O ataque de engenharia social Web3 é um método que utiliza a engenharia social para manipular os utilizadores a divulgarem informações confidenciais, como contas de utilizador e palavras-passe, induzindo os utilizadores a autorizarem e transferirem ativos de criptomoeda e NFT, colocando em risco a segurança e privacidade da rede Web3. A seguir, vamos apresentar seis tipos de ataques de engenharia social e fornecer sugestões específicas de prevenção.

1. 1. Discord Phishing

O Discord emergiu como um centro próspero para utilizadores encriptados, promovendo ligações comunitárias e partilha de notícias. No entanto, a sua popularidade não o torna imune a ameaças potenciais. Neste espaço dinâmico, os atores maliciosos podem distribuir furtivamente links suspeitos com o objetivo de roubar as suas credenciais de conta valiosas.

Nas comunidades do Discord, pode deparar-se com mensagens a afirmar que ganhou um prémio, mas na realidade são links de phishing disfarçados.

Clicar no link irá levá-lo para um site semelhante ao Discord e solicitar autorização.

Depois de clicar em Autorizar, uma outra janela de login do Discord irá aparecer.

Primeiro, não podemos arrastar esta janela de login para fora da janela do navegador atual.

Em segundo lugar, existem alguns sinais suspeitos no endereço exibido. O endereço "https:\discord.com\login" usa barra invertida () para conectar, enquanto o endereço de login oficialhttps://discord.com/loginUse uma barra (/) para navegar.

A página da janela parece muito semelhante à janela de login legítima do Discord, com muito poucas diferenças. A imagem oficial da janela de login é a seguinte:

Uma vez que o utilizador introduz o nome de utilizador e palavra-passe da sua conta na página de phishing, a sua conta pessoal será imediatamente exposta e informações sensíveis serão reveladas. Os fraudadores podem então usar esta informação para obter acesso não autorizado às contas dos utilizadores e envolver-se em atividades fraudulentas.

Verificar o Código Fonte da Página Web no Modo de Desenvolvedor do Navegador

Pode verificar o código-fonte da página da web através do modo de desenvolvedor do navegador.

No processo de phishing acima, após clicar em Autorização, a janela falsa de login do Discord que aparece não é realmente uma nova janela, mas uma interface incorporada. Como é que podes descobrir isto?

Pressione a tecla F12 para entrar no modo de desenvolvedor do navegador. Na guia Elementos, você pode visualizar o código HTML e CSS da página da web atual. Para a parte da página que você suspeita, como esta janela de login do Discord, você pode clicar nessa seção com o mouse e, geralmente, pode encontrar o código correspondente no painel Elementos.

Ao verificar o código fonte da página, encontramos que se trata de uma tag , usada para inserir uma imagem na página da web, e src é usado para especificar o caminho da imagem.

Digite o modo de desenvolvedor do navegador a partir da janela de login oficial do Discord, como mostrado na figura abaixo:

Portanto, quando encontramos uma anomalia, podemos pressionar F12 para entrar no modo de desenvolvedor do navegador e visualizar o código-fonte da página para determinar se a nossa suspeita está correta. Especialmente quando clica em links desconhecidos para reclamar recompensas, deve abordar cada passo com suspeita e cautela.

2. Phishing no Twitter

No Twitter (agora X), a popular plataforma para entusiastas de criptomoedas, uma grande ameaça surgiu - phishing. Os criminosos manipulam os usuários de forma astuta com aliciantes airdrops e NFTs gratuitos. Ao redirecioná-los para sites enganosos, esses atacantes planejam meticulosamente a perda de criptomoedas e valiosos ativos de NFT.

Airdrops e NFTs gratuitos são áreas de grande interesse para muitos. Os golpistas aproveitam contas verificadas do Twitter sequestradas para lançar campanhas e redirecionar os utilizadores para websites de phishing.

Os vigaristas utilizam ativos de projetos legítimos de NFT para criar sites de phishing.

Eles aproveitam serviços populares como Linktree para redirecionar os usuários para páginas falsas que imitam os mercados de NFT, como OpenSea e Magic Eden.

Os atacantes tentarão convencer os usuários a conectar suas carteiras de criptomoedas (como MetaMask ou Phantom) a sites de phishing. Usuários desavisados podem, sem saber, conceder a esses sites de phishing acesso às suas carteiras. Através deste processo, os criminosos podem transferir criptomoedas como Ethereum ($ETH) ou Solana ($SOL), bem como quaisquer NFTs detidos nessas carteiras.

