「FTXがハッキングされた後の教訓」フィッシング攻撃はすべてのデジタル資産保有者に影響を及ぼす。
本文では、一般ユーザーがフィッシング攻撃からどのように身を守るかについて説明します。11月12日、FTX取引所がハッキングされ、1.89億ドル相当のさまざまな資産が盗まれました。同時にFTXのメインサイトも攻撃を受け、アプリのダウンロードリンクが攻撃プログラムに置き換えられ、ユーザーがアプリをダウンロードまたは更新して使用すると、自分のユーザー名とパスワードを失うことになります。その間、ユーザーのFTX取引所内のすべての登録情報も盗まれます。
この事件の影響は急速に拡大し、12日の週末だけで監視されたフィッシングサイトの数が急増しました。
同時に、複数のプロジェクトや取引所が公告を発表し、ユーザーにさまざまな形式のフィッシング攻撃に注意するよう呼びかけています。
今後、フィッシング攻撃はすべてのデジタル資産保有者に影響を及ぼすでしょう。ユーザーが中央集権型取引所にいるか、分散型アプリケーションにいるかに関わらず。
攻撃者はどのようにユーザー情報を使ってフィッシング攻撃を行うのか?
攻撃者は中央集権型取引所を攻撃することで、ユーザーの電話番号、身分情報、普段使うメールアドレスなどの重要な情報を入手します。これらの情報は闇市場を通じてさらに拡散し、より多くの詐欺師に掌握されます;
攻撃者はこれらの情報を使ってユーザーとの接触を確立します。たとえば、ユーザーのソーシャルアカウントを探し、ユーザーにSMSやメールを送信します;
ユーザーの不安心理や使用習慣を利用して内容を送信します。たとえば、「あなたのアカウントにリスクが検出されました。早急に確認してください」とURLを添付し、ユーザーを偽の中央集権型取引所に誘導してパスワードを入力させたり、二次確認を行わせたり、偽の契約に対して権限を与えさせたりします;
攻撃者がユーザー名とパスワードまたは権限を取得した後、簡単にユーザーの資産を盗むことができます。
一般ユーザーはどのようにフィッシング攻撃を防ぐべきか?
まず、防止意識を持ち、自身の状況に基づいて基本的な防止策を講じることが重要です。
- 自分から発信したものではないSMSやメールのリンクをクリックしないでください。
ユーザーが自ら発信しない限り、公式は基本的にユーザーに情報を送信することはありません。自発的な発信とは、パスワードの変更、取引の確認など、ユーザーの行動によって引き起こされる二次確認のことを指します。しかし、何もしていないのにメールやSMSを受け取った場合は、クリックしないでください!クリックしないでください!クリックしないでください!
- よく使うウェブサイトをブックマークし、URLが本物かどうかを二次確認してください。
検索エンジンでURLを検索する際は、必ず他の方法で二次確認を行ってください。たとえば、Twitterの公式アカウントやフィッシングサイト検出ツールを使用して確認します(フィッシングサイトは、結果を購入したり検索ランキングを操作したりすることで、偽のURLを本物のURLの前に表示させることができるため、完全には信じないでください)。
- アプリやプログラムをダウンロードする必要がある場合は、できるだけ公式サイトからダウンロードしてください。
一部のアプリ市場ではダウンロードリンクを提供している場合がありますが、攻撃者は偽のアプリやプログラムをアプリ市場に上架することができます。もしそのアプリ市場に十分なセキュリティ検査メカニズムがなければ、ユーザーは偽のアプリやプログラムをダウンロードする可能性があります。
- コミュニティ内のリンクを軽々しくクリックしないでください。
攻撃者は、コミュニティ内でいくつかの身分を偽装し、協力して偽の情報を広めることがあります。たとえば、「取引所の公式がハッキングされ、アクセスできなくなった。急いで別のリンクを通じて資産を移動してください」と強調し、緊急性を訴え、ユーザーの資産がすべて攻撃者に移動されると脅かして、コミュニティ内で彼らが発信したフィッシングリンクをクリックさせようとします。
以上は攻撃者の主なフィッシング手法に対する対策ですが、論理はそれほど複雑ではありません。しかし、なぜ攻撃者は何度も成功するのでしょうか?
一つは攻撃範囲が広く、ユーザー数が多いため、漏れがあるからです。二つ目は、ユーザーの焦りを利用し、ユーザーに恐怖を引き起こし、考える時間を与えないことです。ユーザーが一旦攻撃者の罠に入ると、攻撃者の論理に従って考えるようになり、騙されることが非常に難しくなります。
次に、安全検査ツールの使用を学ぶことが重要です。
攻撃者の攻撃手法を見ると、重要なステップはユーザーを偽のURLに誘導することです。攻撃者は類似のURLを広め、ユーザーを本物のウェブサイトを全てコピーした偽のウェブサイトに誘導し、真偽を混同させてユーザーのログイン情報を騙し取ります。
もしユーザーがフィッシングサイト識別ツールやコミュニティを使いこなせれば、偽のURLを効果的に識別することができます。
1.PHISHFORT
老舗のフィッシングサイトサービスプロバイダーで、フィッシングサイトのAPIサービスを提供しています。また、一般ユーザー向けにブラウザプラグインも提供しており、フィッシングサイトのデータベースは常に更新されています。ユーザーがフィッシングサイトにアクセスすると、PHISHFORTプラグインがブラウザを通じてURL情報を識別し、フィッシングサイトの判定を行います。主流のURLはすべてカバーされており、ニッチなURLの収録も常に更新されます。
使用説明:
PHISHFORTの公式サイトからプラグインをダウンロードできます。
また、Chromeウェブストアからもダウンロードできます。
2.ScamSniffer
上海のイーサリアムハッカソンで受賞したプロジェクトで、Chromeブラウザのプラグインです。
使用説明:
ScamSnifferの公式サイトからダウンロードできます。
また、Chromeブラウザのプラグイン市場でもScamSnifferを見つけることができます。
https://chrome.google.com/webstore/detail/scam-sniffer/mnkbccinkbalkmmnmbcicdobcmgggmfc?
インストールをクリックし、プラグインを開きます。
プラグインが実行されているときにフィッシングサイトに遭遇すると、ポップアップで通知されます。
注意:
フィッシングサイトのデータベースの更新は後置きです。つまり、フィッシングサイトがオンラインになると、すぐには識別されないため、ユーザーはすべてのリスクを回避することはできず、リスクの露出を効果的に縮小することができます。
フィッシングサイトの識別ルールは完全に正確ではなく、誤報の可能性があります。
以上の内容はすべてGoPlusecoからのもので、GoPlusecoは業界内の優れたセキュリティアプリやサービスを集約し、ユーザーに最適なセキュリティソリューションを提供しています。セキュリティに関する問題が発生した場合は、ぜひGoPlusecoに問い合わせてみてください。ここでは質問に必ず答えます。
