回望“币安惊魂夜”:钓鱼事件如何发生,用户又该如何防御?

  • 时间:
  • 浏览:4

币安网创始人赵长鹏

3 月 7 日,知名数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。

根据币安交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限以前 ,使用机器挂单,进行守护进程运行化高频交易,给用户带来巨大损失。

这几天关于此事的新闻一些,但绝大多数都在 从事件你是什么出发,对数字货币的影响、对交易平台的影响等。

最关键的一些没人提及:到底钓鱼事件是怎么地处的,作为币安的普通用户,你会们应该怎么防御此类攻击?

一年前,华裔学生报告unicode钓鱼漏洞

在币安交易所发布的公告中指出,本次攻击,黑客使用了“unicode钓鱼手法”,你你是什么是哪此鬼?估计99%的记者没看懂。

2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生xudong zheng发表了一篇论文,题目是《Phishing with Unicode Domains》,中文大意为“用unicode网址钓鱼”。文章中给出了你是什么钓鱼的法律方式,多语言字符混合来骗过用户的眼睛。

安全专家向黑奇士表示,咱们使用的浏览器,是以英文为基础的,包括网址在现在现在始于也是仅能解析英文,所谓的unicode编码。

为了让浏览器支持多语言,另一个人开发了punycode编码,这套编码还还要让世界上一些的语言还还要被浏览器“理解”,比如中文、俄文、韩语。

类事,我能 访问ipone 网站,在最早你还要输入英文的apple.com;并且中国的cnnic、 3721 等公司,相继开发了此人 的插件,让浏览器支持“新浪.com”、”“百度.com”没人 的域名。Punycode就合适一款语言插件(编码标准),被内置在了主流浏览器当中。

但使用puycode编码的网址会有5个多哪此的问题报告 ,比如中文拼音的 ü,跟英文单词的u,看起来非常像(5个多转过身有两点,5个多没人),但这套编码会识别成5个多字母。

这就带来你是什么攻击:另一个人把各种语言的类事字母组合在一并,冒充知名网址。

本次币安的钓鱼攻击,就是另一个人把西里尔语字母,跟英文字母结合,冒充币安的网址。

黑奇士采访的资深白帽子M表示,即使是专业安全人士,由于对web安全半生不熟,面对你你是什么钓鱼也很有由于上当。

(看到n下面那两点啥后后,那都在 英文字母)

半月前赵长鹏已收到警报,但未做正确处理

所谓的钓鱼攻击,本质上就是用户在5个多“仿冒网站”上输入了此人 的账号密码。

你你是什么仿冒网站,要想针对性的投贴到 币安用户群中,黑客会使用一些精准化的投放手法,类事搜索引擎的广告投放、向币安用户发送钓鱼邮件、在电报群中点对点发送网址链接等。

哪此动作都也能 在短期内起效,由于交易所在安全监控上投入精力,是有由于早期发现、早期正确处理之类事件的。

可惜的,币安交易所并未做到。

有微信截图显示,早在 2 月 20 日,另一个人向币安交易所创始人赵某发布了钓鱼警告,他表示哪此的问题报告 已得到正确处理。从币安的后续法律方式来看,他并未把你你是什么警告当真,合适没人向地处风险的用户发布警告,以求尽力挽回损失。

白帽子M先生表示,针对此类unicode钓鱼,主流浏览器由于也能防御。在PC端,就是把浏览器升级到最新版本,就能正确处理一大每项威胁;在手机上,安装杀毒软件也能正确处理一些哪此的问题报告 。由于是ipone 手机,安装腾讯手机管家,iOS系统会调用其SDK,也能对钓鱼网址进行拦截。

黑奇士查看币安网站,截至发稿,网站首页没人任何安全提醒。

普通用户应该怎么防范此类钓鱼攻击?