Tenha cuidado com links suspeitos no Linktree

Quando os utilizadores adicionam links relevantes no Linktree ou em outros serviços semelhantes, precisam de verificar o nome de domínio do link. Antes de clicar em qualquer link, verifique se o nome de domínio ligado corresponde ao nome de domínio real do mercado NFT. Os vigaristas podem usar nomes de domínio semelhantes para imitar mercados reais. Por exemplo, o mercado real pode ser opensea.io, enquanto o mercado falso pode ser openseea.io ou opensea.com.co, etc.

Portanto, é melhor os utilizadores escolherem adicionar manualmente os links. Abaixo estão os passos para adicionar manualmente um link:

Primeiro, precisa de encontrar o endereço do site oficial ao qual deseja ligarhttps://opensea.io/, e copie o URL.

Clique em "Adicionar Link" no Linktree, insira o URL que acabou de copiar e clique no botão "Adicionar".

Depois da adição bem-sucedida, você pode ver “Opensea” à direita. Clique em “Opensea” para ser redirecionado para o site oficial da Opensea.

3. Web Spoofing / Phishing

Aqui, vamos explicar como os atacantes constroem os seus domínios de sites de phishing para se fazerem passar pelo site oficial da OpenAI e enganar os utilizadores, levando-os a ligar-se à sua própria carteira de criptomoedas, resultando na perda de criptomoedas ou NFTs.

Os golpistas enviam e-mails de phishing e links com assuntos como “Não perca o airdrop de token DEFI OpenAI por tempo limitado.” O e-mail de phishing afirma que o GPT-4 agora só está disponível para aqueles que possuem tokens OpenAI.

Após clicar no botão “Iniciar”, será redirecionado para o site de phishing, openai.com-token.info.

Conecte sua carteira a um site de phishing.

Os utilizadores são atraídos a clicar num botão “Clique aqui para reclamar”, e ao clicar, podem escolher conectar-se usando carteiras de criptomoedas populares como MetaMask ou WalletConnect.

Após a conexão ser estabelecida, os sites de phishing conseguem transferir automaticamente todos os tokens de criptomoeda ou ativos NFT da carteira do utilizador para a carteira do atacante, roubando assim todos os ativos na carteira.

Reconhecimento de Nomes de Domínio Genuínos e Falsos

Se souber identificar os nomes de domínio nos URLs, poderá evitar eficazmente a falsificação de páginas da web/phishing. Abaixo, são explicados os principais componentes de um nome de domínio.

Geralmente, os sites comuns são nomes de domínio de segundo nível ou nomes de domínio de terceiro nível.

1. O nome de domínio de segundo nível consiste no nome de domínio principal e no nome de domínio de nível superior, como google.com. Entre eles, "google" é o nome de domínio principal, que é a parte central do nome de domínio e representa o nome do site. ".com" é o nome de domínio de nível superior, que é a última parte do nome de domínio e indica a categoria ou tipo do domínio, como .com, .net, .org, etc. ".com" representa um site comercial.
2. O nome de domínio de terceiro nível é composto pelo nome de domínio principal, pelos subdomínios e pelos domínios de topo, por exemplo, mail.google.com. "mail" é um subdomínio, "google" é o nome de domínio principal e ".com" é o domínio de topo.

Explicando o site de phishing acima, openai.com-token.info.

1. “openai” é um nome de subdomínio.
2. "com-token" é o nome de domínio principal.
3. “.info” é um nome de domínio de nível superior.

Obviamente, este site de phishing está a fazer-se passar pela OpenAI, e o nome de domínio oficial da OpenAI é openai.com.

1. "openai" é o nome de domínio principal.
2. “.com” é um nome de domínio de nível superior.

Como é que este site de phishing se fez passar pela OpenAI? O atacante fez com que a primeira metade do URL de phishing se parecesse com “openai.com” ao usar o subdomínio “openai” e o domínio principal “.com-token”, onde “com-token” usa hífens.

4. Phishing do Telegram

O phishing no Telegram é um problema de cibersegurança notável. Nestes ataques, os atores maliciosos visam tomar o controle dos navegadores da web dos utilizadores para obter credenciais críticas da conta. Para ilustrar este ponto mais claramente, vamos dar uma olhada passo a passo num exemplo.

