本期内容的是整理了一些白帽黑客的资金安全相关文章啊,以及种种被骗被盗案例,给大家总结的web3生存指南
一、推特回复假账号钓鱼网站(重灾区)
1、假官方推特账号
这是推特的bug;而且一直没解决;往往官推的帖子下面会有假账号在回复钓鱼内容;很容易中招而且防不胜防。
- 如何辨别:
- 关注该账号的粉丝数,共同关注数(先多关注点大v),关注推文互动情况和流量情况
- 使用检测插件:
必备授权检测和网站监测插件:https://www.scamsniffer.io/extension/
授权检测:https://revoke.cash/
- 此外是来自”官方“的钓鱼网站:
官推被盗的情况:比如之前的meson桥 - 如何从根本解决:
热钱包资产隔离
- 准备一个试错钱包:
资产账户隔离在手机账户里,不放在电脑里;相对操作会少很多试错钱包里平时只放少量资产,第一次和网站,合约交互时就用该钱包
就算遇到了钓鱼网站或者不小心错误授权了,损失的资产也不多环境也是隔离的 - 另外就是隔离用的环境,比如使用ads指纹浏览器
注册链接:
https://adspower.saaslink.net/N7k8K0G9r0ayEUp
二、搜索引擎搜索钓鱼
类似前面的推特诈骗当你使用搜索引擎下载钱包等web3 和app的时候大概率会遇到假网站,假app
更不要通过小道途径下载任何内容;只通过官方渠道比如你要下载插件,请务必到谷歌市场,找到官方插件,下载量最多的那个就是真的。不要随便下载不知名的插件。
应对方法:
- 不要再使用搜索引擎搜索;而使用推特搜索;官推下面的一定是官网
- 必备授权检测和网站监测插件:https://www.scamsniffer.io/extension/
- 授权检测:https://revoke.cash/
三、小心私聊你的人;当雷锋的人;tg私聊诈骗(重灾区)
- 网站链接
- app,插件下载链接
- 推荐貔貅盘合约
- 假群主、假管理员、假大v
假人假号;头像一样,名字看似一样,社交账号的唯一字段基本都是类似什么用户名或 XX 号之类的,其他都可以被坏人完全复用。有的社交平台有账号认证机制,比如加个蓝 V 什么的。开放的社交还可以通过一些指标来看是不是真账号,比如 follow 情况、发布的内容情况、内容互动情况等,不要再使用tg搜索:因为很多假账号和骗子社交平台上充斥了大量钓鱼陷阱,比如你在一个群里聊着聊着,突然冒出了个看去就像官方的客服私聊你(嗯,任意私聊是 Telegram 的机制,并不需要加好友),然后拿出杀猪盘经典话术,一些人就陆续上钩了。进一步的话,直接拉你进入另一个群,里面的人除了你,其他都是仿冒的。但你一看就觉得特别真实。黑产里的群克隆技术指的就是这种。这些都是初级的人性利用,高级点的就会结合漏洞来利用,更是难防要知道;任何大v一般情况都不会在tg私聊你帮助你你要知道影响力很大的大v处理的事情太多了大概率不会在你这里当雷锋,时间成本很大另外就是discord情况也是类似的的,假号发钓鱼内容;所以,任何在群组内私聊的请默认一定是骗子;100%
四、空投nft和代币授权诈骗
- 合约检测和项目审计
https://avedex.cc/check - okx取消授权:
https://www.okx.com/zh-hans/web3
Solana 上的授权钓鱼非常多,攻击者批量给用户空投 NFT,用户通过空投 NFT 描述内容里的链接(www_officialsolanarares_net)进入目标网站,连接钱包,点击页面上的“Mint”,出现批准提示框。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有 SOL 都会被转走。
五、文件投毒盗币
- 假项目方;假大v;假的群主;私聊发送假pdf文件;植入木马压缩文件;邮件附带pdf
这类木马一般都会包括如下常规功能: - 各种凭证采集,如浏览器的记录cooike,SSH 有关的等,这样黑客就可以把触手伸向目标用户的其他服务。
- 键盘记录,尤其采集那些临时出现的敏感内容,如密码等。
- 相关截屏、敏感文件采集等。
- 如果是勒索病毒,进一步的就是将目标设备上的文件都高强度加密了,等待受害者来支付赎金,一般是支付比特币。
- 扫描你的电脑私钥和助记词
- 替换浏览器扩展,窃取私钥
- 远程控制、剪切板攻击
怎么办:
谷歌共享;不要下载任何文件;回到第三条,任何私聊你的,当雷锋的,给你发文件的,请默认是骗子中毒的话,你电脑里的资产可能会完全归零
- 设备安全:
请使用mac 和ios端,减少使用pc端,win电脑,ios端会更加安全:
手机方面同样要重视系统的安全更新及下载的安全原则,并且警惕下面这几点: - 不要越狱、Root 破解,除非你玩安全研究,否则没必要。如果是为了盗版软件这样做,香不香得看你的驾驭能力。 不要从非官方市场下载
- App,还是那句话,除非你能驾驭它。而且即使从官方市场下载的 App 也存在不少假的,注意分辨。
- 官方的云同步使用的前提是:账号安全方面你确信没问题,否则云端被控,手机也就麻烦了。
- 账号开启双因素认证(2FA)
工具有:Google Authenticator、Microsoft Authenticator 等,当然如果你用密码管理器(如 1Password)也是自带了 2FA 功能的 - 科学上网:梯子
请使用付费梯子,而且一定是用的人很多的
千万不要用免费梯子,务必 - 环境隔离:
主要就是ads指纹浏览器
以及虚拟机 - 如果你的电脑中毒被盗了;
请不要再使用该电脑;任何系统重装,更换硬件的方式都无法杀死抹除病毒;
因为区块链的这群黑客的病毒技术遥遥领先市面上99%的杀毒措施。
六、私钥和助记词的安全性
一定手抄;不要云端储存;不要存在电脑里面,云端会被官方黑,电脑会中毒
总之请不要留痕;不要心存侥幸,腾讯的数据库也不安全
七、转账钓鱼
请务必每次都去复制你的转账地址,核对地址;不要偷懒 被钓鱼1155btc案例
https://twitter.com/evilcos/status/1786385658002522293
八、人性安全
- 别贪心,天上不会掉馅饼
- 别粗心,剪切板可能被调换;转入地址可能是假的;对方可能是骗子;账号可能是假的;文件和app可能有病毒;合约可能是貔貅
- 别冲动;先看下合约对不对;别冲错地址了;
总结:
币圈就是暗黑森林;一旦资产丢失,是几乎不可能追回的;
所以啊,我们能做的就是不断提升自己的防盗防骗能力;
不然,好不容易辛苦赚的钱可能最后一不小心一场空。真的会让人很绝望,痛苦。
希望大家都能够在web3多赚钱;看完这篇文章;不会被盗不被骗;
1074
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
