謹防詐騙：Discord 私信釣魚手法分析_CHA:DUNG

By：Thinking@慢霧安全團隊

事件背景

5月16日凌晨，當我在尋找家人的時候，從項目官網的邀請鏈接加入了官方的?Discord?服務器。在我加入服務器后立刻就有一個"機器人"(Captcha.bot)發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。

釣魚手法分析

我訪問"機器人"(Captcha.bot)發來的鏈接后，是有讓我進行人機驗證的，但是當我驗證通過后，發現它要求喚起我的小狐貍(MetaMask)錢包，喚起的錢包界面挺真實的，如下圖所示，但是我看到了錢包的地址欄顯示"about:blank"這引起了我的警惕，如果是插件喚起的就不會有這個"about:blank"的地址欄了。

Dune 發布大語言模型路線圖，查詢解釋功能已集成 ChatGPT4:4月2日消息，區塊鏈分析平臺 Dune 在社區中發布大語言模型（LLM）路線圖，現已推出第一個 LLM 功能，并為用戶準備全套 LLM 功能與集成。Dune 已發布查詢解釋（Query Explanations），并集成 ChatGPT4，用戶可以點擊一個按鈕來顯示任何查詢的自然語言解釋，簡化 SQL 查詢。Dune 還通過 LLM 幫助用戶過渡到 Dune SQL。同時，Dune 支持使用 LLM 進行自然語言查詢，用戶可使用英語提出問題并查詢 Dune 數據集，而無需任何 SQL 知識。此外，Dune 還致力于研究解決如何在 Dune.com 上超過 70 萬張表與視圖中選擇正確的表的新方法；計劃使用 LLM 優化搜索與篩選；發布聊天機器人，幫助用戶快速瀏覽 Spellbook 與 Dune Docs 知識庫。[2023/4/2 13:40:24]

接下來我隨意輸入了密碼，并且通過審查元素查看，確定這個小狐貍(MetaMask)界面是由虛假網站"https://captcha.fm/"彈出的，并不是真實的錢包界面，于是我開始調試這個錢包。

Argent X用戶需盡快更新帳戶，否則將無法訪問錢包賬戶和資產:3月28日消息，Argent 錢包發布提醒，Argent X用戶盡快更新帳戶，否則之后將無法訪問錢包賬戶和資產。錢包界面顯示“Update Required”的用戶需盡快進行升級，沒有顯示“Update Required”的錢包用戶不需要進行升級。

據悉，Argent X是基于StarkNet構建的瀏覽器插件錢包。此前報道，Starknet計劃于本周在主網上線 Alpha v0.11.0 版。[2023/3/28 13:31:22]

在隨意輸入密碼后，這個虛假的錢包界面進入到"SecurityCheck"界面，要求我輸入助記詞進行驗證。注意，輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。

美債關鍵收益率曲線倒掛幅度創紀錄以來新高:1月7日消息，在美國周五公布了一系列數據后，美國3個月期國債收益率幾十年來首次比10年期國債收益率高出整整100個基點，這是即將可能出現經濟衰退的可靠信號。此前，3個月期國債收益率一度高達4.63%，而10年期國債收益率在3.6376%至3.7749%之間波動。這種收益率曲線倒掛自美聯儲加息以來已經出現，但自去年10月以來變得更加極端。[2023/1/7 10:59:10]

通過分析域名可以發現，這惡意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一個舉報了。

Haun Ventures創始人Katie Haun：NFT將在更多用例推動下反彈:金色財經報道，Haun Ventures 創始人 Katie Haun 在接受 Bloomberg Crypto 采訪時表示，NFT 將在更多用例推動下反彈，價值回歸也將受到必要基礎設施可用性增加的推動。 Katie Haun 解釋說：“我們將越來越多地生活在數字世界中，我認為如果你生活在一個數字世界中，就會想要在那個世界中擁有數字商品，你不會滿足于租用它們，這就是我們現在所做的，我認為 NFT 和數字稀缺商品從根本上改變了這一點。當基礎設施存在時，將會有很多新的用例被解鎖，NFT 也會變得更加高效和用戶友好。”（finbold）[2022/10/5 18:39:45]

分析惡意賬號

下載保存好惡意站點的源碼后，我將情報發給了項目方團隊，并開始分析這次釣魚攻擊的賬號。由于我剛加入家人群，就收到了下面的這個地址發來的驗證消息。經過分析，這個賬號是一個偽裝成Captcha.bot機器人的普通賬號，當我加入到官方服務器后，這個假Captcha.bot機器人立刻從官方服務器私發我假的人機驗證鏈接，從而引導我輸入錢包密碼和助記詞。

我在相關頻道里面搜索了Captcha.bot，發現有好幾個假Captcha.bot，于是將這幾個賬號也一并同步給了項目方團隊，項目方團隊很給力，也很及時地進行了處理，把這幾個假Captcha.bot刪除了，并一起討論了可能的防范方式。

再次收到釣魚鏈接

事情還沒結束，第二天早上又一位慢霧的小伙伴加入到官方Discord服務器中，再次收到惡意賬戶發來的私信，里面包含著一個釣魚鏈接，不同的是，這次的釣魚者直接偽裝成官方的賬戶發送私信。

這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證，然而不是采用假小狐貍(MetaMask)的界面來欺騙用戶，而是直接在頁面上引導用戶輸入助記詞了，這個釣魚手法就沒這么真。

釣魚網站的域名和?IP?是app.importvalidator.org47.250.129.219，用的是阿里云的服務，同樣反手一個舉報。

釣魚防范方式

各種釣魚手法和事件層出不窮，用戶要學會自己識別各種釣魚手法避免被騙，項目方也要加強對用戶安全意識的教育。

用戶在加入Discord后要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識，學會識別偽裝MetaMask的攻擊手法，網頁喚起MetaMask請求進行簽名的時候要識別簽名的內容，如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包，由于硬件錢包一般不能直接導出助記詞或私鑰，所以可以提高助記詞私鑰被盜門檻。

項目方團隊也要時刻關注社區用戶的反饋，及時在社區Discord服務器中刪除惡意賬戶，并在用戶剛加入Discord服務器時進行防釣魚的安全教育。

Discord隱私設置和安全配置參考鏈接：

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

Tags：CHADUNCAPCAPTChain Estate DAODUNGILCAPOcapt幣價值

FTX