Os golpistas enviam mensagens privadas aos utilizadores no Telegram, contendo um link para o mais recente filme "Avatar 2", e o endereço parece ser direto.

Uma vez que abra o link, irá chegar a uma página que parece um link real para o filme e até pode ver o vídeo. No entanto, a esta altura, o hacker já tinha ganho controlo do navegador do utilizador.

De uma perspectiva de hacker, vamos dar uma olhada em como eles exploram vulnerabilidades do navegador usando ferramentas de exploração para assumir o controle do seu navegador.

Após examinar o painel de controle dos hackers, ficou claro que eles tinham acesso a todas as informações sobre os utilizadores que estavam a navegar. Isso inclui o endereço IP do utilizador, cookies, fuso horário do proxy, etc.

Os hackers têm a capacidade de alternar para a interface de phishing do Google Mail e realizar ataques de phishing aos utilizadores do Gmail.

Neste ponto, a interface do front-end muda para a página de login do Google Mail. O utilizador insere as suas credenciais de conta e clica no botão de login.

Em segundo plano, os hackers recebem com sucesso o nome de utilizador e a palavra-passe de login. Ao utilizar este método, obtêm maliciosamente as informações de conta e palavra-passe dos utilizadores, o que acaba por resultar na fuga de informações do utilizador e causar perdas financeiras.

Verifique o script JavaScript carregado remotamente no código-fonte da página web

Pode entrar no modo de desenvolvedor do navegador e verificar se existem scripts JavaScript carregados remotamente no código-fonte da página web. Este script é a chave para o atacante controlar o navegador do utilizador. Como pode determinar se existe tal script de phishing no link que clicou?

No processo de phishing mencionado acima, quando você inserir o link para o filme “Avatar 2”, pode pressionar a tecla F12 para entrar no modo de desenvolvedor do navegador e descobrir que o link aponta para um script JavaScript carregado remotamente. Os hackers podem controlar o navegador remotamente executando o script, obtendo assim a conta e a senha do usuário.

Ao assistir ao filme “Avatar 2” em um site comum, entramos no modo de desenvolvedor do navegador e não encontramos nenhum script JavaScript apontando para o carregamento remoto.

5. Phishing do Metamask

Aqui, tomando o plugin Metamask como exemplo, explicaremos como os atacantes podem roubar as chaves privadas da carteira dos utilizadores usando este plugin.

O atacante obtém as informações de contato do usuário-alvo, como endereço de e-mail ou conta de mídia social. Os atacantes fingem ser entidades confiáveis, como a equipe oficial da Metamask ou parceiros, e enviam e-mails de phishing ou mensagens em redes sociais para os usuários-alvo. Os usuários recebem um e-mail se passando pelo MetaMask, pedindo para verificar sua carteira:

Quando o usuário clica em 'Verificar sua carteira', eles serão direcionados para a página seguinte. Esta página afirma ser o site oficial ou página de login da Metamask. Durante ataques de phishing reais, identificamos duas páginas de phishing diferentes. O primeiro pede diretamente aos usuários que insiram sua chave privada, enquanto o segundo solicita a frase de recuperação do usuário. Ambos são projetados para obter a chave Metamask do usuário.

O atacante obtém a chave privada ou frase de recuperação da vítima e pode usar essa informação para aceder e controlar a carteira Metamask do utilizador-alvo e lucrar transferindo ou roubando a criptomoeda do utilizador-alvo.

Verifique o Email e o Domínio do Metamask

Se precisar de instalar a extensão Metamask no Chrome, o link oficial éhttps://metamask.io/

Um link de phishing é https://metamaskpro.metamaskglobal.top/#/, por favor, seja cauteloso e verifique sua autenticidade.

Quando receber um email que aparenta ser da Metamask, precisa de prestar atenção às informações do remetente e do destinatário:

O nome e o endereço de email do remetente têm erros graves de ortografia: "Metamaks" em vez de "MetaMask".

O destinatário não inclui o seu nome real, algumas outras informações que o identifiquem e uma descrição mais clara do que precisa de ser feito. Isso prova que este email pode ter sido enviado em massa e não apenas para si.

