900383__5_.png

虚假网站,如何判断?

2021 年 5 月 29 日,imToken 用户支持团队接到一名珠海用户的举报,称钱包内价值超过 500,000 USDT 的代币被盗。安全团队了解情况后得知,受害用户是通过某度搜索,进入了虚假 imToken 网站,从而下载了假的钱包 App,导致代币被盗。

顺着该线索,imToken 安全团队发现骗子在某度上购买了「搜索关键词」及广告位,用户无论搜索 imToken,麦子或者是 TokenPocket,甚至搜索 MetaMask,搜索结果显示排名第一至和第三的都是骗子网站(如图 1),用户在这些网站上,会下载到假的钱包应用。

image2.png

某度搜索结果 图 1

面对这样的骗局,imToken 安全团队一方面联系某度公司,下架骗子广告,另一方面也主动联系警方,在尝试封禁这些网站的同时,也在不断搜罗收集证据,从而帮助警方对这些不法分子实施抓捕。截至发稿日,虽然骗子广告已经下架,可部分钱包虚假网站仍在,希望广大用户提高警惕,认准你所下载的钱包官网。

image3.png

关于用户对官网辨识度的调查 图 2 

在做好安全防范的同时,安全团队也在试图分析该类骗局。其实数字钱包或交易所假网站,是非常难以防范的,它在用户了解代币的整个生命周期伊始,就构建了一个圈套。因为一般用户刚接触这个行业是处于非常「懵」的状态,本身区块链的认知门槛就比较高,在财富效应的催生下,部分用户更是急于跨过认知期,直接进行代币购买。而对于新进行业用户(甚至不能称为小白用户),钱包服务商、交易所、安全机构等之前所做的安全宣传和用户教育是触达不到的。所以骗子利用这种「信息差」,对新进行业用户形成了「吊打」的局面。

不过作为钱包用户,也不用「杯弓蛇影」,这里有几个小技巧可以帮助防止此类骗局:

  1. 将常用网站添加到浏览器收藏夹内;
  2. 多渠道了解比对项目信息:在了解一个项目的时候,可以先在公众号、微博或 Twitter 等搜索信息,骗子维护多渠道的成本会比做一个假网站高很多。而这些渠道基本都会有真正的官网链接;
  3. 请教身边可信的人:在了解钱包的时候,一定要找对行业有基础认知,且现实生活中熟悉的人,最好当面请教。不要在微信群或者 Telegram 等即时通讯应用里询问,很容易上当受骗;
  4. 虚假网站一般是非常粗糙的,比如多语言环境,虚假网站一般都不支持多语言,即便支持也是机翻直译,无法做到官网的细腻;
  5. 把上述方法或你认为有效的防骗知识,告诉身边的朋友,构建「群体免疫」。

骗术横生,防不胜防

除了上述详细谈到的虚假网站骗局外,最近还有几种升级版骗局在危害钱包用户:

1. 钓鱼二维码骗局(或称风险合约授权骗局)
该骗局主要手法为,假设用户钱包内原有 1000 个 USDT,骗子通过活动诱导用户扫码转账 1 个 USDT,但后来发现剩余的 999 个 USDT 在没有经过同意的情况下(输入密码签名),就被转走了。如果你想学习如何避免该类骗局,可以阅读《安全提醒丨请警惕钓鱼二维码骗局》
2. 空投诱饵骗局
该骗局目前主要滋生在波场链(Tron)上,以 OZBT 假空投为例,其主要表现形式为,用户在钱包里收到空投代币的同时也会收到其代币信息,信息会告知你获得的 OZBT 空投可以在其去中心化交易所中兑换价值不菲的 TRX 代币(如图 3)。当你前往他们的交易所,尝试进行兑换的时候,会发现进行的是 TRX(或者钱包里其他有价值代币)的转账,也就是扣款转账。该骗局主要利用用户收到空投后,想尝试无损兑换(认为最多付出少量矿工费的代价),但却忽略了转账详细信息,从而将钱包里有价值的代币转给骗子。这有点像传统戏法里的障眼法。[1]

image1.png
骗子会利用空投做诱饵让用户授权钱包 图 3

3. 真假去中心化钱包骗局
如果说虚假网站是诱导你下载假钱包,那么有些钱包则「放长线钓大鱼」,把自己伪装成去中心化钱包,利用其钱包发行代币的增值作为诱饵,诱导用户在钱包里创建或导入私钥,同时将用户私钥上传到服务器中。比较典型的骗子项目是 LCS 和 MGC 等。如果你想更多了解该类骗局,可以阅读《警惕丨LCS 钱包用户请注意》

魔道斗法,一直在行动

据 imToken 用户支持团队不完全统计,2021 年 1 月至 6 月,imToken 接到诈骗等举报 430 起,相较于 2020 年上半年增长了 35%。 根据 imToken 安全团队提供的数据,今年五月份,imToken 共标记风险代币 6 枚,封禁风险 DApp 网站 54 个,标记风险地址 4 个[2]。同时为了应对高风险 DApp 骗局,imToken 紧急发布 2.9.2 版本,升级 DApp 浏览器风控系统,可以阅读《imToken 2.9.2,DApp 浏览器安全风控再升级》了解详情。

虽然市场逐渐回归到冷静期,但余温仍在,最近也有不少热点可以去「追」。但 imToken 团队还是一致认为应该把注意力放在安全这件事上,我们的运营小伙伴也按捺住一颗推广业务的心,精心准备了「钱包安全周」活动,通过答题,直播,社区话题讨论等形式,让更多的用户参与其中,了解最新骗局,避免更多人受灾。希望你可以分享安全周活动,关心身边人。

最后,题外话,为什么要做「钱包安全月报」?

前文有提到,有些骗局在用户刚进入这个行业的时候就产生了,还来不及找到「组织」,就被「拐走」了。任何一个项目的渠道都是有限的,能触达的生命周期是从用户「登陆」之后,这给骗局防范带来了很大挑战。许多刚刚接触区块链的用户,因为骗局而丧失了信心,这对整个行业也是巨大的打击。所以我们希望可以持续做一件事,滴水穿石,用时间和坚持抹平宣传渠道的局限性。

imToken 有上千万的下载量,在这背后是庞大而真实的钱包用户故事,我们身处一线,可以快速捕捉这类问题,一方面通过自身经验帮助用户解决,另一方面针对新型骗局,也可以反馈给社区,避免更多的用户受灾。无论你是哪款钱包的用户,都可以从我们的月报中有所收获。

所以,希望你在关注「imToken 钱包安全月报」的同时,也把这份月报带给身边的人,带给同处于区块链圈子里的朋友。在钱包安全面前,没有「大佬」,只有失去之后的追悔莫及。

如果你有任何关于钱包安全方面的案件和素材,欢迎发送到 [email protected],也可以登录 https://imtoken.fans 安全专题和我们一起构建钱包安全社区。

 

相关资料:

[1]波场上的诈骗代币

[2]imToken 5 月风控数据