黑奇士提醒普通用户,还还要采取如下法律方式,降低数字币交易的安全风险:

1、无论手机端还是PC端,都还要安装杀毒软件,而且 要安装套装。单纯“杀毒”,是无法正确处理钓鱼没人 哪此的问题报告 的,黑奇士推荐卡巴斯基的杀毒套装(付费版),国内说说,还还要尝试腾讯安全管家或火绒杀毒软件(两者均为免费软件)。

2、浏览器还要保持实时升级,事实上,uniode钓鱼过去由于一年,主流浏览器都应该打了补丁,对近似字符区别性显示。但国内一些换壳的浏览器,核心升级不如原版浏览器,哪此由于地处安全哪此的问题报告 。类事 330 浏览器、搜狗浏览器、猎豹浏览器,都由于地处此类哪此的问题报告 。

黑奇士推荐安装到线安装chrome浏览器。国内网站下载的full版chrome浏览器,升级功能受到限制,由于由于安全性能受损。

3、对于普通小白用户,推荐使用密码管理器,软件会自动识别网址,在仿冒的网址上我没人多 自动填入密码。但还要指出的是,类事密码管理器一旦被人入侵,所有密码都在被窃取。怎么权衡风险和便利,还还要用户此人 把握尺度。

4、手机端下载交易所软件时,何必 怕麻烦,一定要从官网下载,何必 从国内的手机软件商店下载,哪此软件由于地处仿冒、换皮等哪此的问题报告 。

多个大交易所仍有漏洞

3 月 10 日,有安全研究者在知乎表示,除了用户账户被窃之外,交易所的风控逻辑地处漏洞,也是这次攻击成功的关键。

知乎女网民“二子乘舟”在文章中推测,币安交易所并未采取真正的OTP(One-time Password)逻辑。

有币安受害者在国外网站表示,此人 开启了币安最高等级的2FA认证。所谓2FA,就是在登陆账户的以前 ,除了账号名、密码还要正确之外,网站都在向你发送5个多手机验证短信,验证成功才允许登陆,你你是什么在业内叫二次验证。

币安的逻辑漏洞在于,手机验证短信在 30 秒有效期内还还要被二次使用:用户首先在币安使用,而且 黑客再利用这条短信再次登陆,验证码仍然有效。

而实际上,真正的OTP只允许一次登陆,即使在有效期之内,就是另一个人使用过一次,就会及时作废,正确处理黑客和用户一并异地登陆。

根据“二子乘舟”的检验,包括火币、Bigone等著名交易所仍然地处OTP验证漏洞,由于会被黑客攻击。

                                                                 (来源:知乎女网民,二子乘舟)

顶象高级安全专家朱烨表示,由于防范法律方式得当,当黑客窃取了用户的密码,试图登陆币安网站或app时,还还要对其进行设备指纹、常用登陆IP、交易行为等多维度的风险模型识别,一旦发现异常即可阻止。

而且 ,根据币安的公告,黑客使用了机械化高频交易守护进程运行,控制被窃账户频繁交易。像你你是什么行为,在拥有充沛传统金融安全经验的安全模型来说,对其进行防御轻而易举,有多种安全策略还还要奏效。

安全路正长,诸君当努力

在黑奇士看来,现在无论哪此行业,对于业务安全的需求都在 有增无减。

以区块链相关为例,币安交易所对应了传统的沪深交易所,从收入水平、业务规模上都几乎还还要与其匹敌。但每年沪深交易所的安全投入都在 以数十亿计,币安投入了几次,对安全能说足够重视吗?

昨天,币安发布公告,悬赏 25 万美元捉拿黑客。

我能 说,你你是什么作秀有意思吗,你把这 25 万美元贴到 安全防御上行不行?

再次一些,你由于舍得丢脸,在 2 月 20 号收到警告的以前 ,官方发个安全公告,提醒用户小心钓鱼攻击,都在有并且的3. 7 惊魂吗?

一声叹息。

安全路正长,从业诸君当努力啊。