SlowMist: Phân tích biểu mẫu bị đánh cắp MistTrack quý 2 năm 2024

Với sự phát triển nhanh chóng của blockchain, các sự cố bảo mật như trộm tiền xu, lừa đảo và lừa đảo nhắm mục tiêu vào người dùng ngày càng gia tăng và các phương thức tấn công rất đa dạng. SlowMist nhận được một số lượng lớn yêu cầu trợ giúp từ các nạn nhân mỗi ngày, hy vọng rằng chúng tôi có thể trợ giúp trong việc theo dõi và giải cứu tiền. Trong số đó, có rất nhiều nạn nhân đã mất hàng chục triệu đô la. Dựa trên đó, loạt bài này thu thập số liệu thống kê và phân tích các biểu mẫu bị đánh cắp nhận được mỗi quý, nhằm mục đích phân tích các phương pháp xấu phổ biến hoặc hiếm gặp với các trường hợp thực tế sau khi giải mẫn cảm và giúp người dùng tìm hiểu cách bảo vệ tài sản của họ tốt hơn.

Theo thống kê, MistTrack Team đã nhận được tổng cộng 467 biểu mẫu bị đánh cắp trong quý 2 năm 2024, bao gồm 146 biểu mẫu ở nước ngoài và 321 biểu mẫu trong nước được cung cấp miễn phí. đánh giá dịch vụ cộng đồng (Ps. Nội dung bài viết này chỉ áp dụng cho các trường hợp gửi từ biểu mẫu, không bao gồm các trường hợp liên hệ qua email hoặc các kênh khác)

Trong số đó, MistTrack Team đã hỗ trợ đóng băng 18 khách hàng bị đánh cắp trên 13 nền tảng. Tài trợ của khoảng Hoa Kỳ $20,664,100.

3 lý do hàng đầu dẫn đến trộm cắp

Các chiến thuật tà ác phổ biến nhất trong hình thức quý 2 năm 2024 như sau:

Rò rỉ khóa riêng

Theo thống kê từ mẫu quý 2, nhiều người dùng sẽ rò rỉ khóa riêng của họ/cụm từ ghi nhớ được lưu trữ trong các đĩa đám mây như Google Docs, Tencent Docs, Baidu Cloud Disk, Graphite Docs, v.v. Một số người dùng sẽ gửi khóa riêng/cụm từ ghi nhớ cho bạn bè đáng tin cậy của họ thông qua các công cụ như WeChat và thậm chí còn tệ hơn. Thông qua chức năng đọc viết bằng hình ảnh của WeChat, sao chép các từ ghi nhớ vào bảng WPS, sau đó mã hóa bảng và khởi động dịch vụ đám mây, đồng thời lưu trữ nó vào đĩa cứng cục bộ của máy tính. Những hành vi tưởng chừng như cải thiện bảo mật thông tin này thực chất lại làm tăng đáng kể nguy cơ bị đánh cắp thông tin. Tin tặc thường sử dụng phương pháp "nhồi thông tin xác thực" để cố gắng đăng nhập vào các trang web dịch vụ lưu trữ đám mây này bằng cách thu thập cơ sở dữ liệu tài khoản và mật khẩu bị rò rỉ công khai trên Internet. Mặc dù đây là hành động ngẫu nhiên nhưng chỉ cần đăng nhập thành công, tin tặc có thể dễ dàng tìm và đánh cắp thông tin liên quan đến tiền điện tử. Những tình huống này có thể được coi là rò rỉ thông tin thụ động. Ngoài ra còn có một số trường hợp rò rỉ chủ động, chẳng hạn như nạn nhân bị những kẻ lừa đảo giả làm dịch vụ khách hàng xúi giục để điền các cụm từ ghi nhớ hoặc bị lừa bởi các liên kết lừa đảo trên các nền tảng trò chuyện như Discord, sau đó nhập thông tin khóa riêng tư. Tại đây, Nhóm MistTrack đặc biệt nhắc nhở mọi người rằng không được tiết lộ khóa riêng/cụm từ ghi nhớ cho bất kỳ ai trong bất kỳ trường hợp nào.

