/ 安全問題

六種方法教您如何保護您的加密資產免於駭客竊取

據Cointelegraph整理出六種方法,教您如何保護您的加密資產免於駭客竊取。

Cointelegraph7月初時報導,安全問題資源網站Bleeping Computer發現目標是騙取230萬比特幣錢包的可疑活動,他們發現這些錢包被駭客攻擊。攻擊者使用被稱為 「剪貼簿劫持者」(clipboard hijackers)的惡意軟體,在用戶使用剪貼簿的剪下、複製和貼上功能時,會讀取用戶剪貼簿上的數據,並用駭客的錢包地址替換了受害者的錢包位址。

去年11月,卡巴斯基實驗室(Kaspersky Lab)已經預測到了此類型駭客攻擊的潛在可能,並且在沒多久後就成真。目前,這是在竊取用戶訊息或資金的最普遍的攻擊類型之一,對個人帳戶和錢包的攻擊整體估值上,惡意軟件攻擊約佔20%。在卡巴斯基實驗室的報告中指出,犯罪分子在過去一年裡透過社交工程(註1)竊取價值超過900萬美元的以太坊(ETH)。

註1:社交工程指的是透過與他人的合法地交流,來使其心理受到影響,做出某些動作或是透露一些機密資訊的方式。通常被認為是一種欺騙他人以收集資訊、行騙和入侵電腦系統的行為。

732ba62dbb033d6a54f8f25299b9f64b

問題所在

Bleeping電腦安全問題資源網站,致力於提高大眾的電腦相關知識,建議用戶遵循基本規範的重要性,以確保足夠的安全性:

大多數技術支持問題不在於電腦,而在於用戶不知道構成所有問題的「基本概念」。 包括硬體、文件和文件夾、操作系統、網路和應用程式等概念。

許多加密貨幣專家都持有相同觀點。投資家和企業家Ouriel Ohayon在專門的Hackernoon文章中強調用戶的個人責任:

沒錯,你掌握著自己的資產,但要付出的代價是對自己的資產安全負責。由於大多數的人都不是安全專家,安全問題時常被探討與報導,但他們卻不瞭解。我總是驚訝,為什麼周圍有那麼多人,甚至專精於技術的人,都沒有採取基本的安全措施。

根據Autonomous Research的金融科技戰略總監Lex Sokolin的說法,每年都有成千上萬的人成為偽造網站和網路釣魚的受害者,他們自願向詐騙者發送2億美元的加密貨幣,而且永遠拿不回來。

拿我們可以從中得知什麼?駭客之所以能夠成功地攻擊加密錢包,主要利用的漏洞是人類的疏忽和傲慢。讓我們看看他們是如何做到的,以及如何保護他們的資金。

2.5億的潛在受害者

美國公司Foley&Lardner進行的一項研究顯示,71%的大型加密貨幣交易者和投資者認為加密貨幣竊盜對於市場的負面影響最強。31%的受訪者認為駭客對全球加密貨幣產業的威脅非常高。

43b32aa5b67d581c563fe031562e9b31

Hackernoon的專家分析了有關2017年駭客攻擊的數據,將駭客攻擊分成三大列別:

  • 攻擊區塊鏈,加密貨幣交易所和ICO
  • 散佈挖礦劫持程式
  • 攻擊用戶錢包。

令人意外的是,由Hackernoon發表的文章《聰明的駭客技巧》(Smart hacking tricks)似乎沒有得到廣泛普及,對於一般加密貨幣用戶而言,必須一次又一次地重複警告,因為預計加密貨幣持有者的數量在2024年將達到2億。

根據ING銀行和易索普(Ipsos)的研究,大約9%的歐洲人和8%的美國居民擁有加密貨幣,25%的民眾計劃在不久的將來購買數字資產。因此,有將近25億的潛在受害者將會陷入駭客的陷阱中。

Google Play和App Store上的應用程式

建議:

  • 不要在裝置上安裝不常用的應用程式
  • 為手機上的所有應用程式增加雙重身分驗證(2FA)
  • 一定要檢查是否與官方網站上提供的應用程序連結一致

受駭客攻擊的受害者通常是使用Android系統的智慧型手機,因為不使用雙重身分驗證(2FA),2FA不僅需要密碼和用戶名,還需要擁有只有用戶和系統知道的「暗號」,例如物理性符號等可立即獲得的訊息。

根據《富比世》說法,Google Android的開放式操作系統容易感染病毒,因此比iPhone更不安全。駭客可以以提供加密貨幣資源的名義,將應用程式加入到Google Play商店。當啟動應用程式後,用戶輸入敏感數據以進入帳戶,進而讓駭客獲得可以進入帳戶的機會。

這類駭客攻擊最著名的事件是美國加密貨幣交易所Poloniex的用戶,在Google Play應用程式商店下載了駭客發布的仿冒手機版本交易所的應用程式。Poloniex團隊沒有開發Android應用程式,在官網上沒有任何手機App的連結。ESET的惡意軟體分析師Lukas Stefanko表示,在Google Play刪除該假冒App之前,已有5,500名交易者下載並受到惡意軟體的影響。

而iOS裝置的用戶更容易在App Store下載隱藏的挖礦劫持應用程式。蘋果公司甚至被迫修改App Store的申請規範,以便阻止此類軟體的散播。但是,這兩者的危害程度上是大不相同的,因為挖礦只會減慢裝置的運作速度,和侵入錢包的破壞是無法相比的。

Slack中的機器人

建議:

