回望「幣安驚魂夜」:釣魚事件如何發生,用戶又該如何防禦?
幣安網創始人趙長鵬
3月7日,知名數字貨幣交易平台幣安遭到黑客攻擊,此次攻擊造成全球數字幣價格大跌。
根據幣安交易所的公告,有31個賬戶遭到黑客的釣魚入侵,黑客在掌握用戶的賬戶許可權之後,使用機器掛單,進行程序化高頻交易,給用戶帶來巨大損失。
這幾天關於此事的新聞很多,但絕大多數都是從事件本身出發,對數字貨幣的影響、對交易平台的影響等。
最關鍵的一點沒人提及:到底釣魚事件是怎麼發生的,作為幣安的普通用戶,我們應該如何防禦此類攻擊?
一年前,華裔學生報告unicode釣魚漏洞
在幣安交易所發布的公告中指出,本次攻擊,黑客使用了「unicode釣魚手法」,這個是什麼鬼?估計99%的記者沒看懂。
2017年4月14日,在約翰霍普金斯大學研究數學的學生xudong zheng發表了一篇論文,題目是《Phishing with Unicode Domains》,中文大意為「用unicode網址釣魚」。文章中給出了一種釣魚的方法,多語言字元混合來騙過用戶的眼睛。
安全專家向黑奇士表示,咱們使用的瀏覽器,是以英文為基礎的,包括網址在開始也是僅能解析英文,所謂的unicode編碼。
為了讓瀏覽器支持多語言,有人開發了punycode編碼,這套編碼可以讓世界上其他的語言可以被瀏覽器「理解」,比如中文、俄文、韓語。
例如,你要訪問蘋果網站,在最早你必須輸入英文的apple.com;後來中國的cnnic、3721等公司,相繼開發了自己的插件,讓瀏覽器支持「新浪.com」、」「百度.com」這樣的域名。Punycode就相當於一款語言插件(編碼標準),被內置在了主流瀏覽器當中。
但使用puycode編碼的網址會有一個問題,比如中文拼音的 ü,跟英文單詞的u,看起來非常像(一個頭上有兩點,一個沒有),但這套編碼會識別成兩個字母。
這就帶來一種攻擊:有人把各種語言的相似字母組合在一起,冒充知名網址。
本次幣安的釣魚攻擊,就是有人把西里爾語字母,跟英文字母結合,冒充幣安的網址。
黑奇士採訪的資深白帽子M表示,即使是專業安全人士,如果對web安全不熟,面對這種釣魚也很有可能上當。
(看到n下面那兩點了嗎,那不是英文字母)
半月前趙長鵬已收到警報,但未做處理
所謂的釣魚攻擊,本質上就是用戶在一個「仿冒網站」上輸入了自己的賬號密碼。
這個仿冒網站,要想針對性的投放到幣安用戶群中,黑客會使用一些精準化的投放手法,例如搜索引擎的廣告投放、向幣安用戶發送釣魚郵件、在電報群中點對點發送網址鏈接等。
這些動作不能在短期內起效,如果交易所在安全監控上投入精力,是有可能早期發現、早期處理類似事件的。
可惜的,幣安交易所並未做到。
有微信截圖顯示,早在2月20日,有人向幣安交易所創始人趙某發布了釣魚警告,他表示問題已得到處理。從幣安的後續措施來看,他並未把這個警告當真,至少沒有向存在風險的用戶發布警告,以求儘力挽回損失。
白帽子M先生表示,針對此類unicode釣魚,主流瀏覽器已經能夠防禦。在PC端,只要把瀏覽器升級到最新版本,就能解決一大部分威脅;在手機上,安裝殺毒軟體也能解決很多問題。如果是蘋果手機,安裝騰訊手機管家,iOS系統會調用其SDK,也能對釣魚網址進行攔截。
黑奇士查看幣安網站,截至發稿,網站首頁沒有任何安全提醒。
普通用戶應該如何防範此類釣魚攻擊?
