文為基礎的,包括網址在開始也是僅能解析英文,所謂的unicode編碼。

為了讓瀏覽器支持多語言,有人開發了punycode編碼,這套編碼可以讓世界上其他的語言可以被瀏覽器“理解”,比如中文、俄文、韓語。

例如,你要訪問蘋果網站,在最早你必須輸入英文的apple.com;后來中國的cnnic、 3721 等公司,相繼開發了自己的插件,讓瀏覽器支持“新浪.com”、”“百度.com”這樣的域名。Punycode就相當于一款語言插件(編碼標準),被內置在了主流瀏覽器當中。

但使用puycode編碼的網址會有一個問題,比如中文拼音的 ü,跟英文單詞的u,看起來非常像(一個頭上有兩點,一個沒有),但這套編碼會識別成兩個字母。

這就帶來一種攻擊:有人把各種語言的相似字母組合在一起,冒充知名網址。

本次幣安的釣魚攻擊,就是有人把西里爾語字母,跟英文字母結合,冒充幣安的網址。

黑奇士采訪的資深白帽子M表示,即使是專業安全人士,如果對web安全不熟,面對這種釣魚也很有可能上當。

回望“幣安驚魂夜”:釣魚事件如何發生,用戶又該如何防御?

(看到n下面那兩點了嗎,那不是英文字母)

半月前趙長鵬已收到警報,但未做處理

所謂的釣魚攻擊,本質上就是用戶在一個“仿冒網站”上輸入了自己的賬號密碼。

這個仿冒網站,要想針對性的投放到幣安用戶群中,黑客會使用一些精準化的投放手法,例如搜索引擎的廣告投放、向幣安用戶發送釣魚郵件、在電報群中點對點發送網址鏈接等。

這些動作不能在短期內起效,如果交易所在安全監控上投入精力,是有可能早期發現、早期處理類似事件的。

可惜的,幣安交易所并未做到。

有微信截圖顯示,早在 2 月 20 日,有人向幣安交易所創始人趙某發布了釣魚警告,他表示問題已得到處理。從幣安的后續措施來看,他并未把這個警告當真,至少沒有向存在風險的用戶發布警告,以求盡力挽回損失。

回望“幣安驚魂夜”:釣魚事件如何發生,用戶又該如何防御?

白帽子M先生表示,針對此類unicode釣魚,主流瀏覽器已經能夠防御。在PC端,只要把瀏覽器升級到最新版本,就能解決一大部分威脅;在手機上,安裝殺毒軟件也能解決很多問題。如果是蘋果手機,安裝騰訊手機管家,iOS系統會調用其SDK,也能對釣魚網址進行攔截。

黑奇士查看幣安網站,截至發稿,網站首頁沒有任何安全提醒。

普通用戶應該如何防范此類釣魚攻擊?

黑奇士提醒普通用戶,可以采取如下措施,降低數字幣交易的安全風險:

1、無論手機端還是PC端,都必須安裝殺毒軟件,而且要安裝套裝。單純“殺毒”,是無法解決釣魚這樣問題的,黑奇士推薦卡巴斯基的殺毒套裝(付費版),國內的話,可以嘗試騰訊安全管家或火絨殺毒軟件(兩者均為免費軟件)。

2、瀏覽器必須保持實時升級,事實上,uniode釣魚過去已經一年,主流瀏覽器都應該打了補丁,對近似字符區別性顯示。但國內有些換殼的瀏覽器,核心升級不如原版瀏覽器,這些可能存在安全問題。例如 360 瀏覽器、搜狗瀏覽器、獵豹瀏覽器,都可能存在此類問題。

黑奇士推薦安裝在線安裝chrome瀏覽器。國內網站下載的full版chrome瀏覽器,升級功能受到限制,可能導致安全性能受損。

3、對于普通小白用戶,推薦使用密碼管理器,軟件會自動識別網址,在仿冒的網址上不會自動填入密碼。但需要指出的是,這類密碼管理器一旦被人入侵,所有密碼都會被竊取。如何權衡風險和便利,還需要用戶自己把握尺度。

4、手機端下載交易所軟件時,不要怕麻煩,一定要從官網下載,不要從國內的手機軟件商店下載,那些軟件可能存在仿冒、換皮等問題。

多個大交易所仍有漏洞

3 月 10 日,有安全研究者在知乎表示,除了用戶賬戶被竊之外,交易所的風控邏輯存在漏洞,也是這次攻擊成功的關鍵。

知乎網友“二子乘舟”在文章中推測,幣安交易所并未采取真正的OTP(One-time Password)邏輯。

有幣安受害者在國外網站表示,自己開啟了幣安最高等級的2FA認證。所謂2FA,就是在登陸賬戶的時候,除了賬號名、密碼需要正確之外,網站還會向你發送一個手機驗證短信,驗證成功才允許登陸,這個在業內叫二次驗證。

幣安的邏輯漏洞在于,手機驗證短信在 30 秒有效期內可以被二次使用:用戶首先在幣安使用,然后黑客再利用這條短信再次登陸,驗證碼仍然有效。

而實際上,真正的OTP只允許一次登陸,即使在有效期之內,只要有人使用過一次,就會及時作廢,防止黑客和用戶同時異地登陸。

根據“二子乘舟”的檢驗,包括火幣、Bigone等著名交易所仍然存在OTP驗證漏洞,可能會被黑客攻擊。

回望“幣安驚魂夜”:釣魚事件如何發生,用戶又該如何防御?

                                                                 (來源:知乎網友,二子乘舟)

頂象高級安全專家朱燁表示,如果防范措施得當,當黑客竊取了用戶的密碼,試圖登陸幣安網站或app時,可以對其進行設備指紋、常用登陸IP、交易行為等多維度的風險模型識別,一旦發現異常即可阻止。

而且,根據幣安的公告,黑客使用了機械化高頻交易程序,控制被竊賬戶頻繁交易。像這種行為,在擁有豐富傳統金融安全經驗的安全模型來說,對其進行防御輕而易舉,有多種安全策略可以奏效。

安全路正長,諸君當努力

在黑奇士看來,現在無論什么行業,對于業務安全的需求都是有增無減。

以區塊鏈相關為例,幣安交易所對應了傳統的滬深交易所,從收入水平、業務規模上都幾乎可以與其匹敵。但每年滬深交易所的安全投入都是以數十億計,幣安投入了多少,對安全能說足夠重視嗎?

昨天,幣安發布公告,懸賞 25 萬美元捉拿黑客。

我想說,這種作秀有意思嗎,你把這 25 萬美元放到安全防御上行不行?

再次一點,你如果舍得丟臉,在 2 月 20 號收到警告的時候,官方發個安全公告,提醒用戶小心釣魚攻擊,還會有后來的3. 7 驚魂嗎?

一聲嘆息。

安全路正長,從業諸君當努力啊。

重庆时时彩官方网站app