O ataque de engenharia social Web3 é um método que usa engenharia social para manipular os usuários a divulgarem informações confidenciais, como contas de usuário e senhas, induzindo os usuários a autorizar e transferir criptomoedas e ativos NFT dos usuários, comprometendo assim a segurança e privacidade da rede Web3. A seguir, vamos apresentar seis tipos de ataques de engenharia social e fornecer sugestões específicas de prevenção.

1. 1. Phishing no Discord

Discord emergiu como um hub próspero para usuários criptografados, fomentando conexões comunitárias e compartilhamento de notícias. No entanto, sua popularidade não o torna imune a ameaças potenciais. Neste espaço dinâmico, atores maliciosos podem distribuir furtivamente links suspeitos com o objetivo de roubar suas valiosas credenciais de conta.

Nas comunidades do Discord, você pode se deparar com mensagens alegando que você ganhou um prêmio, mas na verdade são links de phishing disfarçados.

Clicar no link irá levá-lo a um site semelhante ao Discord e solicitar autorização.

Depois de clicar em Autorizar, outra janela de login do Discord vai aparecer.

Primeiro, não podemos arrastar esta janela de login para fora da janela atual do navegador.

Em segundo lugar, há alguns sinais suspeitos no endereço exibido. O endereço "https:\discord.com\login" usa barra invertida () para se conectar, enquanto o endereço de login oficial "https://discord.com/loginUse uma barra (/) para navegar.

A página da janela parece muito semelhante à janela de login legítima do Discord, com muito poucas diferenças. A imagem oficial da janela de login é a seguinte:

Uma vez que o usuário entra com seu nome de usuário e senha na página de phishing, sua conta pessoal será imediatamente vazada e informações sensíveis serão expostas. Os fraudadores podem então usar essas informações para obter acesso não autorizado às contas dos usuários e se envolver em atividades fraudulentas.

Verificando o código-fonte da página da web no modo de desenvolvedor do navegador

Você pode verificar o código-fonte da página da web através do modo de desenvolvedor do navegador.

No processo de phishing acima, após clicar em Autorização, a janela falsa de login do Discord que aparece não é realmente uma nova janela, mas uma interface incorporada. Como você pode descobrir isso?

Pressione a tecla F12 para entrar no modo de desenvolvedor do navegador. Na guia Elementos, você pode visualizar o código HTML e CSS da página da web atual. Para a parte da página que você suspeita, como esta janela de login do Discord pop-up, você pode clicar nessa seção com o mouse e, geralmente, pode encontrar o código correspondente no painel Elementos.

Verificando o código-fonte da página, descobrimos que este é uma tag , usada para inserir uma imagem na página da web, e src é usado para especificar o caminho da imagem.

Entre no modo de desenvolvedor do navegador a partir da janela de login oficial do Discord, conforme mostrado na figura abaixo:

Portanto, quando encontramos uma anomalia, podemos pressionar F12 para entrar no modo de desenvolvedor do navegador e visualizar o código-fonte da página para determinar se nossa suspeita está correta. Especialmente quando você clica em links desconhecidos para reivindicar recompensas, você deve abordar cada passo com suspeita e cautela.

2. Phishing no Twitter

No Twitter (agora X), a popular plataforma para entusiastas de criptomoedas, uma grande ameaça surgiu - phishing. Os maus atores manipulam os usuários de forma inteligente com atraentes airdrops e NFTs gratuitos. Ao redirecioná-los para sites enganosos, esses atacantes planejam meticulosamente a perda de criptomoedas e valiosos ativos NFT.

Airdrops e NFTs gratuitos são áreas de grande interesse para muitos. Golpistas aproveitam contas verificadas do Twitter sequestradas para lançar campanhas e redirecionar usuários para sites de phishing.

Os golpistas usam ativos de projetos legítimos de NFT para criar sites de phishing.

Eles alavancam serviços populares como Linktree para redirecionar usuários para páginas falsas que imitam os mercados NFT como OpenSea e Magic Eden.

Os atacantes tentarão convencer os usuários a conectar suas carteiras de criptomoedas (como MetaMask ou Phantom) a sites de phishing. Usuários desavisados podem conceder acesso a essas carteiras a esses sites de phishing sem saber. Através desse processo, golpistas podem transferir criptomoedas como Ethereum ($ETH) ou Solana ($SOL), bem como quaisquer NFTs mantidos nessas carteiras.

