虽然加密虚拟货币正日益成为热门的投资工具,但最近呈报的损失,证明了比特币(Bitcoin)、以太坊(Ethereum) 和其他同类的货币,仍极不稳定。最近发生的两起加密虚拟货币窃盗案件,已经影响到比特币的价格,造成了首次货币发行(ICO) 投资人的损失。
史上最大虚拟货币窃盗案日加密货币交易所 Coincheck遭黑,首先,东京的加密货币交易所Coincheck遭受到加密货币史上最大的黑客攻击,因而损失5.32亿美元的数字资产(约等同4.2亿美元的NEM代币)。此次黑客攻击事件影响到比特币的价值,造成其价格在1月26日的早上下跌5%。
Coincheck在论坛文章中确认了此次事件,但并未说明代币遭窃的原因。Coincheck突然冻结了交易所大多数的服务,包括除了比特币以外其他所有加密货币的提款、存款与交易。此次抢劫事件影响到约26万名使用者,但Coincheck表示,将会透过Coincheck钱包,以日圆偿还受影响使用者损失的金额。本文撰写时,Coincheck正与日本的金融厅(Financial Services Agency)合作,调查代币遭窃的原因。
假Experty 代币ICO 预售公告网络钓鱼信, 劫走超过15 万美元
在1月26日和27日,有黑客欺骗了Experty ICO (首次货币发行)的参加者,让这些人将以太坊的资金传送到错误的钱包地址。黑客向订阅通知的使用者寄送了电子邮件,内含假的Experty代币ICO预售公告。实际的Experty ICO已定于1月31日进行。嫌犯所传送的以太坊钱包地址,与Experty并无关联;Experty先前曾经宣布,该平台只会透过Bitcoin Suisse AG来处理代币的交易(Bitcoin Suisse AG是一家位于瑞士、受到监管的加密金融经纪商)。ICO类似于首次公开发行股票(IPO),但买方收到的是线上平台的代币而非股票。
根据推测,黑客透过71笔交易劫走了超过15万美元。Experty和Bitcoin Suisse已经向使用者发出警告,提醒使用者不要将钱传送到黑客所寄送电子邮件中的钱包地址。此外,Experty与Bitcoin Suisse的一份声明表示,黑客是针对进行Experty安全保障(Proof-of-Care)审查的其中一名人员,入侵该名人员的电脑,进而取得电子邮件地址的名单。Experty表示,该公司将会发放100个EXY代币(等同120美元)给Experty电子邮件资料库中的所有人,但已经传送以太坊到黑客帐户的使用者,将无法拿回自己的钱,也不会获得免费的EXY代币。
过去一年中,已经发生了多项引人注目的事件
这些最近的案件当然并非新鲜事,在过去一年中,已经发生了多项引人注目的事件,牵涉到黑客利用不同的方法来窃取加密货币。在2017年12月,斯洛维尼亚的加密货币挖矿交易市集NiceHash,发生了资料泄露的事件,遭到黑客窃取其比特币钱包的内容。有大约4,700个比特币遭窃,价值等同6400万美元。
比特币和以太坊等热门的加密货币,已成为网络犯罪者有利可图的目标。这些网络犯罪者不只采用类似Experty案件的网络钓鱼诈骗手段,也会利用Digmine机器人等加密货币挖矿恶意软体做为工具(Digmine机器人是透过Facebook Messenger散布)。在最近的另一个案件中,有人利用了Satori僵尸网络的变种来黑入Claymore挖矿机,以开采以太坊。
虽然比特币和其他类似的加密货币是相对较新的技术,但已成熟到出现不同类型的破坏与威胁,也已证明是有利可图的目标。因此,这些货币需要加密货币的安全机制(例如使用拆分钱包来保护比特币免于遭到恶意软体的窃取)。在未受监管的交易所中,比特币是以数字格式储存于钱包中,但这也引起黑客的注意,认为这是可以利用的漏洞。
10 招防类似Experty网络钓鱼诈骗手段
下列是一些防止自己成为钓鱼攻击受害者的最佳做法:
- 特别提防询问个人资讯的个人或组织。大多数公司不会要求客户提供敏感资料。
- 检查电子邮件的合法性时,请仔细查看寄件者的显示名称。公司的URL 和电子邮件会使用同一个网域。
- 避免点选连结或下载档案,即使这些项目看起来似乎是由可信任的来源提供。
- 检查URL 是否相符。嵌入的URL 看来可能合理,但如果将滑鼠游标移到URL 上,也许会显示不同的网址。
- 注意寻找文法和拼字错误。
- 检查讯息是否包含通用的主旨和问候语,因为这是网络钓鱼讯息的明显特征。
- 使用电子邮件用户端软体内建的防护功能来过滤讯息。例如,设定电子邮件用户端封锁所有未经核准的影像。
- 除非有特定的理由,否则合法公司不会发送确认电子邮件。除了公司更新讯息、电子报或广告以外,公司会避免发送非请求的讯息。
- 记下讯息内容中不寻常的资讯。如果提及消费者未使用的作业系统和软体,可能就是网络钓鱼的迹象。
- 如果看起来可疑,可能就是有问题。在透过讯息和电子邮件传送可辨识个人身分的资讯时,请特别谨慎注意。