騙徒為求達到目的無所不用其極,有人出售缺貨的「挖礦」裝置、有人用加密貨幣交易所的禮物遊說受害者、甚麼利用名人Elon Musk等等,下文將會介絕一種新的送禮詐騙,並說明為何必需盡一切方法保護自己的加密貨幣錢包的助記詞(seed phrase)。
免費午餐
一如其他個案,詐騙以一封電郵開始,幕後主腦決定以誘人的加密貨幣送禮作為誘餌,Bitcoin(BTC)、Ethereum(ETH)、Litecoin(LTC)Tron(TRX)和Ripple(XRP)合共價值800萬美元的加密貨幣作為禮物,這個「慷慨」的騙徒更以三個步驟引導有意獲得免費加密貨幣的人,而連結是導向「宣傳」網站。
電郵本身的發送者自稱是加密貨幣社群的支援團隊,可能會有人以為是一班加密貨幣狂熱者的組織,然而發送者的域名就與加密貨幣完全沒有關係,而且訊息內容草率,出現不少錯誤和錯字,騙徒似乎以為受害者會被鉅額金錢所蒙蔽而不會發現這些漏洞。
點擊連結會把用戶帶到釣魚網站,其域名與發送者的地址沒有關係,而且在簡陋的設計中也沒有提到任何加密貨幣社群。在這裡受害者會被問到想傳送款項到哪一個錢包,犯罪份子提供了大部份常見的錢包選項,甚至有「Other Wallets」的選項令使用冷門錢包的人士也能夠掉入他們的陷阱。
之後就到最有趣的部份,為了取得吸引的 token,用戶必需輸助記詞seed phrase,填妥後點擊Next按鍵便會彈出完成的訊息,加密貨幣將會在24小時內傳入「幸運兒」的帳號。不過網站不會對助記詞進行檢查,即使是隨機亂打的字或甚至數字(正常情況下seed phrase不能使用數字)都能夠輸入,網站依舊會聲稱作功,當然,如果輸入了真的助記詞,受害者很大機會失去所有積蓄。
助記詞或萬用匙
騙徒利用了通常人們都會非常保護他們的private key,它能直接存取加密錢包,但不知道他們的助記詞seed phrase也是高級機密,想也不想就把它輸入到網站去換取獎賞。
事實上助記詞的重要性不比private key低,攻擊者只要擁有它就能產生新的private key然後存取受害者的錢包,換句話說它的功效與private key相同,所以保護它的警覺性也不能比private key低。
保護你的加密財產
作為總結,以下是三項避免掉入加密詐騙的小貼士:
- 保護你的助記詞,永遠不要向他人披露,只有在復原存取你的錢包時輸入,不要把助記詞保存在公共的檔案共享服務,或透過即時通訊應用程式或電郵進行發送。
- 不要點擊送禮、送錢、帳號凍結或銀行帳號關閉的電郵的連結,這類電郵大部份都來自網絡犯罪份子,瀏覽我們關於分辨網上騙徒的文章。
- 使用可靠的保安方案,及時警告可能的網絡釣魚網頁,防止你把敏感資料交到壞人手上。
資料來源:Kaspersky Blog