Tenha cuidado com links suspeitos no Linktree

Quando os usuários adicionam links relevantes no Linktree ou em outros serviços semelhantes, eles precisam verificar o nome de domínio do link. Antes de clicar em qualquer link, verifique se o nome de domínio vinculado corresponde ao nome de domínio real do mercado de NFT. Golpistas podem usar nomes de domínio semelhantes para imitar mercados reais. Por exemplo, o mercado real pode ser opensea.io, enquanto o mercado falso pode ser openseea.io ou opensea.com.co, etc.

Portanto, é melhor para os usuários escolherem adicionar links manualmente. Abaixo estão os passos para adicionar um link manualmente:

Primeiro, você precisa encontrar o endereço do site oficial ao qual deseja se vincularhttps://opensea.io/, e copie o URL.

Clique em "Adicionar Link" no Linktree, insira a URL que você acabou de copiar e clique no botão "Adicionar".

Depois que a adição for bem-sucedida, você pode ver "Opensea" à direita. Clique em "Opensea" para ser redirecionado para o site oficial do Opensea.

3. Web Spoofing / Phishing

Aqui, explicaremos como os atacantes constroem seus domínios de site de phishing para se fazer passar pelo site oficial da OpenAI e enganar os usuários a se conectarem a sua própria carteira de criptomoedas, resultando na perda de criptomoedas ou NFTs.

Os golpistas enviam e-mails de phishing e links com assuntos como "Não perca o airdrop de tokens DEFI da OpenAI por tempo limitado." O e-mail de phishing afirma que o GPT-4 agora está disponível apenas para aqueles que possuem tokens da OpenAI.

Depois de clicar no botão “Iniciar”, você será redirecionado para o site de phishing, openai.com-token.info.

Conecte sua carteira a um site de phishing.

Os usuários são tentados a clicar em um botão “Clique aqui para reivindicar”, e ao clicar, eles podem escolher se conectar usando carteiras de criptomoedas populares como MetaMask ou WalletConnect.

Após a conexão ser estabelecida, os sites de phishing são capazes de transferir automaticamente todos os tokens de criptomoeda ou ativos NFT da carteira do usuário para a carteira do atacante, roubando assim todos os ativos na carteira.

Reconhecendo Nomes de Domínio Genuínos e Falsos

Se souber identificar os nomes de domínio em URLs, poderá evitar eficazmente a falsificação/roubo de informações na web. Abaixo, os principais componentes de um nome de domínio são explicados.

Geralmente, os sites comuns são nomes de domínio de segundo nível ou nomes de domínio de terceiro nível.

1. O nome de domínio de segundo nível é composto pelo nome de domínio principal e pelo nome de domínio de topo, como google.com. Entre eles, “google” é o nome de domínio principal, que é a parte central do nome de domínio e representa o nome do site. “.com” é o nome de domínio de topo, que é a última parte do nome de domínio e indica a categoria ou tipo do domínio, como .com, .net, .org, etc. “.com” representa um site comercial.
2. O nome de domínio de terceiro nível é composto pelo nome de domínio principal, subdomínios e domínios de alto nível, por exemplo, mail.google.com. "mail" é um subdomínio, "google" é o nome de domínio principal e ".com" é o domínio de alto nível.

Explicando o site de phishing acima, openai.com-token.info.

1. "openai" é um nome de subdomínio.
2. "com-token" é o nome de domínio principal.
3. ".info" é um nome de domínio de nível superior.

Obviamente, este site de phishing está se passando pela OpenAI, e o nome de domínio oficial da OpenAI é openai.com.

1. "openai" é o nome de domínio principal.
2. ".com" é um nome de domínio de nível superior.

Como esse site de phishing fingiu ser OpenAI? O atacante fez a primeira metade da URL de phishing parecer "openai.com" usando o subdomínio "openai" e o domínio principal ".com-token", onde "com-token" usa hífens.

4. Phishing no Telegram

Phishing no Telegram é um problema significativo de cibersegurança. Nestes ataques, os atores maliciosos visam tomar o controle dos navegadores da web dos usuários para obter credenciais críticas da conta. Para ilustrar esse ponto de forma mais clara, vamos dar uma olhada passo a passo em um exemplo.

