幣安網創(chuàng)始人趙長鵬

3月7日，知名數(shù)字貨幣交易平臺幣安遭到黑客攻擊，此次攻擊造成全球數(shù)字幣價格大跌。

根據幣安交易所的公告，有31個賬戶遭到黑客的釣魚入侵，黑客在掌握用戶的賬戶權限之后，使用機器掛單，進行程序化高頻交易，給用戶帶來巨大損失。

這幾天關于此事的新聞很多，但絕大多數(shù)都是從事件本身出發(fā)，對數(shù)字貨幣的影響、對交易平臺的影響等。

最關鍵的一點沒人提及：到底釣魚事件是怎么發(fā)生的，作為幣安的普通用戶，我們應該如何防御此類攻擊？

一年前，華裔學生報告unicode釣魚漏洞

在幣安交易所發(fā)布的公告中指出，本次攻擊，黑客使用了“unicode釣魚手法”，這個是什么鬼？估計99%的記者沒看懂。

2017年4月14日，在約翰霍普金斯大學研究數(shù)學的學生xudong zheng發(fā)表了一篇論文，題目是《Phishing with Unicode Domains》，中文大意為“用unicode網址釣魚”。文章中給出了一種釣魚的方法，多語言字符混合來騙過用戶的眼睛。

安全專家向黑奇士表示，咱們使用的瀏覽器，是以英文為基礎的，包括網址在開始也是僅能解析英文，所謂的unicode編碼。

為了讓瀏覽器支持多語言，有人開發(fā)了punycode編碼，這套編碼可以讓世界上其他的語言可以被瀏覽器“理解”，比如中文、俄文、韓語。

例如，你要訪問蘋果網站，在最早你必須輸入英文的apple.com；后來中國的cnnic、3721等公司，相繼開發(fā)了自己的插件，讓瀏覽器支持“新浪.com”、”“百度.com”這樣的域名。Punycode就相當于一款語言插件（編碼標準），被內置在了主流瀏覽器當中。

但使用puycode編碼的網址會有一個問題，比如中文拼音的 ü，跟英文單詞的u，看起來非常像（一個頭上有兩點，一個沒有），但這套編碼會識別成兩個字母。

這就帶來一種攻擊：有人把各種語言的相似字母組合在一起，冒充知名網址。

本次幣安的釣魚攻擊，就是有人把西里爾語字母，跟英文字母結合，冒充幣安的網址。

黑奇士采訪的資深白帽子M表示，即使是專業(yè)安全人士，如果對web安全不熟，面對這種釣魚也很有可能上當。

（看到n下面那兩點了嗎，那不是英文字母）

半月前趙長鵬已收到警報，但未做處理

所謂的釣魚攻擊，本質上就是用戶在一個“仿冒網站”上輸入了自己的賬號密碼。

這個仿冒網站，要想針對性的投放到幣安用戶群中，黑客會使用一些精準化的投放手法，例如搜索引擎的廣告投放、向幣安用戶發(fā)送釣魚郵件、在電報群中點對點發(fā)送網址鏈接等。

這些動作不能在短期內起效，如果交易所在安全監(jiān)控上投入精力，是有可能早期發(fā)現(xiàn)、早期處理類似事件的。

可惜的，幣安交易所并未做到。

有微信截圖顯示，早在2月20日，有人向幣安交易所創(chuàng)始人趙某發(fā)布了釣魚警告，他表示問題已得到處理。從幣安的后續(xù)措施來看，他并未把這個警告當真，至少沒有向存在風險的用戶發(fā)布警告，以求盡力挽回損失。

白帽子M先生表示，針對此類unicode釣魚，主流瀏覽器已經能夠防御。在PC端，只要把瀏覽器升級到最新版本，就能解決一大部分威脅；在手機上，安裝殺毒軟件也能解決很多問題。如果是蘋果手機，安裝騰訊手機管家，iOS系統(tǒng)會調用其SDK，也能對釣魚網址進行攔截。

