共同編撰:Sun Huang / Helen Lai / Yoyo Yu 尤芷薇
之前發表的兩篇資安相關文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》和《九種常見的 Web3 駭客攻擊與詐騙手法》,XREX 資安團隊分享了 Web3 概念、駭客的目標、常見詐騙手法與話術,並提供務實的防範建議。但是,您一定想問,如果真的不小心踏入陷阱,面臨「頭都已經洗一半了」窘境,該怎麼辦呢?
XREX 資安團隊特別撰寫此文,以真實案例、線上工具與步驟教學,手把手地教您如何突破詐騙圈套,在把加密貨幣發到另一個錢包之前,率先檢視是否是乾淨且沒有被通報過的錢包;在平台上投資產品、使用服務之前,也可以檢驗是否為正確的官方網站。
反向追蹤詐騙集團:區塊鏈的「不可篡改性」
「反向追蹤」聽起來有些困難,簡而言之就是使用偵測工具去檢視交易對象過去的交易紀錄,確認對方是否曾經有過可疑交易、被通報為詐騙與不法份子,甚至有機會抓到駭客錢包地址,要求歸還被盜走的加密貨幣。
首先,必須先理解為什麼我們可以在區塊鏈上快速地執行反向追蹤,揭開詐騙集團的真面目?
「區塊鏈」一詞源於中本聰在 2008 年發表的《比特幣:一種點對點電子現金系統》,經過十多年來的發展與醞釀,我們已經看見比特幣、以太坊、NFT、去中心化金融 DeFi、區塊鏈遊戲 GameFi 等項目與應用,未來區塊鏈還將打開更多我們在今日無法想像的可能性。
區塊鏈的去中心化帳本(又稱分散式帳本)是一種紀錄資料的技術,通過分散節點的方式,使區塊鏈上的資料不存在單一核心個體內,藉由密碼學串接獨立且分散的多個節點儲存資料,頻繁且快速地互相驗證彼此的內容,使竄改資料或竊取的可能性變得極低,進而產生廣為人知的三大特性:去中心化、不可篡改、公開透明。
其中不可篡改的特性,就是本篇反向追蹤詐騙集團的重點。現在已有許多免費的線上工具,也有國際著名的頂尖商用付費技術平台,例如 XREX 結盟合作的 CipherTrace 和 TRM Lab。接下來我們會以實際偵測過的案例,實際演練如何判斷真偽,順利逃脫詐騙集團精心設下的陷阱,守護自己的加密資產不受損害。
檢視交易錢包是否安全
XREX 資安團隊在 2022 年 6 月接獲客服通知,有一名 XREX 用戶對自己即將交易的錢包地址有疑慮(地址:0x75F2ff3f2D5a789762622d7C039373cA6b8aD74A),請 XREX 協助確認其安全性。XREX 當時是使用已經整合的合作夥伴 CipherTrace 和 TRM Lab 的專業工具進行分析,在此將以線上免費工具演練,示範新手也可以輕鬆執行的錢包地址驗證流程,初步辨識後如有任何疑慮,也建議與信任之交易平台聯繫確認該交易對象是否安全。
步驟一:輸入交易地址
將即將交易之地址「0x75F2ff3f2D5a789762622d7C039373cA6b8aD74A」輸入 Etherscan 平台。
步驟二:檢視該地址交易紀錄
檢視交易紀錄時,發現該地址曾有多筆失敗轉出紀錄,這是一個重要疑點,具有無法轉出的空投代幣的特徵。再進一步檢視 TokenTracker,如下圖,顯示了「电报etuiofficial送ETH (电报etuioff…)」。
這是第二個疑點,因為在 TokenTracker「电报etuiofficial送ETH (电报etuioff…)」的 Comments,我們發現這個地址早在四年前,就已經被網友提醒標註為詐騙地址,如下圖:
步驟三:用 Google 搜尋關鍵字
我們再用 Google 搜尋「电报etuiofficial送ETH (电报etuioff…)」電報對象「etuiofficial」,發現除了其他平台針對該錢包的交易紀錄以外,還有 @etuiofficial 的 Telegram 社群。
步驟四:檢查 Telegram 社群中的資訊
點入 Telegram 連結網址,可以看到第三個疑點,社群介紹上已有詐騙常見的話術和關鍵字「ETU众筹取消,即将登陆大型交易平台,尽请期待!后期 会有对应的ETH等空投」。如果再進一步搜尋「ETU」幣,也會發現網路文章皆在 2019 年發文。
進入 Telegram 頻道,發現最早在 2019 年 5 月 26 號,就有幣圈詐騙廣告訊息,且幣種為 LLC,和前方檢驗步驟中看到的 ETU 和 ETH 不同。這也代表這個社群不斷選用各種加密貨幣欺騙不同用戶。
在前面的示範步驟中,我們已經發現了四大疑點,包括:多筆失敗轉出紀錄、曾被標註為詐騙地址、Telegram 群組使用詐騙常見話術、群組中充斥幣圈詐騙廣告並不斷推薦不同加密貨幣。
這邊,我們預留一個小彩蛋,邀請大家自己測試體驗,可以試試利用 Google 搜尋錢包地址 0x75F2ff3f2D5a789762622d7C039373cA6b8aD74A,就有機會發現第五個疑點唷!
