防范钓鱼攻击

一、什么是钓鱼攻击?

钓鱼攻击是一种常见的网络诈骗方式,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,以此来骗取用户账号、密码等私人信息,进而骗取用户资产。

钓鱼攻击的迷惑性很强,就连周杰伦也中过钓鱼网站的圈套。2022年4月1日,周杰伦在社交媒体发文称,他持有的无聊猿BAYC#3738 NFT遭遇了钓鱼攻击,损失金额超过300万。那么,投资者应该如何防范此类诈骗呢?本文将总结几种常见的钓鱼攻击套路,并作出安全提示,请各位用户提高防范意识,保护资金安全。

钓鱼攻击方式主要有邮件攻击、域欺骗:

  • 邮件攻击:攻击者向目标用户发送具有诱惑性或误导性邮件,邮件往往携带钓鱼网站链接或者木马程序下载链接等,如果用户不注意辨识就会点击链接进入钓鱼网站或下载木马程序,木马程序一旦运行,则可监视用户键盘输入的敏感信息并实现盗取。
  • 域欺骗:攻击者利用用户计算机漏洞,通过恶意代码修改用户计算机中存储的关于DNS信息的文件,将用户要访问的网站地址替换成钓鱼网站地址。用户在浏览器中输入合法的网站地址后就被重定向成钓鱼网站地址,若在这个过程中,用户未察觉,则攻击成功。

二、常见钓鱼网络攻击套路

  • 在加密领域常见的网络钓鱼攻击中,骗子可能会假冒平台工作人员,创建钓鱼网站并发布虚假信息,通过短信、邮件等方式,谎称“账户升级”、“迁移”、“清退”、“触发风控”、“资金存在风险”、“成为国际用户”等,诱导用户点击钓鱼网站链接或扫描二维码。而一旦账号密码或短信/邮箱/谷歌验证码等信息泄露,用户账户内的数字资产将被快速窃取。
含钓鱼网站的短信
钓鱼网站页面
  • 此外在加密钱包方面,骗子同样会以官方名义散布钓鱼网站信息,用户一旦点击进入并进行导入私钥、钱包授权等风险行为,或在在无意中开启了资产转出等权限,私钥和资产即会陷入风险中。甚至骗子会冒充官方人员,直接以空投、安全隐患、密码泄露、提交问题反馈等各种名义,要求用户提供助记词或私钥,用户提交助记词后,很快钱包内的资产就被盗取。

三、如何防范钓鱼攻击?

(1)不点击不明链接和登录不安全网站,以免账号密码泄露,避免造成不必要的损失。

(2)知晓账户安全信息验证及保护的方法,例如:账户登录名和密码与其他网站不要一致,私钥、助记词等信息不要本地保存。

(3)欧易平台活动及业务变更请以官网公告为准。不要通过谷歌,百度搜索引擎搜索网址登录,建议手动输入网址登录,认准欧易官方网站: www.okx.com

(4) 欧易设有防钓鱼码功能,您可以在“个人中心-安全中心-防钓鱼码设置”,设置防钓鱼码后,欧易给您发送的邮件会包含您设置的防钓鱼码,如果邮件中没有防钓鱼码,即为伪造、诈骗邮件。

(5)甄别钓鱼网站:DNS域名系统确保了域名的唯一性,在域名为真的情况下,用户几乎不可能打开虚假网站。因此您可以通过以下方式鉴别钓鱼网站:

(6)您若遇到所谓“官方人员”的电话/邮箱/网址/微信等,您可以在 APP 左上角进入个人中心,点击【帮助中心】一【官方渠道验证】进行验证。欧易APP内置的IM聊天页面已上线蓝色官方标识,如遇自称官方人员却无“官方”后缀的,请勿轻易相信。

(7)请通过官方渠道下载或使用钱包应用,在使用期间注意钱包使用的安全事项:请勿联网保存或传输私钥、助记词等信息,不要向任何人泄露安全信息,不要将私钥导入未知的第三方网站,不要下载与使用第三方提供的未知来源钱包应用。此外,需要谨防假冒加密钱包,使用正规且主流的加密钱包产品,并保持良好的加密钱包使用习惯,警惕任何空投代币或NFT和任何陌生私聊。



添加评论