Ngoài ra, ví giả cũng là lĩnh vực bị ảnh hưởng nặng nề nhất dẫn đến rò rỉ khóa riêng. Phần này vốn đã sáo rỗng nhưng vẫn có một lượng lớn người dùng vô tình nhấp vào các liên kết quảng cáo khi sử dụng công cụ tìm kiếm và tải xuống ứng dụng ví giả. Vì lý do mạng, nhiều người dùng sẽ chọn tải các ứng dụng liên quan từ các trang tải xuống của bên thứ ba. Mặc dù các trang web này tuyên bố rằng ứng dụng của họ được tải xuống từ máy nhân bản Google Play, nhưng tính bảo mật thực tế của chúng vẫn còn nhiều nghi vấn. Trước đó, nhóm bảo mật SlowMist đã phân tích ứng dụng ví trên chợ ứng dụng apkcombo của bên thứ ba và nhận thấy phiên bản imToken 24.9.11 do apkcombo cung cấp là phiên bản không tồn tại và hiện là phiên bản có nhiều ví imToken giả nhất trên thị trường.

Chúng tôi cũng đã theo dõi một số hệ thống quản lý phụ trợ liên quan đến nhóm ví giả, bao gồm các chức năng kiểm soát tiền kỹ thuật số phức tạp như quản lý người dùng, quản lý tiền tệ và quản lý nạp tiền. Tính năng tiên tiến và tính chuyên nghiệp của loại hình câu cá này đã vượt quá sức tưởng tượng của nhiều người.

Ví dụ: Q2 có một trường hợp tương đối hiếm: một người dùng tìm kiếm "Twitter" trong công cụ tìm kiếm và vô tình tải xuống phiên bản giả mạo của ứng dụng Twitter. Khi người dùng mở ứng dụng, một lời nhắc bật lên thông báo rằng cần có VPN do các hạn chế trong khu vực và hướng dẫn người dùng tải xuống VPN giả đi kèm với ứng dụng. Kết quả là khóa riêng/cụm từ ghi nhớ của người dùng bị đánh cắp. Những trường hợp như thế này một lần nữa nhắc nhở chúng ta rằng bất kỳ ứng dụng và dịch vụ trực tuyến nào cũng cần được xem xét và xác minh cẩn thận để đảm bảo tính hợp pháp và bảo mật của chúng.

Lừa đảo

Theo phân tích, lý do lừa đảo của nhiều yêu cầu trợ giúp bị đánh cắp trong Quý 2 là: người dùng đã nhấp vào để đăng bình luận liên kết lừa đảo dưới dự án nổi tiếng Twitter. Trước đây, nhóm bảo mật SlowMist đã thực hiện phân tích và thống kê có mục tiêu: sau khi khoảng 80% các bên tham gia dự án nổi tiếng đăng tweet, tin nhắn đầu tiên trong khu vực bình luận sẽ bị chiếm giữ bởi các tài khoản lừa đảo lừa đảo. Chúng tôi cũng nhận thấy rằng có một số lượng lớn các nhóm trên Telegram để bán tài khoản Twitter. Những tài khoản này có số lượng người theo dõi và bài đăng khác nhau cũng như thời gian đăng ký khác nhau, cho phép người mua tiềm năng lựa chọn mua hàng dựa trên nhu cầu của họ. Lịch sử cho thấy hầu hết các tài khoản được bán đều có liên quan đến ngành công nghiệp tiền điện tử hoặc những người nổi tiếng trên mạng.

Ngoài ra, cũng có một số trang web chuyên bán tài khoản Twitter. Những trang web này bán tài khoản Twitter của nhiều năm và thậm chí còn hỗ trợ mua các tài khoản có độ tương tự cao. Ví dụ: tài khoản Optimlzm giả trông rất giống với tài khoản Optimism thật. Sau khi mua được một tài khoản có điểm giống nhau cao như vậy, nhóm lừa đảo sẽ sử dụng các công cụ quảng cáo để tăng lượng tương tác và lượng người hâm mộ của tài khoản, từ đó tăng độ tin cậy của tài khoản. Các công cụ quảng cáo này không chỉ chấp nhận thanh toán bằng tiền điện tử mà còn bán nhiều dịch vụ nền tảng xã hội bao gồm lượt thích, lượt tweet lại, người hâm mộ, v.v. Bằng cách sử dụng những công cụ này, nhóm lừa đảo có thể có được tài khoản Twitter với số lượng lớn người theo dõi và bài đăng, đồng thời bắt chước động thái công bố thông tin của bên dự án. Do có độ tương đồng cao với tài khoản của bên dự án thật nên nhiều người dùng khó phân biệt được đâu là thật đâu là tài khoản giả, từ đó càng làm tăng thêm tỷ lệ thành công của các nhóm lừa đảo. Sau đó, các nhóm lừa đảo thực hiện các hoạt động lừa đảo, chẳng hạn như sử dụng bot tự động để theo dõi động thái của các dự án nổi tiếng. Khi nhóm dự án đăng một tweet, bot sẽ tự động trả lời để lấy bình luận đầu tiên, từ đó thu hút được nhiều lượt xem hơn. Cho rằng các tài khoản do nhóm lừa đảo ngụy trang rất giống với tài khoản của nhóm dự án, nên một khi người dùng sơ suất nhấp vào liên kết lừa đảo trên tài khoản giả, sau đó ủy quyền và ký tên, có thể dẫn đến mất tài sản.

Nhìn chung, nhìn vào các cuộc tấn công lừa đảo trong ngành blockchain, đối với người dùng cá nhân, rủi ro chủ yếu nằm ở hai điểm cốt lõi là “tên miền và chữ ký”. Để đạt được sự bảo vệ an ninh toàn diện, chúng tôi luôn ủng hộ việc áp dụng chiến lược bảo vệ kép, cụ thể là phòng thủ nhận thức về an ninh nhân sự + phòng thủ phương tiện kỹ thuật. Phòng vệ kỹ thuật đề cập đến việc sử dụng các công cụ phần cứng và phần mềm khác nhau, chẳng hạn như plugin chặn rủi ro lừa đảo Scam Sniffer, để đảm bảo an toàn cho tài sản và thông tin. Khi người dùng mở một trang lừa đảo đáng ngờ, công cụ này sẽ xuất hiện rủi ro. kịp thời, do đó ngăn chặn rủi ro hình thành ngay từ đầu. Chặn nó ngay từ đầu. Về vấn đề bảo vệ nhận thức an ninh nhân sự, chúng tôi đặc biệt khuyến nghị mọi người nên đọc sâu và dần dần nắm vững "Sổ tay tự cứu rừng đen Blockchain" (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/ blob/main/ README_CN.md). Chỉ thông qua sự hợp tác của hai chiến lược bảo vệ này, chúng ta mới có thể chống lại hiệu quả các phương thức tấn công lừa đảo đang thay đổi và nâng cấp cũng như bảo vệ an ninh tài sản.

Gian lận

Có nhiều kỹ thuật lừa đảo, quý 2 là phổ biến nhất Trò lừa đảo phổ biến nhất là Pixiu Pan. Trong truyền thuyết, Tỳ hưu được coi là một sinh vật huyền diệu, người ta nói rằng nó có thể nuốt chửng mọi thứ mà không đào thải ra ngoài. Vì vậy, đĩa Tỳ hưu được dùng như một phép ẩn dụ cho các loại tiền kỹ thuật số không thể bán được một khi đã mua.

Một nạn nhân mô tả trải nghiệm của mình: "Tôi đã hỏi một câu hỏi trong nhóm Telegram và có người đã nhiệt tình trả lời nhiều câu hỏi của tôi và còn dạy tôi. Anh ấy đã dạy tôi rất nhiều điều về mọi thứ, và sau khi chúng tôi trò chuyện riêng trong hai ngày, tôi cảm thấy anh ấy khá tốt nên anh ấy đề xuất đưa tôi đến thị trường sơ cấp để mua mã thông báo mới và cung cấp cho tôi địa chỉ hợp đồng tiền tệ trên PancakeSwap sau khi tôi mua nó. , tiền tệ liên tục tăng mạnh. Anh ấy nói với tôi rằng đây là cơ hội vàng chỉ đến một lần trong nửa năm và đề nghị tôi tăng cường đầu tư ngay lập tức. Tôi cảm thấy mọi việc không đơn giản như vậy nên tôi đã không nghe theo lời khuyên của anh ấy. Anh ấy cứ thúc giục, tôi nhận ra có thể mình đã bị lừa nên nhờ những người khác trong nhóm kiểm tra giúp thì hóa ra đúng là đồng Tỳ Hưu. Tôi cũng thử và chỉ mua được chứ không mua được. bán nó đi. Khi kẻ lừa đảo phát hiện ra rằng tôi sẽ không tăng vị thế của mình nữa, anh ta cũng chặn tôi.”

Trải nghiệm của nạn nhân này thực sự phản ánh mô hình điển hình của Lừa đảo Pixiu Pan:

1. Những kẻ lừa đảo triển khai các hợp đồng thông minh đặt bẫy và thả mồi hứa hẹn lợi nhuận cao;

2. Những kẻ lừa đảo Cố gắng thu hút mục tiêu mua token. Nạn nhân thường thấy token tăng giá nhanh chóng sau khi mua. Do đó, nạn nhân thường quyết định đợi cho đến khi token tăng đủ trước khi thử đổi chúng. Kết quả là, họ nhận thấy rằng họ không thể bán số token đã mua ;

3. Cuối cùng, kẻ lừa đảo rút số tiền mà nạn nhân đã đầu tư.

Điều đáng nói là các đồng Pixiu được đề cập trong mẫu quý 2 đều xuất hiện trên BSC. Như bạn có thể thấy trong hình bên dưới, có rất nhiều giao dịch về đồng Pixiu. Những kẻ lừa đảo cũng đã gửi các token mà chúng nắm giữ đến ví và sàn giao dịch Tạo ảo giác có nhiều người tham gia.

Do tính chất ẩn giấu của thị trường Tỳ Hưu, ngay cả những nhà đầu tư có kinh nghiệm cũng khó có thể nhìn rõ sự thật. Ngày nay, xu hướng meme đang thịnh hành và nhiều loại “Dogecoin” khác nhau có tác động nhất định đến thị trường. Vì giá của đĩa tỳ hưu sẽ tăng nhanh nên người ta thường chạy theo xu hướng và mua sắm bốc đồng, nhiều người tham gia thị trường không biết sự thật đang đuổi theo làn sóng “cơn sốt chó địa phương” này nhưng lại vô tình rơi vào bẫy của đĩa tỳ hưu. Sau khi mua, họ không thể sử dụng nó để bán nữa.

Do đó, MistTrack Team khuyến nghị người dùng nên thực hiện các biện pháp sau trước khi giao dịch để tránh tổn thất tài chính do tham gia giao dịch Pixiu:

• Sử dụng MistTrack để kiểm tra trạng thái rủi ro của các địa chỉ liên quan hoặc sử dụng công cụ phát hiện bảo mật Token của GoPlus để xác định tiền Pixiu và đưa ra quyết định giao dịch;

• Kiểm tra xem mã đã được kiểm tra và xác minh trên Etherscan, BscScan hay đọc các bài đánh giá hay chưa, vì một số nạn nhân đưa ra cảnh báo về tab nhận xét về tiền xu;

• Hiểu thông tin tiền ảo có liên quan và xem xét kiến ​​thức nền tảng của bên dự án để nâng cao nhận thức tự phòng ngừa. Hãy cảnh giác với các loại tiền ảo mang lại lợi nhuận cực cao thường có nghĩa là rủi ro lớn hơn.

Viết ở cuối

Nếu tiền điện tử của bạn không may bị đánh cắp, chúng tôi sẽ cung cấp các dịch vụ hỗ trợ cộng đồng miễn phí để đánh giá trường hợp. Bạn chỉ cần gửi biểu mẫu theo nguyên tắc phân loại (tiền bị đánh cắp/lừa đảo/tống tiền). Đồng thời, địa chỉ hacker mà bạn gửi cũng sẽ được đồng bộ hóa với mạng lưới hợp tác tình báo mối đe dọa SlowMist InMist Lab để kiểm soát rủi ro. (Lưu ý: Gửi biểu mẫu tiếng Trung tới https://aml.slowmist.com/cn/recovery-funds.html và gửi biểu mẫu tiếng Anh tới https://aml.slowmist.com/recovery-funds.html)< p style="text-align: left;">SlowMist đã tham gia sâu vào lĩnh vực chống rửa tiền bằng tiền điện tử trong nhiều năm và đã hình thành một giải pháp hoàn chỉnh và hiệu quả bao gồm ba khía cạnh tuân thủ, điều tra và kiểm toán và tích cực Giúp xây dựng môi trường sinh thái lành mạnh cho tiền điện tử, đồng thời cung cấp các dịch vụ chuyên nghiệp cho ngành Web3, tổ chức tài chính, cơ quan quản lý và bộ phận tuân thủ. Trong số đó, MistTrack là một nền tảng điều tra tuân thủ cung cấp phân tích địa chỉ ví, giám sát quỹ và truy xuất nguồn gốc. Nó đã tích lũy được hơn 300 triệu nhãn địa chỉ, hơn 1.000 thực thể địa chỉ, hơn 500.000 dữ liệu thông minh về mối đe dọa và hơn 90 triệu địa chỉ rủi ro. những điều này cung cấp sự bảo vệ mạnh mẽ để đảm bảo an ninh cho tài sản kỹ thuật số và chống tội phạm rửa tiền.