《慢雾科技SlowMist:2025年Web3钓鱼手法解析报告(67页).pdf》由会员分享,可在线阅读,更多相关《慢雾科技SlowMist:2025年Web3钓鱼手法解析报告(67页).pdf(67页珍藏版)》请在三个皮匠报告上搜索。
1、T&CWeb3 钓鱼攻击现状与防御挑战攻击现状防御挑战攻击者通常选择热度高的项目进行精心伪装,通过空投、高回报等诱饵吸引用户。手法包括域名仿冒、社交媒体欺诈、虚假应用程序等。攻击者擅长运用社会工程学,通过明修栈道,暗度陈仓的策略隐藏真实意图。用户难以持续保持高度警惕,即使安全意识较强也可能遭受攻击。攻击手法不断创新,识别真伪难度大。攻击者善于隐匿身份并清除证据,增加了追踪难度。披沙拣金:筛选目标项目并进行伪装攻击者通过调研近期趋势热度的方向,热点项目方的社区活跃情况,以及目标项目的用户规模等,筛选出“关注度高”的热点项目,并构建伪装。伪装包括:相似(真实)的域名和网页相似(真实)的社交媒体账号
2、或 TG Bot相似(真实)的管理员马甲.明修栈道:吸引流量()的手段在 Web3 领域,“明修栈道,暗度陈仓”的手法被广泛运用。表面上攻击者伪装项目方通过发布 AMA、空投等活动吸引流量,实则借此分发“饵料”,为后续的钓鱼攻击做准备,让用户防不胜防。伪装身份:可能是伪装项目官方社交媒体账号,应用程序,Web 站点,TG Bot 等,也可能是知名的 Web3 KOL 等。暗度陈仓:隐藏攻击的智慧由于有前面的铺垫,用户安全意识较差的就容易在后续的攻击意图中“中招”,安全意识较高的也难免“常在岸边走哪有不湿鞋”,实时保持最高的警惕性很难。攻击者最终的意图:盗取资产/盗取权限-盗取资产暗度陈仓:隐藏
3、攻击的智慧攻击会将真实的意图进行隐藏:盗取用户助记词私钥,如:欺骗用户输入助记词或私钥等欺骗用户使用钱包签名,如:授权签名,转账签名等盗取用户账号密码,如:Telegram,Gmail,X,Discord 等盗取用户社交应用权限:如:X,Discord 等诱导安装恶意程序,如:假钱包 APP,假社交 APP,假会议 APP 等.创建饵料:好康(有利可图)攻击者构建“好康”的饵料创建饵料:好康(有利可图)构建话术为饵料推广,诱导交互赋予故事让用户觉得有利可图,如:Airdrop 资格白名单,挖头矿,财富密码等给予用户方便,如:薅空投工具,AI 量化工具,一键挖矿薅羊毛等投放饵料:精准覆盖的策略投
4、放渠道社交 APP:X,Telegram,Discord 等搜索引擎:Google,Baidu,Bing 等邮箱:SMTP Server(Google,AWS)批量邮件分发等APP 商城:Google Play,Chrome Store,App Store,APKCombo 等传播诱饵:在社交媒体/搜索引擎排名中传播攻击者利用 Web3 社群在 Web3 社交媒体上发布诱人的 Token Airdrop 活动链接,引诱用户点击访问,从而开始“演绎剧本故事”,通常会以完成一系列任务才能够获得奖励等话术,诱导用户“上钩”。投放方式社交平台:群聊,私信,评论留言,发 tweet,打广告等搜索引擎:S
5、EO/打广告刷排名APP 商城:上架仿冒 APP 或虚假 APP传播诱饵:在社交媒体/搜索引擎排名中传播引导诱骗:社会工程学-让用户在无意中掉入陷阱引导诱骗:社会工程学-让用户在无意中掉入陷阱引导诱骗:社会工程学-让用户在无意中掉入陷阱引导诱骗:社会工程学-让用户在无意中掉入陷阱黑客通过和受害者在社交平台上聊天,向用户推荐“优质”项目,引导受害者访问恶意的钓鱼站点 https:/wasper.app,下载恶意的应用程序。引导诱骗:社会工程学-让用户在无意中掉入陷阱引导诱骗:社会工程学-让用户在无意中掉入陷阱攻其不备:趁虚而入的时机-让目标“起心动念”好奇/贪婪无惧卖飞的逃顶策略,不容错过潜在1
6、00 倍币,今晚 10 点不见不散,会议链接 https:/us04-zoom.us/好奇/贪婪$PENGU 空投白名单不容错过,https:/vote- 项目被黑,请使用 revake.cash 取消授权避免资金损失.隐匿行踪:隐藏网络身份TorVPNZombie隐匿行踪:匿名采购服务或基础设施C CloudflareloudflareN NamecheapamecheapV VercelercelN Netlifyetlify隐匿行踪:混币藏匿资金转移路径WasabiWasabi Wallet WalletTornadoCashMonero扫清痕迹:获利后避免留下样本和证据删除相关域名解析