安全平台警告隐藏的钓鱼和钱包损耗链接
安全平台警告:隐藏的钓鱼和钱包损耗链接
在签署恶意权限后,价值数百万美元的资产因网络钓鱼攻击而丢失,因此通过可疑链接丢失加密资产的威胁非常真实。当这些与允许隐藏链接的平台相结合时,用户就会面临一种不同的风险。
9月4日,Web3安全提供商Pocket Universe分享了骗子如何在即时通讯平台Discord的任何文本中隐藏钱包损耗链接。尽管一些用户报告称该功能最近才对Discord用户启用,但在许多不同的社交平台上嵌入链接的能力已经可用一段时间了。
骗子现在可以在任何discord文本中隐藏链接 ☠️小心隐藏的钱包损耗链接,例如 pic.twitter.com/mgqG18sOF9
— Pocket Universe (@PocketUniverseZ) September 4, 2023
Cointelegraph联系了几位网络安全专家,了解用户如何保护自己免受此类攻击以及平台如何提高安全性以免用户遭受此类攻击。
作为Web3安全公司Forta Network的研究员,Christian Seifert表示,这种类型的攻击自互联网诞生以来一直是黑客的主要手段。他解释说:
“无论平台创造了什么,总会有黑客准备好找到攻击的方法。超链接是作为HTML的一部分支持的功能,自互联网早期以来一直是网络钓鱼攻击的来源。”
据Seifert介绍,安全需要一种深入防御的方法。“平台和用户都需要努力保护自己,”他说。这位安全专家强调,用户可以使用插件来保护自己免受此类欺诈。
在谈到Discord时,Seifert指出该平台确实会在用户点击链接后提供有关URL真实目标的信息。然而,该平台还允许用户“信任”一个域名。Seifert表示,这可能被骗子滥用。他解释说:
“想象一个用户信任的域名,比如foo.bar。骗子可以制作一个潜在恶意的链接,在该域名上执行某些操作,比如发送一个“oauth”请求给骗子,如foo.bar/oauth/scammer-account。”
这位网络安全专家表示,平台当前实现的问题在于链接和文本可能会具有欺骗性,并与用户的预期不符。“如果一个文本链接明显类似于域名或URL,并且与真实目标URL不匹配,Discord应禁止此类链接,”他补充道。
相关文章:2023年,利用漏洞、黑客攻击和诈骗盗走了近10亿美元:报告
与此同时,区块链安全公司CertiK的安全运营总监Hugh Brooks也表达了一些Seifert的观点。根据Brooks的说法,用户和平台有责任警惕恶意行为者。他解释说,平台需要不断检查和改进其安全功能,而用户则需要保持警惕和学习。
对于用户来说,Brooks表示,他们在处理链接时应该主动谨慎,尤其是在要求签名和权限时。该高管敦促用户在授予访问加密钱包之前验证网站地址的真实性。Brooks分享道:
“一个好的做法是与公认的钓鱼警告列表交叉检查网址。PhishTank、Google Safe Browsing和OpenPhish是有价值的资源,此外还有浏览器插件如HTTPS Everywhere和广告拦截器如uBlock。”
Brooks解释说,这些工具可以在用户即将访问已知钓鱼或恶意网站时实时提醒用户。“此外,通过将鼠标悬停在URL链接上,用户可以显示实际的网址,以在进一步操作之前确认其合法性,”他补充道。
在平台方面,该网络安全专家表示可以采取措施,例如只接收来自信任联系人的消息。Brooks表示,Meta的“Facebook Protect”就是一个很好的例子,它可以让用户为其账户提供更高级别的安全功能。
“俗话说,唯一不变的是变化。平台应对其用户和持续的相关性负有责任,把安全放在首位。这不仅涉及更新安全措施,还需要在用户中培养警觉和意识的文化,”他补充道。
杂志:加密项目是否应与黑客协商?或许
We will continue to update 算娘; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles