Antecedentes
Recientemente, SlowMist fue invitado a hablar en el Ethereum Web3 Security BootCamp, organizado por DeFiHackLabs. Thinking, el jefe de auditorías de seguridad de SlowMist, guió a los asistentes a través de ocho capítulos clave: "Engaño, cebo, atracción, ataque, ocultación, técnicas, identificación, defensa", utilizando estudios de casos del mundo real para mostrar los métodos y tácticas empleados por los piratas informáticos de phishing, así como las contramedidas que se pueden implementar. El phishing sigue siendo una de las amenazas más importantes de la industria, y comprender tanto a los atacantes como a los defensores es esencial para fortalecer las defensas. En este artículo, extraemos y compartimos información clave de la sesión para ayudar a los usuarios a reconocer y protegerse de los ataques de phishing.

¿Por qué son tan efectivos los ataques de phishing?

En el espacio Web3, los ataques de phishing se han convertido en una de las mayores amenazas de seguridad. Veamos por qué los usuarios caen víctimas del phishing. Incluso aquellos con un alto nivel de conciencia de seguridad a veces pueden sentir el sentimiento de "quien camina junto al río inevitablemente mojará sus zapatos", porque mantener una vigilancia constante es muy difícil. Los atacantes suelen analizar proyectos recientes populares, la actividad de la comunidad y la base de usuarios para identificar objetivos de alto perfil. Luego, se disfrazan cuidadosamente y atraen a los usuarios con anzuelos tentadores, como airdrops y altos rendimientos. Estos ataques a menudo implican ingeniería social, donde los atacantes manipulan hábilmente la psicología de los usuarios para lograr sus objetivos fraudulentos:

• Inducción:Elegibilidad para lista blanca de airdrop, oportunidades de minería, contraseñas de riqueza y más.
• Curiosidad/Avaricia:Sin miedo de vender en la cima, no te pierdas la moneda con potencial de 100x, no te pierdas la reunión de esta noche a las 10:00, enlace de la reuniónhttps://us04-zoom[.]us/(malicioso); lista blanca de airdrop $PENGU, no te lo pierdas,https://vote-pengu[.]com/ (malicioso).
• Miedo:¡Advertencia urgente: el proyecto XX ha sido hackeado, por favor utiliza revake[.]cash (malicioso) para revocar la autorización y prevenir la pérdida de activos.
• Herramientas eficientes:Herramientas de recolección de airdrop, herramientas cuantitativas de IA, herramientas de minería con un clic y otras.

La razón por la que los atacantes se esfuerzan tanto en crear y desplegar estas trampas es porque son altamente rentables. A través de estos métodos, los atacantes pueden obtener fácilmente la información/permisos sensibles de los usuarios y robar sus activos:

• Robo de Mnemónicos/Claves privadas:Engañar a los usuarios para que ingresen su mnemónico o clave privada.
• Engañar a los usuarios para que utilicen firmas de cartera:Firmas de autorización, firmas de transferencia y más.
• Robo de contraseñas de cuenta:Telegram, Gmail, X, Discord, etc.
• Robo de permisos de la aplicación social:X, Discord, etc.
• Inducir la instalación de aplicaciones maliciosas:Aplicaciones falsas de billetera, aplicaciones sociales falsas, aplicaciones de reuniones falsas, etc.

Tácticas de Phishing

Echemos un vistazo a algunas tácticas comunes de phishing:
Robo de cuenta/Suplantación de identidad de cuentas
Recientemente, ha habido informes frecuentes de cuentas de proyectos/KOLs de Web3 que han sido hackeadas. Después de robar estas cuentas, los atacantes a menudo promocionan tokens falsos o utilizan nombres de dominio similares en publicaciones de "buenas noticias" para engañar a los usuarios y hacer que hagan clic en enlaces maliciosos. A veces, los dominios incluso pueden ser reales, ya que los atacantes podrían haber secuestrado el dominio del proyecto. Una vez que las víctimas hacen clic en un enlace de phishing, firman una transacción o descargan software malicioso, sus activos son robados.

Además de robar cuentas, los atacantes a menudo se hacen pasar por cuentas reales en X, dejando comentarios en publicaciones legítimas para confundir a los usuarios. El equipo de seguridad de SlowMist ha analizado esta táctica: aproximadamente el 80% de los primeros comentarios en tweets de proyectos conocidos a menudo son ocupados por cuentas de phishing. Los atacantes utilizan bots para seguir las actividades de proyectos populares y, una vez que se publica un tweet, sus bots dejan automáticamente el primer comentario para asegurar la mayor visibilidad. Dado que los usuarios están leyendo publicaciones del proyecto legítimo, y la cuenta de phishing se asemeja mucho a la cuenta real, es posible que los usuarios desprevenidos hagan clic en enlaces de phishing bajo el pretexto de un airdrop, autorizar o firmar transacciones y perder sus activos.

Los atacantes también se hacen pasar por administradores para publicar mensajes falsos, especialmente en plataformas como Discord. Dado que Discord permite a los usuarios personalizar apodos y nombres de usuario, los atacantes pueden cambiar su perfil para que coincida con el de un administrador y luego publicar mensajes de phishing o enviar mensajes directos a los usuarios. Sin verificar el perfil, es difícil detectar el engaño. Además, aunque los nombres de usuario de Discord no se pueden duplicar, los atacantes pueden crear cuentas con nombres casi idénticos a los del administrador agregando pequeñas variaciones, como un guion bajo o un punto, lo que dificulta que los usuarios los distingan.

Phishing basado en invitación
Los atacantes a menudo contactan a los usuarios en plataformas sociales, recomendando proyectos "premium" o invitándolos a reuniones, llevándolos a sitios de phishing maliciosos para descargar aplicaciones dañinas. Por ejemplo, algunos usuarios fueron engañados para descargar una aplicación falsa de Zoom, lo que resultó en el robo de activos. Los atacantes utilizan dominios como "app[.]us4zoom[.]us" para hacerse pasar por enlaces reales de Zoom, creando una página que se ve casi idéntica a la interfaz real de Zoom. Cuando los usuarios hacen clic en "Iniciar reunión", se les solicita descargar un instalador malicioso en lugar de iniciar el cliente de Zoom. Durante la instalación, se anima a los usuarios a ingresar contraseñas, y el script malicioso recopila datos del plugin de billetera y KeyChain (que puede contener contraseñas almacenadas). Después de recopilar estos datos, los atacantes intentan descifrarlos y acceder a las mnemónicas o claves privadas de las billeteras de los usuarios, robando finalmente sus activos.

Explotación de clasificación en los motores de búsqueda
Debido a que los rankings de los motores de búsqueda pueden ser aumentados artificialmente mediante la compra de anuncios, los sitios web de phishing pueden estar posicionados más alto que los sitios web oficiales. Los usuarios que no están seguros de la URL del sitio web oficial pueden tener dificultades para detectar los sitios de phishing, especialmente porque los sitios de phishing pueden personalizar la URL del anuncio para que coincida con la oficial. La URL del anuncio puede parecer idéntica al sitio oficial, pero al hacer clic, los usuarios son redirigidos a un sitio de phishing del atacante. Como los sitios web de phishing suelen parecer casi idénticos a los sitios legítimos, es fácil ser engañado. Es más seguro no confiar únicamente en los motores de búsqueda para encontrar sitios web oficiales, ya que esto puede llevar a sitios de phishing.

Anuncios de TG
Recientemente, ha habido un aumento significativo en los informes de usuarios sobre bots falsos de TG. Los usuarios a menudo se encuentran con nuevos bots que aparecen en la parte superior de los canales oficiales de bots de trading y erróneamente piensan que son oficiales. Hacen clic en el nuevo bot, importan su clave privada y vinculan su billetera, solo para que les roben sus activos. Los atacantes utilizan anuncios dirigidos en los canales oficiales de Telegram para atraer a los usuarios a hacer clic. Estos métodos de phishing son particularmente encubiertos porque aparecen en canales legítimos, lo que hace que los usuarios asuman que son oficiales. Sin suficiente precaución, los usuarios pueden caer en el bot de phishing, ingresar sus claves privadas y perder sus activos.

Además, recientemente descubrimos Una nueva estafa: Estafa de Falsa Protección de Telegram. Muchos usuarios fueron engañados para ejecutar código malicioso de las instrucciones de los atacantes, lo que resultó en activos robados.

Tiendas de aplicaciones
No todo el software disponible en las tiendas de aplicaciones (Google Play, Chrome Store, App Store, APKCombo, etc.) es genuino. Las tiendas de aplicaciones no siempre pueden revisar completamente todas las aplicaciones. Algunos atacantes utilizan tácticas como comprar clasificaciones de palabras clave o redirigir el tráfico para engañar a los usuarios y hacer que descarguen aplicaciones fraudulentas. Alentamos a los usuarios a revisar cuidadosamente las aplicaciones antes de descargarlas. Siempre verifique la información del desarrollador para asegurarse de que coincida con la identidad oficial. También puede verificar las calificaciones de la aplicación, el número de descargas y otros detalles relevantes.

Correos electrónicos de phishing
El phishing por correo electrónico es uno de los trucos más antiguos del libro, y suele ser simple pero efectivo. Los atacantes utilizan plantillas de phishing combinadas con proxies inversos de Evilngins para crear correos electrónicos como el que se muestra a continuación. Cuando los usuarios hacen clic en "VER EL DOCUMENTO", son redirigidos a una página falsa de DocuSign (que ahora está fuera de línea). Si el usuario hace clic en el inicio de sesión de Google en esta página, será redirigido a una página falsa de inicio de sesión de Google. Una vez que ingresan su nombre de usuario, contraseña y código 2FA, el atacante obtiene el control de su cuenta.

El correo electrónico de phishing anterior no fue cuidadosamente elaborado, ya que la dirección de correo electrónico del remitente no ha sido disfrazada. Veamos cómo el atacante intentó disfrazarla en el siguiente ejemplo: la dirección de correo electrónico del atacante difiere de la oficial solo por un pequeño punto. Usando una herramienta como DNSTwist, los atacantes pueden identificar caracteres especiales admitidos por Gmail. Sin prestar mucha atención, podrías confundirlo con una pantalla sucia.

Explotación de las características del navegador
Para más detalles, ver Slow Mist: Revelando cómo los marcadores maliciosos del navegador roban tus tokens de Discord.

Desafíos de Defensa

Las tácticas de phishing están evolucionando continuamente y volviéndose más sofisticadas. Nuestro análisis previo mostró que los atacantes pueden crear sitios web que imitan de cerca las páginas oficiales de proyectos conocidos, apropiarse de los dominios de los proyectos e incluso fabricar proyectos falsos completos. Estos proyectos fraudulentos a menudo tienen un gran número de seguidores falsos en redes sociales (seguidores comprados) e incluso cuentan con repositorios en GitHub, lo que hace aún más difícil para los usuarios detectar las amenazas de phishing. Además, el uso hábil de herramientas anónimas por parte de los atacantes complica aún más los esfuerzos para rastrear sus acciones. Para ocultar su identidad, los atacantes suelen depender de VPN, Tor o hosts comprometidos para llevar a cabo sus ataques.

Una vez que los atacantes tienen una identidad anónima, también necesitan infraestructura básica, como Namecheap, que acepta pagos con criptomonedas. Algunos servicios solo requieren una dirección de correo electrónico para registrarse y no requieren verificación KYC, lo que permite a los atacantes evitar ser rastreados.

Una vez que tengan estas herramientas en su lugar, los atacantes pueden iniciar ataques de phishing. Después de robar fondos, pueden usar servicios como Wasabi o Tornado para ocultar el rastro del dinero. Para aumentar aún más el anonimato, pueden intercambiar los fondos robados por criptomonedas centradas en la privacidad como Monero.

Para cubrir sus huellas y evitar dejar evidencia, los atacantes eliminarán las resoluciones de dominio relacionadas, el software malicioso, los repositorios de GitHub, las cuentas de plataforma, etc. Esto dificulta que los equipos de seguridad investiguen los incidentes, ya que es posible que los sitios de phishing ya no sean accesibles y el software malicioso ya no esté disponible para descargar.

Estrategias de Defensa

Los usuarios pueden identificar amenazas de phishing reconociendo las características mencionadas anteriormente y verificando la autenticidad de la información antes de actuar. También pueden mejorar su defensa contra el phishing utilizando las siguientes herramientas:

• Complementos de bloqueo de riesgos de phishing: Herramientas como Scam Sniffer pueden detectar riesgos desde múltiples ángulos. Si un usuario abre una página de phishing sospechosa, la herramienta le alertará con una advertencia.
• Carteras altamente seguras: Carteras como la cartera de observación de Rabby (que no requiere una clave privada), detección de sitios web de phishing, funcionalidad de "lo que ves es lo que firmas", detección de firmas de alto riesgo y funciones de reconocimiento de historial de estafas.
• Software antivirus bien conocido: Programas populares como AVG, Bitdefender y Kaspersky.
• Monederos físicos: Las carteras de hardware ofrecen almacenamiento sin conexión para claves privadas, asegurando que las claves no se expongan en línea al interactuar con DApps, lo que reduce significativamente el riesgo de robo de activos.

Conclusión

Los ataques de phishing son generalizados en el mundo de la cadena de bloques. Lo más importante es mantenerse vigilante y evitar ser sorprendido. Al navegar por el espacio de la cadena de bloques, el principio fundamental es adoptar una mentalidad de cero confianza y verificar continuamente todo. Recomendamos leer y dominar gradualmente el "Manual de Autosalvamento en el Bosque Oscuro de la Cadena de Bloques" para fortalecer su defensa:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

Declaración:

1. Este artículo es reproducido de 【慢雾科技】,Los derechos de autor pertenecen al autor original【Equipo de seguridad de SlowMist】, si tiene alguna objeción a la reproducción, por favor contacteGate Learn, el equipo lo resolverá lo antes posible de acuerdo con los procedimientos relevantes.
2. Descargo de responsabilidad: Las opiniones expresadas en este artículo representan únicamente las opiniones personales del autor y no constituyen ningún consejo de inversión.
3. Otras versiones del artículo en otros idiomas son traducidas por el equipo de gate Learn. A menos que se indique lo contrario, el artículo traducido no puede ser copiado, distribuido o plagiado.