web3 分野でのさまざまなアプリケーションの開発が進むにつれて、セキュリティの問題も顕著になっています。近年、フィッシング詐欺による攻撃が多発し、さまざまなフィッシング攻撃の手口が後を絶たない流れで出現しています。現時点では、フィッシング攻撃をより明確に理解する方法、つまりフィッシングを回避する方法が特に重要です。
この一連の記事は web3 セキュリティから始まり、引き続き web3 セキュリティのトレンドを追跡します。
メールフィッシング
攻撃者は、NFT セール、ウォレット アップグレード、NFT プレセール、エアドロップ コレクション、コントラクト アップグレード、プロジェクト交換 Web サイト、特別な NFT、宝くじなどのさまざまなホットスポットを使用して、巧妙に模倣された公式 Web サイトとプレセールを含むフィッシング メールを送信します。プラットフォーム、アプリのダウンロード リンクなど、ユーザーが注意を払わないとだまされます。
メール フィッシング ケース
1. ハッカーは、Opensea が販売注文を移行するためにユーザーを必要としていることを知っており、Opensea の担当者が移行日と操作手順について事前に電子メールを送信していることを知っています。
2. ハッカーは事前にフィッシング Web サイトを作成し、コントラクトを展開しました。
3. 偽装メールで移行操作を行うようユーザーに通知し、被害者にフィッシングサイトの受注の移行操作を誘導する。この移行操作は、ユーザーが売り注文に署名できるようにするためのものですが、署名された売り注文の価格は 0 です。
4. ハッカーは、ユーザーが署名した販売注文情報を取得し、OpenSea トランザクション コントラクトを呼び出して価格 0 でトランザクションを完了し、被害者の NFT を取得することに成功します。
回避する方法
- メールの差出人は偽造可能であり、メールの差出人から正規のメールかどうかを判断することはできません。
- 右ボタンのアドレスをクリック後、ブラウザに表示されたアドレスが訪問したいWebサイトかどうかを判断
- 公式からメールに個人情報の提供を求めることはありませんので、その場合は公式メールかどうか判断してください。
- ブックマークに追加された一般的に使用される Web サイトの場合、使用するたびに、他の場所を開く代わりに積極的にクリックします
偽の公式
「フィッシングサイト」とは、ユーザーをだますために使われる偽サイトのことで、ページは基本的に本物のサイトのインターフェースと同じで、ユーザーの秘密鍵やニーモニックフレーズをだまして盗み出します。通常、フィッシング Web サイトには 1 つまたは数ページしかなく、実際の Web サイトとはわずかに異なります。この詐欺は長い間存在しており、詐欺師によって広められたギミックのほとんどは、エアドロップを受け取ったり、問題を解決したりするためのものです.
偽の公式サイトのフィッシング
フィッシング サイト: https://adidas-meta.com/
1. 攻撃者はまず、公式 Twitter アカウントを模倣した Twitter アカウントを作成し、コメント欄に Adidas Avatar の無料請求と @many fans をツイートしました。
2. Web サイトを開き、ウォレットを接続して [今すぐ請求] をクリックすると、setApprovalForAll を実行して攻撃アカウントを承認するように求められます。[拒否] をクリックすると、常にリクエスト ボックスが表示されます。
3. フィッシング Web サイトを時間内に閉じることができず、ポップアップが続く場合は、トランザクションを実行しようとしているところです. 明確に表示されていない場合は、Opensea からの要求と間違えて承認する可能性があります.
4. 攻撃者または認証の後、攻撃者はあなたの NFT を譲渡できます。
回避する方法
- Twitterアカウントが公式であることを再確認してください
- setAppRovalForall の署名付きリクエストが表示されるたびに、認証アドレスを再確認してください
- 誤って承認された場合、攻撃者が NFT を転送する前に、できるだけ早く承認を取り消す