作者:木沐 / 來源:白話區塊鏈
作者 | 木沐
出品|白話區塊鏈(ID:hellobtc)
“每天都有人被騙”,某元宇宙游戲項目的官方交流群里,管理員每天都要刷幾十遍的防騙警示:“管理員不會私聊你,不要點擊私聊鏈接”。
不久前,知名安全審計機構慢霧發布文章提示:假錢包App已致上萬人被盜,損失高達十三億美元。
隨著元宇宙火出天際,各路想要體驗元宇宙游戲、web3產品,以及想要把握大風口紅利機會“掘金”的人們蜂擁而至,再加上某些平臺宣布清退的日子到了,許多人被迫開始使用錢包。
然而,對于許多沒有加密資產操作的人來說,新東西意味著需要“盲人摸象”般大量陌生的操作,這也讓某些“特殊人群”嗅到了“過年”般的氣息……
有玩鏈游的朋友都能看到一個現象,官方交流群的管理員的口頭禪幾乎都是警示防騙,然而每天依然有人被假冒的“管理員”誘騙。
以電報群“假錢包”詐騙為例,當用戶去官方群反應一些問題時,就可能會有群管理員(昵稱、頭像一致)的人來幫助你解決問題,并“好心”提醒你謹防詐騙,建議下載“小x貍”錢包。
與此同時,你已經被悄悄拉入了一個“小X貍”錢包官方交流群,這個群里有官方客服發布鏈接,并警告群里用戶不要相信私聊。
于是在“好心”管理員和客服的友情提示下,很多人稀里糊涂的就點擊了所謂的“錢包官方群”的鏈接,下載了錢包,并導入助記詞……
接下來,數字資產不翼而飛。
近期,類似的數字資產被騙的現象特別嚴重,被騙人數眾多、資產量巨大。除了項目方官方之外,不僅業內的一些錢包團隊、安全團隊,就連圈外的安全團隊都關注到了這類現象。
比如,360安全大腦就專門為此上線了“虛擬錢包詐騙模型”,攔截主要的三大類詐騙類型。結合360安全大腦提示的三大詐騙類型,我們在此基礎上又做了一些常見騙局拓展和例子。
第一類,以贈送“Token”等推廣手段為誘餌,誘導下載安裝假錢包
第二類,通過假冒的錢包網站、上架小眾應用分發站點,推廣假錢包應用
只要你在各大搜索引擎網站上,搜索任意一個知名錢包名稱,得出來的結果會令人大跌眼鏡。因為可能10條結果中,有5-6條都是假冒的錢包網站,而且排名還比真正的錢包官網靠前。
前段時間更是出現了,騙子搶注了某品牌錢包的商標,在搜索引擎申請了品牌保護,把假冒錢包官網列為“品牌官網”的情況。
你以為,只要到手機自帶的應用商店(App Store)去下載就萬無一失了?
當然不是,騙子也在這里等著你,因為應用商店也能夠上架高仿的假錢包,針對插件錢包小狐貍等錢包,也有不少人在Chrome官方商店下載了高仿假插件導致數字資產被盜……
綜上,錢包一定要到官網下載,如果在應用商店下載,注意核對清楚應用開發者的名稱,確認是該錢包官方所提交的應用方可下載。
第三類,冒充交易平臺客服
許多人都接到過類似詐騙電話,以賬戶存在風險為由,誘騙用戶安裝含屏幕共享功能的會議APP和錢包,獲取用戶錢包助記詞后實施盜幣。
第四類,電報群冒充項目方官方客服
上文提及的例子,客服幫忙解決問題并提醒防騙,同時誘導在假冒的錢包官方群下載錢包。
第五類,聯系類似高回報的“刷單”、“盜U”、“換U”等誘人的合作
通常騙子表示會先給你打款,然后給一個“收款二維碼”讓掃碼轉一筆小額測試能不能到賬,但實際錢包掃這個二維碼后打開的是一個騙子高仿的“錢包轉賬頁面”。
在這個頁面進行操作實際上是在進行一個“授權”操作,確認授權后,騙子可搬走錢包里所有的U。
以上僅為冰山一角,各種詐騙套路每天都在上演。大部分涉及“假錢包”的詐騙流程不盡相同,但目的都幾乎都是一樣的,就是想方設法誘導你下載一個“李鬼”高仿假錢包。
當用戶在這個錢包創建新的加密錢包或者導入私鑰、助記詞時,敏感的助記詞、私鑰信息都會被悄悄的發送給騙子,或者想辦法誘導你進行簽名授權。隨后,騙子就擁有了你的錢包里加密資產的處置權。