フィッシングサイトがWeb3に侵入します。これらの詐欺防止スキルは習得する必要がある

Wikipedia によると、フィッシングとは、信頼できる法人を装って、ユーザー名、パスワード、クレジットカードの詳細などの個人情報を電子通信から入手しようとする犯罪詐欺のプロセスです。

これらの通信は、被害者の騙されやすさを欺くために、人気のあるソーシャルネットワーキングサイト (YouTube、Facebook、MySpace)、オークションサイト (eBay)、オンラインバンク、電子決済サイト (PayPal)、またはネットワーク管理者 (Yahoo、インターネットサービスプロバイダー、企業代理店) からのものであると主張します。

フィッシングは通常、電子メールまたはインスタントメッセージングを介して行われます。多くの場合、URL やインターフェースの外観が実際の Web サイトとほぼ同じである偽の Web サイトで、ユーザーを個人情報を入力するように誘導します。強力な SSL サーバー認証を使用しても、Web サイトが偽物であるかどうかを検出するのは困難です。フィッシングは、現在のネットワークセキュリティ技術の親和性の低さを利用してユーザーを騙すために使用されるソーシャルエンジニアリング手法の一例です。

Web3 の世界では、フィッシングは主に Twitter、Discord、Web サイトの偽造などの一連の手段を通じて実行されます。通常、これは、プリテキスティング、オンラインチャット、ベイティング、等価交換、同情などのソーシャルエンジニアリング攻撃を伴うため (詳細については、Wikipedia: ソーシャルエンジニアリングを参照)、防御が困難です。

この記事では、Web3 の世界でよく見られるフィッシングの手法をいくつか紹介します。一緒に見てみましょう。

フィッシング

公式Discordが盗まれフィッシング情報が公開される

2022年5月23日、MEE6の公式Discordが攻撃を受け、アカウントが盗まれ、公式Discordグループでmintのフィッシングサイト情報が公開されました。

2022年5月6日、NFT取引市場Openseaの公式Discordが攻撃を受けました。ハッカーはロボットアカウントを使ってチャンネルに偽のリンクを投稿し、「OpenSeaはYouTubeと協力関係を結んだ。リンクをクリックすると、限定数100枚のミントパスNFTの鋳造に参加できる」と主張した。

最近、公式Discordが攻撃されるケースが増えています。成都聯安セキュリティチームによる分析の結果、理由としては以下が考えられます。

プロジェクトスタッフがフィッシング攻撃を受け、アカウントが盗まれました。
プロジェクト所有者がマルウェアをダウンロードしたため、アカウントが盗まれました。
プロジェクト所有者が二要素認証を設定せず、弱いパスワードを使用したため、アカウントが盗まれました。
プロジェクト関係者はフィッシング攻撃を受け、ブラウザの同一生成元ポリシーを回避するために悪意のあるブックマークを追加した結果、プロジェクト関係者の Discord トークンが盗まれました。

詐欺防止のヒント

フィッシング

ジェイ・チョウがフィッシング攻撃を受け、数百万ドル相当のNFTが盗まれた

2022年4月1日のエイプリルフールに、ジェイ・チョウは自分が保有するBAYC#3738 NFTが盗まれたとインスタグラムに投稿した。

このNFTは今年1月に黄立成氏から寄贈されたものとみられる。成都聯安セキュリティチームが確認したところ、0x71de2で始まるジェイ・チョウのウォレットアドレスが最初に新しいプロジェクトの作成に使用され、その後フィッシングリンクに遭遇したことが判明しました。その後、11時頃に認可（承認）トランザクションに署名し、0xe34f0で始まる攻撃者のウォレットにNFTの許可を与えました。おそらくこの時点でジェイ・チョウは、彼のNFTがすでに危険にさらされていることに気づいていなかったのでしょう。

わずか数分後、攻撃者は11:07にBored Ape BAYC #3738 NFTを自身のウォレットアドレスに転送し、盗んだNFTをLooksRareとOpenSeaで約169.6 ETHで販売しました。

詐欺防止のヒント:

フィッシング

Google 広告の脆弱性: フィッシングサイトが上位に

2022年5月10日、Discordと暗号資産脅威緩和システムSentinelの創設者であるSerpentは、Google検索ページでNFT取引プラットフォームX2Y2の最初の検索結果が詐欺サイトであるとツイートした。 Google 広告の抜け穴を悪用し、本物のウェブサイトと詐欺 URL をまったく同じに見せかけ、約 100 ETH を盗み出しました。