從上述檢核流程中,可以發現詐騙集團的手法屬於「社群媒體免費贈送詐騙」,且用詞都換湯不換藥,從 2019 年 5 月 26 號刊登第一種幣 LLC 投資好康,藉此吸引使用者,資訊也沒有始終保持一致性。
在這起案件中,可以看到 XREX 的用戶是已經要將加密貨幣轉到詐騙集團的錢包住址,但因有疑慮請 XREX 進一步分析,才順利地避開詐騙陷阱。藉由追蹤交易地址過往交易紀錄,並以我們最熟悉的搜尋引擎 Google 反查關鍵字,就可以輕鬆地避免自己受騙上當 。
檢測是否為正確的官方網站
在了解如何反向追蹤詐騙集團,並檢驗交易對象是否為安全的錢包地址之後,接下來我們將介紹如何辨識是否為正確的官方網站。詐騙集團非常狡猾,除了造假代幣名稱之外,也會仿造網站,這種「假官方,真詐騙」的手法很容易讓受害人輸入帳號與密碼資料,或因點擊連結而被盜取機密資訊,必須小心驗證才能閃過陷阱。
2022 年 6 月 23 號,Chainabuse 揭露一起假冒無聊猿遊艇俱樂部 (Bored Ape Yacht Club)」官網的詐騙案件。本次我們就以此為案例,接下來分享的工具與技巧,除了可以學習怎麼交叉比對資訊,比較真假官網的差異外,也會介紹網路時代的加密協定 https 小知識,一步一步帶大家認識如何搜尋並辨識正確的官網,輕易破解「假空頭,真詐騙」(Airdrop phishing) 的陷阱。
- 使用工具:官方Twitter、Chainabuse、Virustotal
- 必要資訊:假官方網站網址
步驟一:搜尋官方網站,取得正確網址
目前幣圈很多官方會在 Twitter 上建官方賬號,搜尋「boredapeyacht club」就可以找到 官方帳號 及正確官方 網址。
步驟二:檢視網路加密協定 HTTPS
在網路時代,為了確保網路使用者通訊安全及資料完整性保障,由網景公司(Netscape)在1994年首次提出超文本傳輸安全協定(HyperText Transfer Protocol Secure, HTTPS),後來廣泛應用在網路世界。HTTPS 以傳輸層安全性協定 (Secure Sockets Layer, SSL) 進行加密傳輸,為目前網路上保密通訊的工業標準。這也就是我們在網路上瀏覽頁面時,經常在網址開頭看見的 https://。若未使用安全加密協定,在各瀏覽器就會跳出不安全的警告。
用 Google 開啟 boredapeyacht.store 就會進入假冒的 Bored Ape Yacht Club 網站,這時就會發現疑點,該網站顯示為 Not Secure 且網址開頭為 www,而非有加密的 https://。
反觀正常的官方網站,如下圖,網址旁有鑰匙鎖的圖示,點擊就會顯示加密資訊。此外,網址也會是 https:// 開頭。目前安全加密網址普遍使用 HTTPS 傳輸協定。
除了上述的疑點之外,這個網站另外還有不同得疑點,包括:無法連結其他網站、沒有官方進一步可辨識資訊,例如:Twitter 與 Discord 等等,留給您嘗試研究。
真假小狐狸錢包 (Metamask)
詐騙網站還有一個很常見的手法,就是要求用戶綁定錢包,藉此盜取用戶錢包內的加密貨幣資產。進一步檢視這個假網站 boredapeyacht.store,會發現它也要求與用戶的小狐狸錢包 (Metamask wallet) 連線,一按將會跑出內嵌的小狐狸錢包工具。要注意的是,這個小狐狸錢包是假的,只是要誘使受害者輸入自己的錢包帳號及密碼。
要怎麼判定這個小狐狸錢包是真的還是假的呢?在假網站上跳出的「假狐狸錢包」,如下圖,在滑鼠移動的時候,可以看到狐狸的臉並不會隨滑鼠轉動。
而真網站 boredapeyacht.com 上面的小狐狸錢包,如下圖,狐狸的臉是會隨著滑鼠移動的。
當然,小狐狸錢包的狐狸臉是否會轉動,是一個非常細微的差異,但這也告訴我們,在進行任何交易以及加密資產移轉時,一定要特別小心並注意細節。放慢腳步再三檢查,確認網站與工具可信度,一點點的蛛絲馬跡就可防止自己受騙上當。
實用工具介紹
