Web 3.0 中常见的网络钓鱼攻击
简要介绍
Web 3的网络钓鱼日益增多,一些主要的网络钓鱼技术包括:
- 使用不安全的Discord机器人在一些官方的Discord服务器上发布钓鱼链接;
- 直接发送钓鱼链接;
- 利用搜索引擎上的广告宣传虚假网站;
- 通过假Discord机器人直接发送信息;
- 与官方域名高度相似的域名及内容;
- 利用Opensea等NFT交易平台推广虚假项目;
- 使用虚假的合约地址。
建议:
- 经常多渠道查看信息,不轻易信任“bot”或“官方链接”;
- 警惕直接消息:官方机器人不会在DM中要求验证;
- 仔细检查域名或合约地址;
- 尽量减少Discord中的机器人数量;
- 不要在浏览器中为一些敏感网站添加书签。
网络钓鱼的定义
根据维基百科的定义,网络钓鱼是一种犯罪骗局,试图通过伪装成有信誉的法律实体的媒体,从电子通信中获取敏感的个人信息,如用户名、密码和信用卡详细信息。网络钓鱼通常是通过电子邮件或即时消息进行的。它通常会引导用户进入看起来与真实网站几乎相同的虚假网站,以输入个人信息。即使有强大的加密和SSL服务器身份验证,仍然很难检测一个网站是真是假。网络钓鱼是使用社会工程技术欺骗用户的一个例子。它依赖于当前web安全技术的低亲和力。
在web3世界,网络钓鱼主要通过Discord、网站伪造等一系列手段实现。
Web3典型的网络钓鱼案件
本文将揭示web3世界中几种常见的网络钓鱼方法:
- Discord机器人
2022年5月23日,Discord的MEE6机器人遭到攻击,导致在一些 Discord 官方服务器中发布了有关铸币的钓鱼网站信息。
在2022年5月6日,Opensea的官方Discord被黑客入侵,黑客使用机器人账户在频道上发布虚假链接,声称“Opensea与YouTube合作,点击链接制造100个限量版的mint pass NFT”。