詐欺防止のヒント

フィッシング

偽ロボットがプロジェクトオーナーを装い、プライベートチャットにフィッシングサイトを送信する

最近、新しいプロジェクトに注目していたところ、そのプロジェクトの公式サイトから公式 Discord グループに参加しました。グループに参加した後、私はまず国際慣行に従って正式なロボット本人確認を実施しました。ただし、この検証メッセージはロボットによってプライベートメッセージで送信されました。この時点では多少の疑問はありましたが、「ロボット」というプロンプトラベルを見てからは、あまり気にしなくなりました。

しかし、リンクを再度開くと、Metamask ウォレットが自動的に呼び出され、パスワードの入力を求められました。この時点で、私は基本的にウェブサイトに何か問題があると確信していました。デバッグと分析の結果、このウェブサイトは本物のMetamaskによってポップアップ表示されたものではなく、Metamaskウォレットインターフェースを模倣した偽のウェブサイトであることが判明しました。パスワードを入力すると、ニーモニックフレーズの確認を求められます。最後に、パスワードとニーモニックフレーズの両方が攻撃者のバックエンドサーバーに送信されます。それ以降、あなたの財布は盗まれるでしょう。

詐欺防止のヒント

ドメイン名やコンテンツが高度に模倣されたフィッシングサイト

フィッシング

現在、著者は市場でさまざまな偽のウェブサイトを発見しましたが、そのほとんどはドメイン名、コンテンツなどの点で公式ウェブサイトを非常に高度に模倣しています。この方法はフィッシングで最も一般的に使用される手法です。帰納的分析によれば、主に以下の形式をとる。

（１）トップレベルドメイン名は変更されるが、プライマリドメイン名は変更されない。例えば、下の図では、公式サイトのトップレベルドメイン名は .com で、フィッシングサイトのトップレベルドメイン名は .fun です。

（２）opensea-office、cyber-kongzなど、ユーザーを混乱させるような単語や記号をメイン名に追加する。

（３）セカンドレベルドメイン名を追加してターゲットを混乱させ、フィッシング詐欺を行う。

詐欺防止のヒント

外洋漁業プロジェクトを開始

フィッシング

しばらく前に OpenSea を閲覧していたとき、公式 Web サイトではまだ販売が開始されていないが、OpenSea で 10k でリストされており、所有者が 5.4k 人に近いプロジェクトを見つけました。私はすぐに非常に注意深くなり、慎重に分析した結果、新しい釣りのコツを発見しました。このプロジェクトは、まず方法5を使用して、模倣度の高い公式サイトと類似のドメイン名を作成し、次にopenseaで類似の名前のプロジェクトを立ち上げ、注目を集めるために「free mint」などの単語を追加しました。

さらに、フィッシングサイトの中には、フィッシングTwitterと連携して詐欺を働くものもあります。

詐欺防止のヒント

フィッシング

契約住所の真偽

今年3月には新たな詐欺事件が発生し、これもまた目を見張るものでした。 APEcoin プロジェクトの契約アドレスは次のとおりです。

0x4d224452801ACEd8B2F0aebE155379bb5D594381

攻撃者は、最初と最後の数字が同じ偽の契約書を偽造し、それをフィッシング詐欺の宣伝と組み合わせてフィッシング詐欺を実行しました。偽の契約書は次のとおりです。

0x4D221B9c0EE56604186a33F4f2433A3961C94381

この種の攻撃はまれですが、非常に欺瞞的です。セキュリティ意識の高い人の多くは、契約アドレスの最初と最後の桁が正常かどうかを無意識に確認しますが、それをすべて書き留める人はほとんどいません。

詐欺防止のヒント

上記はフィッシング詐欺でよく使われる手法のみを列挙したものです。 Web3 の人気が高まり続ける中、フィッシング詐欺が次々と発生しています。ユーザーは上記の詐欺防止のヒントを念頭に置き、フィッシング詐欺に遭わないように最善を尽くす必要があります。ただし、詐欺に遭った場合は、以下の対策を講じて可能な限り状況を改善できます。