电报(Telegram)是一款即时加密通讯软件,因其强大的功能和简洁的操作深受加密货币投资者的喜爱,也因此被盗币团伙盯上,造成了一系列加密货币欺诈事件。近期币追Bitrace团队协助瓯海警方破获一起利用黑客手段入侵他人计算机系统,盗取他人加密货币的案件。受害人为加密货币OTC商家群体,盗币团伙通过Telegram联系受害人,假意“谈业务”,并伺机通过发送木马文件或社工的形式,获取受害人电报账户权限。盗币团伙由此或是盗取受害人账号密码、私钥助记词,或是修改受害人发送的收款地址,或是盗号后欺诈账户好友,直接或间接盗取OTC商家业务相关加密货币。据币追Bitrace团队统计,本案受损加密货币价值高达数千万元人民币,目前案件仍在进一步审理中。
无独有偶,2022年7月,宁波市公安局江北区分局亦破获一起针对加密货币的黑客犯罪案件。犯罪嫌疑人通过黑客手段,远程控制用户电脑,盗窃或诈骗虚拟币进行套现,涉案金额达3800余万元。经查,嫌疑人苏某(男,28岁)等人利用钓鱼网站或发送伪装成社工文档的木马文件等方式,诱导用户下载木马程序,实现远程控制被害人电脑。最终,包括主要犯罪嫌疑人苏某在内的6人因涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪已被警方依法采取刑事强制措施。
这两起恶性欺诈事件的共同点在于,犯罪嫌疑人均以电报APP(Telegram)为突破点,针对加密货币投资者群体,通过黑客手段或钓鱼欺诈活动,非法获取他人加密货币。在这里,币追Bitrace基于对多个加密行业从业者被盗经历的采访,就欺诈者的社工手法做一个简要的说明:首先,欺诈者会通过更换电报昵称与头像「高仿」受害者的好友,以建立初步联系。接着,欺诈者会以「我的电报号被盗了」、「你为什么骂我」等话术,诱导受害者截下产品主界面。由于缺乏警惕,部分受害者会将包含登陆验证码的截图发送给对方。
图片来自推特@evilcos
此步骤后,受害者往往会快速进入离线状态,再登录时所有账户资料已经成为空白。最后,欺诈者通过换绑手机号获取到受害者的账户管理权限,将能够窃取账户中保存的重要信息,或是进一步对账户中的好友实施欺诈。截至目前,币追Bitrace团队已经收取到多起电报欺诈事件的报告,损失类型包括但不限于账户助记词被盗窃、给被盗好友账户借钱转币、业务地址被恶意替换等。而对此类欺诈手法,目前加密社区仍未形成充分认知,恐怕在未来仍然会有更多受害人出现,并产生更大的损失。在这类加密安全事件频发的背后,是我国传统网络空间安全治理大背景下,黑客攻击、网络犯罪等乱象转向新技术领域的严峻现实。
传统互联网时代,得益于公益团体与执法部门经年累月的揭发与打击,网络参与者们对于各类欺诈手法往往都有非常清晰的认知。而区块链网络空间由于其高匿名度、无中心化以及去地理特质,在监管缺失的当下,越来越吸引到网络黑灰产的关注。诸多传统骗局在区块链技术「加持下」,披上了高科技与伟大变革的外衣,一步步蚕食掉狂热新兴受众的免疫力,并造成大量资产损失。根据慢雾区块链被黑事件档案库(SlowMist Hacked)统计,区块链行业2022年共发生安全事件共303件,损失加密资产价值高达37.77亿美元,其中有31.6%的损失由各类加密欺诈事件构成,对包括中国用户在内的加密货币采用者造成了巨大的资产损失。图片来自慢雾安全团队
而在更为细分的垂直领域中,以加密货币在网络赌博支付的应用为例。根据币追Bitrace风险态势感知平台数据,针对以中国用户为主较为活跃的20个网赌网站的监测数据统计,2022年四季度该组网站共对外流出涉赌加密资金价值15.7亿美元,环比上涨27.64%,并对后续更多区块链地址造成“污染”。严峻的区块链网络安全现状,既对行业普通用户与合规金融机构的资产安全构成巨大威胁,也对我国网络安全治理现代化提出挑战。币追Bitrace致力于研究区块链数据分析与反洗钱风控技术,协助监测非法区块链金融活动,防范加密货币领域犯罪,推动建立区块链行业反洗钱标准,维护国家金融安全。 Do not give this code to anyone, even if they say they are from Telegram!参考文献
[1] 慢雾安全团队《2022 区块链安全及反洗钱分析年度回顾 https://www.slowmist.com/report/2022-Blockchain-Security-and-AML-Analysis-Annual-Report(CN).pdf
[2] 宁波警方破获一起针对虚拟货币黑客案 https://m.gmw.cn/baijia/2022-07/20/1303054045.html
[3] 通过伪造中文版Telegram网站投放远控木马的攻击活动分析 https://zhuanlan.zhihu.com/p/577019152