隨著近期 Bitcoin 和其他虛擬貨幣 (或加密貨幣) 有如過山車的價格,令在一年前甚少人留意的東西,不但成為城中熱話,也成為媒體每日報導的項目。而網絡罪犯也把握這個大好時機,利用網絡釣魚的方法,直接盜取受害人的電子錢包!
高仿真度釣魚電郵
最簡單的虛擬貨幣釣魚攻擊,依舊是最常見的濫發電郵攻勢,透過看似真正的虛擬貨幣相關服務供應商 (例如:網絡錢包、交易所等) 發出的電郵,誘使用戶掉入陷阱。由於直接盜取電子錢包所獲得的利益,遠比盜取用戶的電郵帳戶高,所以犯罪份子也特別用心,發出的電子郵件份外像真,例如會偽裝成保安警告,訛稱有人試圖從某個地方使用某瀏覽器登入用戶的帳號,要求用戶點擊連結檢查安全。由於用戶之前可能也收到來自虛擬錢包網站發出的類似訊息,所以發現犯罪份子的釣魚電郵。
如果用戶點擊連結,便會進入偽裝的虛擬貨幣網站,要求用戶輸入電子錢包的登入資料。由於知名的 Bitcoin 網絡錢包網站看起來都比較簡單和容易模仿,所以方便犯罪份子的偽裝行為。
假裝送錢其實偷錢
最近研究人員發現了一些更狡滑的虛擬貨幣釣魚活動,透過 Facebook 的功能巧妙地向用戶發送假裝送錢的釣魚訊息,其實目標是盜取用戶的電子錢包,流程如下:
1. 騙徒尋找虛擬貨幣相關的 Facebook 社群,然後開設一個名字和設計都與該社群相同的專頁,連同網址也像真度十足,通常只是一個字的差別,要發現兩者之間的分別並不容易,因為在 Facebook 上用戶可以自由設定專頁名字,而大部份人都只留意專頁的名字而忽略網址部份。
2. 騙徒然後從偽冒專頁發送釣魚訊息至真實社群的會員,當中巧妙的方法是透過在專頁上分享受害者的頭像照片,然後再 Tag 受害人,由於頭像照片通常都設定為向所有人公開,而且無法阻止其他人分享或 Tag,所以這個做法相當有效,唯一對付的方法是關閉從不明用戶、專頁和社群的 Tag 通知。
3. 由於牽涉到更大的利益,騙徒在釣魚訊息上也更加一絲不苟,例如:訊息會指用戶是第 100 位幸運兒於他們的平台上的貨幣單位為 20.72327239 (就是如此仔細),然後提供連結讓受害人領取所謂的獎金,而且訊息附有詳細的條款資料,例如在平台上的最少交易量,令整件騙案看起來更加真實。
防範虛擬貨幣釣魚騙案
虛擬貨幣市場一度成為搖錢樹,但謹記提供虛擬貨幣的服務公司並不是慈善機構,他們不會無故派錢,如果有人答應送你免費的虛擬貨幣,很多時都是騙徒的陷阱,又或者另有所圖,所以收到有關虛擬貨幣的訊息時,不妨留意以下幾點:
1. 小心檢查所有連結,最好不要點擊任何來自訊息的連結,取而代之是自行在瀏覽器上輸入有關服務的網址。
2. 小心設定自己 Facebook 的私隱設定,可以參考由卡巴基斯實驗室的專家提供的資訊。
3. 使用具備防止網絡釣魚防護的防毒方案,Kaspersky Internet Security 就是其中之一。