Scammers enviam mensagens privadas para usuários no Telegram, contendo um link para o mais recente filme "Avatar 2", e o endereço parece ser direto.

Uma vez que você abrir o link, você chegará a uma página que parece um link real para o filme, e você pode até assistir ao vídeo. No entanto, neste momento, o hacker já havia ganhado o controle do navegador do usuário.

De uma perspectiva de hacker, vamos dar uma olhada em como eles exploram vulnerabilidades do navegador usando ferramentas de exploração para assumir o controle do seu navegador.

Após examinar o painel de controle dos hackers, ficou claro que eles tinham acesso a todas as informações sobre os usuários que estavam navegando. Isso inclui o endereço IP do usuário, cookies, fuso horário do proxy, etc.

Os hackers têm a capacidade de alternar para a interface de phishing do Google Mail e realizar ataques de phishing contra os usuários do Gmail.

Neste ponto, a interface do front-end muda para a página de login do Google Mail. O usuário insere suas credenciais da conta e clica no botão de login.

Em segundo plano, os hackers recebem com sucesso o nome de usuário e a senha de login. Usando esse método, eles obtêm maliciosamente as informações de conta e senha dos usuários, levando eventualmente ao vazamento de informações do usuário e causando perdas financeiras.

Verifique o script JavaScript carregado remotamente no código-fonte da página da web

Você pode entrar no modo de desenvolvedor do navegador e verificar se existem scripts JavaScript carregados remotamente no código-fonte da página da web. Este script é a chave para o atacante controlar o navegador do usuário. Como você pode determinar se há um script de phishing no link que você clicou?

No processo de phishing mencionado acima, quando você digita o link para o filme 'Avatar 2', você pode pressionar a tecla F12 para entrar no modo de desenvolvedor do navegador e descobrir que o link aponta para um script JavaScript carregado remotamente. Hackers podem controlar o navegador remotamente executando o script, obtendo assim a conta e a senha do usuário.

Ao assistir ao filme “Avatar 2” em um site comum, entramos no modo de desenvolvedor do navegador e não encontramos nenhum script JavaScript apontando para carregamento remoto.

5. Metamask Phishing

Aqui, tomando o plugin Metamask como exemplo, explicaremos como os atacantes podem roubar as chaves privadas da carteira dos usuários usando este plugin.

O atacante obtém as informações de contato do usuário-alvo, como endereço de e-mail ou conta de mídia social. Os atacantes fingem ser entidades confiáveis, como a equipe oficial da Metamask ou parceiros, e enviam e-mails de phishing ou mensagens de mídia social para os usuários-alvo. Os usuários recebem um e-mail se passando pelo MetaMask, pedindo para verificar sua carteira:

Quando o usuário clica em "Verificar sua carteira", ele será direcionado para a seguinte página. Esta página afirma ser o site oficial ou página de login da Metamask. Durante ataques reais de phishing, identificamos duas páginas de phishing diferentes. A primeira pede diretamente aos usuários que insiram sua chave privada, enquanto a segunda pede a frase de recuperação do usuário. Ambas são projetadas para obter a chave Metamask do usuário.

O atacante obtém a chave privada ou frase de recuperação da vítima e pode usar essas informações para acessar e controlar a carteira Metamask do usuário-alvo e lucrar transferindo ou roubando a criptomoeda do usuário-alvo.

Verifique o Email e o Domínio do Metamask

Se você precisa instalar a extensão Metamask no Chrome, o link oficial éhttps://metamask.io/

Um link de phishing é https://metamaskpro.metamaskglobal.top/#/, por favor, seja cauteloso e verifique sua autenticidade.

Quando você receber um email que parece ser Metamask, você precisa prestar atenção nas informações do remetente e do destinatário:

O nome e o endereço de e-mail do remetente têm erros graves de ortografia: "Metamaks" em vez de "MetaMask".

O destinatário não inclui o seu nome real, algumas outras informações que o identifiquem e uma descrição mais clara do que precisa ser feito. Isso prova que este email pode ter sido enviado em massa e não apenas para você.

