简介
CertiK最新发布的季度报告显示,2022年第二季度网络钓鱼攻击数量呈现爆发式增长,增幅高达170%。与此同时,思科旗下知名安全研究机构Talos发出预警,指出社会工程攻击特别是网络钓鱼,将在未来几年持续威胁Web3和元宇宙生态的安全。
在加密货币领域,社会工程攻击正如同当年的网络泡沫一样愈演愈烈。随着加密货币、NFT和Web3技术的普及,越来越多的用户成为各类诈骗活动的受害者。令人担忧的是,这些骗术正在不断”创新”,诈骗者总能开发出新的手法来迷惑用户。
讽刺的是,尽管骗术层出不穷,仍然有不少Web3用户会上当受骗。统计数据显示,许多受害者往往直到损失发生后,才意识到自己遭遇了精心设计的骗局。
社会工程攻击的演变趋势
不法分子不断翻新诈骗手法,通过钓鱼等方式诱使用户泄露加密货币、NFT或账户凭证。这类攻击几乎存在于所有网络安全威胁中,表现形式多种多样,从传统的电子邮件诈骗到伪装成社交互动的病毒传播。
值得注意的是,社会工程攻击的影响范围早已超越数字世界,通过移动端攻击甚至现实生活中的接触,构成了全方位的安全威胁。由于其影响范围广泛,造成的损失往往难以准确统计。安全研究人员已识别出57种不同的攻击方式,可能对个人、企业乃至国家造成严重后果。
从根本上说,社会工程攻击是通过操纵人类心理弱点来获取敏感信息或资产的策略。这些骗术之所以有效,正是因为攻击者深谙人性弱点,能够精准把握用户行为动机。
常见社会工程攻击类型
钓鱼攻击
钓鱼攻击始终是社会工程犯罪分子的首选手段。攻击者会伪装成银行、交易所甚至熟人,试图骗取密码等敏感信息。
垃圾邮件钓鱼如同撒网捕鱼,不特定针对个人;而定向钓鱼和捕鲸式钓鱼则更具针对性,后者专门针对知名人士或高管。这些攻击可能通过电话(语音钓鱼)、短信(短信钓鱼)、电子邮件或社交媒体等多种渠道实施。
其他常见手法还包括:操纵搜索引擎结果的钓鱼陷阱、精心设计的欺诈链接,以及利用虚假弹窗窃取登录信息的会话劫持攻击。
其他攻击形式
诱饵攻击利用人类好奇心,通过承诺免费赠品等方式诱导用户下载恶意软件。物理入侵攻击则更为大胆,攻击者会亲自现身伪装成可信人员获取权限。
借口攻击通过编造虚假身份建立信任,而尾随攻击则利用人们的礼貌心理进入受限区域。以牙还牙攻击承诺给予回报换取信息,恐吓软件则通过虚假安全警告实施诈骗。
典型案例
历史上著名的”爱情信件”蠕虫、”Mydoom”邮件蠕虫等,都是利用社会工程手段传播的典型案例。攻击者会通过电子邮件、即时通讯甚至P2P网络传播恶意软件,常常使用极具诱惑力的文件名吸引用户点击。
社会工程攻击的实施过程
来源:Imperva, Inc.
社会工程攻击通常遵循系统化的流程:攻击者首先会收集目标信息,寻找安全漏洞;然后通过各种策略建立信任;最后在达成目的后迅速撤离。整个过程依赖于对人性弱点的精准把握和心理操控。
Web3领域的社会工程威胁
Web3领域正成为社会工程攻击的重灾区。由于加密货币资产存储在由私钥保护的钱包中,这些关键信息自然成为攻击者的主要目标。
近年来,多个知名项目都遭遇过社会工程攻击。例如Balancer协议就曾报告过域名被劫持的安全事件。攻击者不再依赖技术突破,而是通过精心设计的骗局诱使用户主动交出私钥。
识别与防范
来源:Xiph Cyber
防范社会工程攻击需要保持高度警觉:注意异常情绪波动、仔细核实发送者身份、检查网站细节、警惕过于诱人的优惠、谨慎处理附件链接。在面对面接触时,务必要求对方提供身份证明。
总结
面对不断演进的社会工程攻击,Web3用户必须时刻保持警惕。保护数字资产需要主动采取安全措施:启用多重验证、使用强密码、及时了解最新诈骗手法。只有通过持续的安全意识和防范措施,才能共同构建更安全的Web3环境。
作者: Paul
译者: Paine
审校: Matheus、Piccolo、Ashley
* 投资有风险,入市须谨慎。本文不作为 Gate 提供的投资理财建议或其他任何类型的建议。
* 在未提及 Gate 的情况下,复制、传播或抄袭本文将违反《版权法》,Gate 有权追究其法律责任。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/12806.html