  • 回報Slack機器人(bots)阻止它們
  • 忽視機器人活動;
  • 使用Metacert或Webroot安全機器人,Avira防毒軟體,甚至內置Google安全瀏覽功能來保護Slack通道。

自2017年年中以來,竊取加密貨幣的Slack機器人不斷增加。常見的情況是,駭客創建一個機器人,通知用戶他們的密碼有問題。目的是強制用戶點擊連結並輸入私鑰。與這些機器人一出現,許多就被用戶識破並阻止。雖然社群通常會做出快速反應並阻止駭客,但駭客也會想辦法從中獲得點利益。

443f153e88693f0c2999aa121e568e90

駭客透過Slack進行攻擊最成功的案例,被認為是Enigma集團。 攻擊者借用Enigma的名字,在Slack上推出一個機器人,最終從用戶手中詐騙了價值總計50萬美元的以太坊。

加密交易的附加元件

建議:

  • 使用單獨的瀏覽器進行加密貨幣操作
  • 選擇隱私瀏覽模式(incognito mode)
  • 不要下載任何加密貨幣附加元件(add-ons)
  • 單獨使用一台電腦或智慧型手機,僅用於加密貨幣交易
  • 下載防病毒軟體並安裝網絡保護軟體

網路瀏覽器提供各種自定義的用戶擴充界面,以方便使用交易所和錢包。這些附加元件可能會讀取您在使用網路時輸入的所有內容,但真正的問題不僅於此,這些附加元件是在JavaScript上開發的,代表它們很容易受到駭客攻擊。原因是近年來隨著Web 2.0的到來,Ajax和網路應用程式普遍使用JavaScript,導致漏洞很容易存在組織中,尤其是印度企業。此外,駭客盯上了用戶的算力資源,許多附加元件可能存在隱藏挖掘程式。

簡訊認證

建議:

  • 關閉來電轉接,讓駭客無法讀取你的資料
  • 避免使用簡訊方式來進行雙重身分驗證,而是使用雙重身分驗證軟體

許多用戶習慣選擇手機身份驗證,因為手機能隨時隨地待命。網路安全公司Positive Technologies已經證明,在全世界透過第七號發信系統(signaling System 7)協定用密碼確認來攔截簡訊是非常容易的。專業者們能夠使用工具劫持簡訊,即利用蜂巢式網路中的弱點攔截傳輸中的簡訊。Positive Technologies還用Coinbase帳戶作了範例展示,交易所的用戶對此都感到震驚。Positive Technologies表示,雖然看上去,這像是Coinbase的漏洞,但真正的弱點在於蜂巢式網路本身。這證明了即使使用雙重身分驗證,也可以透過簡訊劫持直接進入任何系統。

公共Wi-Fi

建議:

  • 即便使用VPN時,也不要透過公共Wi-Fi進行加密貨幣交易
  • 定期更新路由器韌體,因為硬體製造商會不斷更新防止金鑰替換的技術

去年10月,在使用路由器Wi-Fi安全(WPA)協議中,發現了一個不可恢復的漏洞。執行基本KRACK攻擊(重新安裝金鑰的攻擊)後,使用者的設備會連接到駭客的Wi-Fi網路。使用者透過網路下載或發送的所有資訊都可供駭客使用,包括加密錢包的私鑰。對於火車站、機場、酒店和大量人群出現地方的公共Wi-Fi,這個問題尤其迫切。

偽造網站和網路釣魚

建議:

  • 永遠不在沒有HTPPS協議的加密貨幣相關網站交流互動
  • 使用Google瀏覽器Chrome時,自訂顯示子功能表位址的副檔名
  • 當收到任何與加密貨幣相關的資訊時,將連結複製到瀏覽器網址欄,然後將其與原始網站網址進行比較
  • 如果出現可疑情況,立即關閉視窗並刪除收件箱中的信件

自「網路革命」以來,人們已經知道這些古老卻典型的駭客攻擊方法,但是似乎仍然奏效。對於偽造網站,攻擊者複製原始網站所有內容,但網站網址可能缺少了一個字母。這樣做是為了引誘用戶瀏覽偽造網站並強制他們輸入帳戶密碼或私鑰。對於釣魚網站,攻擊者同樣複製官方項目電子郵件並發送給潛在受害者,但實際上只要你點選連結並輸入個人資料,資訊就被盜取。Chainalysis研究顯示,詐騙者已利用這種方法竊取了2.25億美元加密貨幣。

加密劫持、隱藏挖礦與常識

好消息是,由於有越來越多的聲音反對加密貨幣服務以及使用者自身水準的提高,駭客逐漸失去了「野蠻」攻擊錢包的興趣。不過,他們將焦點轉移到隱藏挖礦上。

根據McAfee Labs研究資料,在2018年第一季度,全球共有290萬個用於隱藏挖礦的病毒軟體樣本,這比2017年最後一個季度增加了625%。這種方法也被稱為「加密劫持」。由於操作簡單,駭客大量使用此方法,並放棄了傳統的攻擊方式勒索軟體。

壞消息是,駭客攻擊並沒有因此減少。網路安全公司Carbon Black專家透露,截至2018年7月,暗網上大約有12,000個交易平台,向駭客兜售約34,000種加密劫持軟體。在這些平台上,惡意攻擊軟體的平均售價僅224美元。

24b243ac9a173b018b773390f2ecd3eb

Harry

Harry

畢業於成功大學,目前全力關注台灣幣圈與區塊鏈發展,分享與撰寫相關相關資訊。 與我們聯絡:coineast.com@gmail.com

Read More