黑奇士查看幣安網站，截至發(fā)稿，網站首頁沒有任何安全提醒。

普通用戶應該如何防范此類釣魚攻擊？

黑奇士提醒普通用戶，可以采取如下措施，降低數(shù)字幣交易的安全風險：

1、無論手機端還是PC端，都必須安裝殺毒軟件，而且要安裝套裝。單純“殺毒”，是無法解決釣魚這樣問題的，黑奇士推薦卡巴斯基的殺毒套裝（付費版），國內的話，可以嘗試騰訊安全管家或火絨殺毒軟件（兩者均為免費軟件）。

2、瀏覽器必須保持實時升級，事實上，uniode釣魚過去已經一年，主流瀏覽器都應該打了補丁，對近似字符區(qū)別性顯示。但國內有些換殼的瀏覽器，核心升級不如原版瀏覽器，這些可能存在安全問題。例如360瀏覽器、搜狗瀏覽器、獵豹瀏覽器，都可能存在此類問題。

黑奇士推薦安裝在線安裝chrome瀏覽器。國內網站下載的full版chrome瀏覽器，升級功能受到限制，可能導致安全性能受損。

3、對于普通小白用戶，推薦使用密碼管理器，軟件會自動識別網址，在仿冒的網址上不會自動填入密碼。但需要指出的是，這類密碼管理器一旦被人入侵，所有密碼都會被竊取。如何權衡風險和便利，還需要用戶自己把握尺度。

4、手機端下載交易所軟件時，不要怕麻煩，一定要從官網下載，不要從國內的手機軟件商店下載，那些軟件可能存在仿冒、換皮等問題。

多個大交易所仍有漏洞

3月10日，有安全研究者在知乎表示，除了用戶賬戶被竊之外，交易所的風控邏輯存在漏洞，也是這次攻擊成功的關鍵。

知乎網友“二子乘舟”在文章中推測，幣安交易所并未采取真正的OTP（One-time Password）邏輯。

有幣安受害者在國外網站表示，自己開啟了幣安最高等級的2FA認證。所謂2FA，就是在登陸賬戶的時候，除了賬號名、密碼需要正確之外，網站還會向你發(fā)送一個手機驗證短信，驗證成功才允許登陸，這個在業(yè)內叫二次驗證。

幣安的邏輯漏洞在于，手機驗證短信在30秒有效期內可以被二次使用：用戶首先在幣安使用，然后黑客再利用這條短信再次登陸，驗證碼仍然有效。

而實際上，真正的OTP只允許一次登陸，即使在有效期之內，只要有人使用過一次，就會及時作廢，防止黑客和用戶同時異地登陸。

根據“二子乘舟”的檢驗，包括火幣、Bigone等著名交易所仍然存在OTP驗證漏洞，可能會被黑客攻擊。

                                                                 （來源：知乎網友，二子乘舟）

頂象高級安全專家朱燁表示，如果防范措施得當，當黑客竊取了用戶的密碼，試圖登陸幣安網站或app時，可以對其進行設備指紋、常用登陸IP、交易行為等多維度的風險模型識別，一旦發(fā)現(xiàn)異常即可阻止。

而且，根據幣安的公告，黑客使用了機械化高頻交易程序，控制被竊賬戶頻繁交易。像這種行為，在擁有豐富傳統(tǒng)金融安全經驗的安全模型來說，對其進行防御輕而易舉，有多種安全策略可以奏效。

安全路正長，諸君當努力

在黑奇士看來，現(xiàn)在無論什么行業(yè)，對于業(yè)務安全的需求都是有增無減。

以區(qū)塊鏈相關為例，幣安交易所對應了傳統(tǒng)的滬深交易所，從收入水平、業(yè)務規(guī)模上都幾乎可以與其匹敵。但每年滬深交易所的安全投入都是以數(shù)十億計，幣安投入了多少，對安全能說足夠重視嗎？

昨天，幣安發(fā)布公告，懸賞25萬美元捉拿黑客。

我想說，這種作秀有意思嗎，你把這25萬美元放到安全防御上行不行？

再次一點，你如果舍得丟臉，在2月20號收到警告的時候，官方發(fā)個安全公告，提醒用戶小心釣魚攻擊，還會有后來的3.7驚魂嗎？

一聲嘆息。

安全路正長，從業(yè)諸君當努力啊。

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

4

0

掃描下載App