Em segundo lugar, você também pode verificar a autenticidade desses links pelo nome de domínio:

Clique em "Verificar sua carteira" para entrar na página de phishing, metamask.authorize-web.org. Analise este nome de domínio:

1. "metamask" é um subdomínio
2. "authorize-web" é o nome de domínio principal
3. ".org" é o nome de domínio de nível superior

Se você conhece o nome de domínio oficial do metamask, metamask.io, você facilmente descobrirá que foi atacado por um ataque de phishing:

1. "metamask" é o nome de domínio principal
2. “.io” é o nome de domínio de nível superior

O nome de domínio do site de phishing, metamask.authorize-web.org, possui um certificado SSL, o que engana os usuários fazendo-os pensar que é um local seguro para negociar. Mas você precisa observar que o uso do MetaMask é apenas sob o nome do subdomínio do domínio de nível superior registrado.

6. VPN Phishing

Uma VPN é uma tecnologia de criptografia usada para proteger a identidade e o tráfego dos usuários da Internet. Ele criptografa e transmite os dados do usuário estabelecendo um túnel seguro entre o usuário e a Internet, tornando difícil para terceiros invadir e roubar dados. No entanto, muitas VPNs são VPNs de phishing, como PandaVPN, letsvpn e LightyearVPN, para citar alguns. As VPNs de phishing geralmente vazam o endereço IP do usuário.

Quando você se conecta usando uma VPN, seu dispositivo envia uma solicitação DNS para o servidor VPN para obter o endereço IP do site que você deseja visitar. Idealmente, uma VPN deve lidar com essas solicitações DNS e enviá-las através do túnel VPN para o servidor VPN, ocultando assim seu verdadeiro endereço IP. Se você estiver usando uma VPN de phishing, pode ocorrer um vazamento de DNS e seu endereço IP real pode ser registrado em logs de consulta DNS, tornando suas atividades online e registros de acesso rastreáveis. Isso pode comprometer sua privacidade e anonimato, especialmente se você estiver tentando ocultar seu verdadeiro endereço IP.

Verificação de vazamento de IP

Quando você usa uma VPN para navegar na Internet, você pode testar se a VPN está vazando seu endereço IP através dos sites ipleak.net ou ip8.com. Esses sites só podem exibir seu endereço IP público, que é o endereço IP atribuído à sua conexão com a Internet. Se você estiver usando um serviço de VPN, esses sites exibirão o endereço IP do servidor VPN ao qual você está conectado, em vez de seu endereço IP real. Isso pode ajudar você a verificar se a VPN está ocultando com sucesso seu endereço IP real.

Você pode verificar se seu endereço IP foi comprometido seguindo as instruções abaixo:

Abra seu navegador e acesse ipleak.net, que exibirá seu endereço IP atual. Como mostrado na imagem abaixo, seu endereço IP aparece como 114.45.209.20. E observou que 'Se você estiver usando um proxy, é um proxy transparente.' Isso indica que seu endereço IP não foi vazado e que sua conexão VPN está ocultando com sucesso seu endereço IP real.

Neste momento, você também pode consultar o seu endereço IP real através da linha de comando ipconfig /all. Se o endereço IP consultado aqui for inconsistente com o endereço IP consultado através do ipleak.net, significa que o seu endereço IP está realmente oculto. Se forem iguais, o seu endereço IP está exposto. Como mostrado na figura abaixo, o endereço IP real da máquina consultada através do ipconfig /all é 192.168.., que está inconsistente com 114.45.209.20 mostrado na figura acima e o endereço IP não está vazado.

Resumir

Em resumo, introduzimos seis ataques de engenharia social Web3 em detalhes e fornecemos medidas correspondentes de identificação e prevenção. Para evitar efetivamente os ataques de engenharia social Web3, você precisa ficar mais atento a links, e-mails e mensagens desconhecidos de plataformas sociais. Além disso, também recomendamos que você aprenda como verificar o código-fonte das páginas da web no modo de desenvolvedor do navegador, como identificar nomes de domínio reais e falsos, como fazer autoverificação se o endereço IP vazou e analisar os riscos de segurança envolvidos. Se tiver outras perguntas sobre segurança Web3 ou auditoria de contratos inteligentes, sinta-se à vontade para entrar em contato conoscoconectar. Um membro da nossa equipe entrará em contato e o ajudará assim que possível.

Aviso Legal：

1. Este artigo é reproduzido de [ForesighNews]. Todos os direitos autorais pertencem ao autor original [Salus]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipe e eles vão lidar com isso prontamente.
2. Isenção de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, copiar, distribuir ou plagiar os artigos traduzidos é proibido.