Em segundo lugar, também pode verificar a autenticidade destes links pelo nome de domínio：

Clique em "Verificar sua carteira" para entrar na página de phishing, metamask.authorize-web.org. Analise este nome de domínio:

1. "metamask" é um subdomínio
2. "authorize-web" é o nome de domínio principal
3. “.org” é o nome de domínio de nível superior

Se conhecer o nome de domínio oficial do metamask, metamask.io, facilmente perceberá que foi alvo de um ataque de phishing:

1. "metamask" é o nome de domínio principal
2. “.io” é o nome de domínio de nível superior

O nome de domínio do site de phishing, metamask.authorize-web.org, possui um certificado SSL, o que engana os utilizadores, fazendo-os pensar que é um local seguro para negociar. Mas é necessário notar que o uso do MetaMask é apenas sob o nome do subdomínio do domínio de nível superior registado.

6. Phishing VPN

Uma VPN é uma tecnologia de criptografia usada para proteger a identidade e o tráfego dos utilizadores da Internet. Ela criptografa e transmite os dados do utilizador ao estabelecer um túnel seguro entre o utilizador e a Internet, tornando difícil para terceiros invadir e roubar dados. No entanto, muitas VPNs são VPNs de phishing, como a PandaVPN, letsvpn e LightyearVPN, para citar algumas. As VPNs de phishing normalmente expõem o endereço IP do utilizador.

Quando você se conecta usando uma VPN, o seu dispositivo envia um pedido DNS para o servidor VPN para obter o endereço IP do site que deseja visitar. Idealmente, uma VPN deve lidar com esses pedidos DNS e enviá-los através do túnel VPN para o servidor VPN, ocultando assim o seu verdadeiro endereço IP. Se estiver a usar uma VPN de phishing, pode ocorrer uma fuga de DNS e o seu verdadeiro endereço IP pode ser registado nos registos de consulta DNS, tornando as suas atividades online e os registos de acesso rastreáveis. Isto pode comprometer a sua privacidade e anonimato, especialmente se estiver a tentar ocultar o seu verdadeiro endereço IP.

Verificação automática de vazamento de IP

Quando utiliza um VPN para navegar na Internet, pode testar se o VPN está a divulgar o seu endereço IP através dos websites ipleak.net ou ip8.com. Estes websites só conseguem apresentar o seu endereço IP público, que é o endereço IP atribuído à sua ligação à Internet. Se estiver a utilizar um serviço VPN, estes websites irão apresentar o endereço IP do servidor VPN a que está ligado, em vez do seu endereço IP real. Isto pode ajudá-lo a verificar se o VPN está a ocultar com sucesso o seu endereço IP real.

Pode verificar se o seu endereço IP foi comprometido seguindo as instruções abaixo:

Abra o seu navegador e visite ipleak.net, que irá mostrar o seu endereço IP atual. Como mostrado na imagem abaixo, o seu endereço IP aparece como 114.45.209.20. E assinalou que "Se estiver a utilizar um proxy, é um proxy transparente." Isto indica que o seu endereço IP não foi divulgado e que a sua ligação VPN está a esconder com sucesso o seu verdadeiro endereço IP.

Neste momento, também pode consultar o seu endereço IP real através da linha de comandos ipconfig /all. Se o endereço IP consultado aqui for inconsistente com o endereço IP consultado através de ipleak.net, significa que o seu endereço IP está realmente oculto. Se coincidirem, o seu endereço IP está exposto. Como mostrado na figura abaixo, o endereço IP real da máquina consultada através de ipconfig /all é 192.168.., que está inconsistente com 114.45.209.20 mostrado na figura acima, e o endereço IP não está vazado.

Resumir

Em resumo, introduzimos seis ataques de engenharia social Web3 em detalhe e fornecemos as correspondentes medidas de identificação e prevenção. Para evitar eficazmente ataques de engenharia social Web3, você precisa estar mais vigilante sobre links desconhecidos, e-mails e mensagens de plataformas sociais. Além disso, também recomendamos que você aprenda a verificar o código-fonte de páginas da web no modo de desenvolvedor do navegador, como identificar nomes de domínio reais e falsos, como autoverificar se o endereço IP vazou e analisar os riscos de segurança envolvidos. Se você tiver alguma outra dúvida sobre segurança Web3 ou auditoria de contratos inteligentes, não hesite em contactar-nosligarUm membro da nossa equipa entrará em contacto consigo e ajudá-lo-á assim que possível.

Aviso legal：

1. Este artigo é reproduzido a partir de [ForesighNews]. Todos os direitos autorais pertencem ao autor original [Salus]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles vão tratar disso prontamente.
2. Isenção de Responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.