黑奇士提醒普通用戶,可以採取如下措施,降低數字幣交易的安全風險:
1、無論手機端還是PC端,都必須安裝殺毒軟體,而且要安裝套裝。單純「殺毒」,是無法解決釣魚這樣問題的,黑奇士推薦卡巴斯基的殺毒套裝(付費版),國內的話,可以嘗試騰訊安全管家或火絨殺毒軟體(兩者均為免費軟體)。
2、瀏覽器必須保持實時升級,事實上,uniode釣魚過去已經一年,主流瀏覽器都應該打了補丁,對近似字元區別性顯示。但國內有些換殼的瀏覽器,核心升級不如原版瀏覽器,這些可能存在安全問題。例如360瀏覽器、搜狗瀏覽器、獵豹瀏覽器,都可能存在此類問題。
黑奇士推薦安裝在線安裝chrome瀏覽器。國內網站下載的full版chrome瀏覽器,升級功能受到限制,可能導致安全性能受損。
3、對於普通小白用戶,推薦使用密碼管理器,軟體會自動識別網址,在仿冒的網址上不會自動填入密碼。但需要指出的是,這類密碼管理器一旦被人入侵,所有密碼都會被竊取。如何權衡風險和便利,還需要用戶自己把握尺度。
4、手機端下載交易所軟體時,不要怕麻煩,一定要從官網下載,不要從國內的手機軟體商店下載,那些軟體可能存在仿冒、換皮等問題。
多個大交易所仍有漏洞
3月10日,有安全研究者在知乎表示,除了用戶賬戶被竊之外,交易所的風控邏輯存在漏洞,也是這次攻擊成功的關鍵。
知乎網友「二子乘舟」在文章中推測,幣安交易所並未採取真正的OTP(One-time Password)邏輯。
有幣安受害者在國外網站表示,自己開啟了幣安最高等級的2FA認證。所謂2FA,就是在登陸賬戶的時候,除了賬號名、密碼需要正確之外,網站還會向你發送一個手機驗證簡訊,驗證成功才允許登陸,這個在業內叫二次驗證。
幣安的邏輯漏洞在於,手機驗證簡訊在30秒有效期內可以被二次使用:用戶首先在幣安使用,然後黑客再利用這條簡訊再次登陸,驗證碼仍然有效。
而實際上,真正的OTP只允許一次登陸,即使在有效期之內,只要有人使用過一次,就會及時作廢,防止黑客和用戶同時異地登陸。
根據「二子乘舟」的檢驗,包括火幣、Bigone等著名交易所仍然存在OTP驗證漏洞,可能會被黑客攻擊。
(來源:知乎網友,二子乘舟)
頂象高級安全專家朱燁表示,如果防範措施得當,當黑客竊取了用戶的密碼,試圖登陸幣安網站或app時,可以對其進行設備指紋、常用登陸IP、交易行為等多維度的風險模型識別,一旦發現異常即可阻止。
而且,根據幣安的公告,黑客使用了機械化高頻交易程序,控制被竊賬戶頻繁交易。像這種行為,在擁有豐富傳統金融安全經驗的安全模型來說,對其進行防禦輕而易舉,有多種安全策略可以奏效。
安全路正長,諸君當努力
在黑奇士看來,現在無論什麼行業,對於業務安全的需求都是有增無減。
以區塊鏈相關為例,幣安交易所對應了傳統的滬深交易所,從收入水平、業務規模上都幾乎可以與其匹敵。但每年滬深交易所的安全投入都是以數十億計,幣安投入了多少,對安全能說足夠重視嗎?
昨天,幣安發布公告,懸賞25萬美元捉拿黑客。
我想說,這種作秀有意思嗎,你把這25萬美元放到安全防禦上行不行?
再次一點,你如果捨得丟臉,在2月20號收到警告的時候,官方發個安全公告,提醒用戶小心釣魚攻擊,還會有後來的3.7驚魂嗎?
一聲嘆息。
安全路正長,從業諸君當努力啊。
更多精彩內容,關注鈦媒體微信號(ID:taimeiti),或者下載鈦媒體App
※李小冉夫婦、文章坐鎮,每況愈下的光彩傳媒還有機會突圍?
※青蛙又涼了,你為何不養「呱兒子」了
TAG:鈦媒體APP |