本篇文章主要是介紹網路上常見的「假網站」、「假錢包」加密貨幣詐騙,除了上述的方法與步驟之外,我們也想介紹兩款資安人員喜用的免費網站:VirusTotal 和 Chainabuse。
一、真假網址查詢網站:
VirusTotal
VirusTotal 提供免費的病毒、蠕蟲、木馬和各種惡意軟體分析服務,可以針對可疑檔案和網址進行快速檢測,目前已被Google 併購,可見該網站測試有一定準確度,方受 Google 青睞。
我們用前面使用的假網址 boredapeyacht.store 以及真網址 boredapeyacht.store.com 來測試。從下圖可以看到,輸入假網址的搜尋 結果,馬上跳出了釣魚 (Phishing) 警告。
輸入 Bored Ape Yacht Club 官方網站真網址,搜尋 結果 顯示為乾淨 (Clean)。
二、舉報詐騙平台:
Chainabuse
Chainabuse 是 Web3 世界的多鏈詐騙舉報免費平台。XREX 的區塊鏈金流追蹤技術夥伴。
TRM Labs
也是此平台的創建機構之一,其他成員還包括發行穩定幣 USDC 的 Circle、Solana 基金會、Aave、Hedera、Binance.us 和 Civic 等在加密貨幣產業赫赫有名的業者。
在 Chainabuse 輸入假網址 boredapeyacht.store,如下圖,結果顯示為通報詐騙 (Scam Reports)。
輸入真網址 boredapeyacht.com,結果顯示為無任何通報紀錄 (No Reports)。
結論
這篇文章《加密貨幣資安:詐騙找上門,該用那些工具保護自己?》以及先前發表的兩篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》和《九種常見的 Web3 駭客攻擊與詐騙手法》,XREX 資安團隊透過這三篇文章,試著帶大家認識 Web3 五花八門的詐騙手法,除了建議讀者熟悉這些犯罪方式,並學習自我檢核流程之外,我們也列出以下四點,建議區塊鏈產品的使用者,在進行任何交易與動作之前,都應多加留意:
天上沒有白吃的午餐
詐騙集團緊緊抓住的,正是人性的貪婪,給予巨額回報當誘餌吸引受害者上鉤。因此,對於不需要付出卻可以有所得的任何產品,都應時刻保持清醒的頭腦,抑制住心中的貪婪,守住底線。
對「低風險,高報酬」保持懷疑態度
任何投資,包括傳統金融與加密貨幣都無法保證賺錢,只有詐騙集團才能保證利潤或巨額回報,更不用說是大筆資金的投入,必須慎之。
穩賺利潤的「零風險」投資並不存在
投資利潤與風險是成正比,股神巴菲特投資秘訣有三條,第一,盡量避免風險,保住本金;第二,盡量避免風險,保住本金;第三,堅決牢記第一及第二條,然後才再說收益。幣圈投資守則,亦是如此。
熟悉區塊鏈產品和策略
詐騙集團喜歡瞄準對加密貨幣知識缺乏,甚至一竅不通的使用者,建議要投資任何項目之前,一定要預先做功課,並且熟悉平台與產品的使用使用熟悉產品,避免上當。
隨著熊市降臨,整個加密貨幣圈陷入低靡狀態,無論是幣價下跌還是產業的壞消息都讓許多人心驚,然而正是這樣的時刻,才更需要打底、練功。謹慎選擇加密貨幣的平台及投資標的,希望大家平安度過本次熊市,持續掌握區塊鏈所帶來的機遇及變革。
最後提醒您,若發現或已不小心受騙,請儘速撥打警政署 165 反詐騙諮詢專線,或參考下方條列之 XREX 官方管道聯繫我們,我們將儘速協助 。
XREX 官方聯絡方式:
- 官方電話:02–2721–1811
- 官方網站:https://xrex.io/zh/
- 社群媒體:Discord、Telegram、Twitter、Facebook、Blog與 LinkedIn
- 官方電子郵件信箱:
服務支援:support@xrex.io
資安支援:secops@xrex.io
註一:加密貨幣交易就跟一般銀行轉帳一樣,需要指定交易帳號才可執行加密貨幣的發送。在加密貨幣的世界,交易帳號可能是錢包地址或智能合約地址,皆可檢視其過往交易紀錄。