7月1日,Trezor团队发现其加密钱包用户遭到了钓鱼攻击,他们认为“有迹象表明攻击手段是DNS中毒或BGP劫持”,因为攻击者劫持了官方网站wallet.trezor.io的流量,将用户重定向到一个虚假的恶意网站。目前仍在调查事件的确切原因。
HTTPS证书出错后事件曝光
在用户投诉他们登录Trezor的网络钱包门户时遇到无效的HTTPS证书后,这一攻击事件才浮出水面。
无效证书通常意味着用户登录的并非官方网站,而是假冒的、无法像官网那样通过加密验证自身。
在发现这一问题后,用户迅速向Trezor团队报告了这一事件,团队随后便证实了这是一次钓鱼攻击,并在7月1日,也就是上周日向用户发出通知谨防上钩。
虚假网站还有其他问题
Trezor团队认为,这并非一次随机的SSL服务器故障(这种问题时有发生),因为虚假网站存在两个问题。
第一个问题是,虚假网站告知用户其硬件钱包和Trezorweb账户的数据同步失败的出错信息,在表述上同Trezor不同。
第二个问题是,虚假网站要求用户输入他们的“恢复种子”副本,而真正的Trezor团队并不会提出这样的要求。
这立即使虚假网站的意图暴露出来,这些代码可以让攻击者直接接管用户的Trezor账户。
目前,还无法确定攻击者是否窃取了用户资金以及被盗资金的金额。
粗心的ICO企业
这个事件虽然看似与Trezor自身的安全防御无关,但作为平台方,其实Trezor也脱不了干系。
最近有一项研究指出,ICO投资者和ICO基础设施存在严重的安全漏洞,而这很大程度上是由于ICO企业的粗心/懒惰造成的。
研究者认为,ICO企业通常没能注册ICO域名的所有八本,从而使其用户很容易遭受社工和网络钓鱼攻击。
然而,研究显示,很多ICO企业却没有为用户账户启用双因素身份认证/多因素身份认证,或其他安全可信的身份认证方式,导致攻击者在用社工和钓鱼窃取用户账户信息后,就能通过冒用身份来盗窃其中的钱财。
我们知道,没有任何一种方法可以确保账户密码的安全,正是因此,在提高防范意识的基础上,用技术手段防止身份被盗用才是关键。
目前,锦佰安科技已经推出了相应的解决方案:一是用SecID AI行为识别身份认证系统和SecID多因素身份认证系统,确保用户和区块链交易平台员工的账户安全,防止身份被盗用,二是提供持续性的安全监测,贯穿软件系统整个生命周期,从而防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。
4733
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
