知识科普】| 针对虚拟币的网络攻击

前言

随着互联网技术迭代，网络诈骗手段持续翻新，“网络钓鱼” 已成为虚拟币领域的高发风险。犯罪分子常通过伪造官方网站、空投邮件、虚假短信等方式，诱导用户泄露钱包私钥、助记词等敏感信息，进而窃取数字资产。作为区块链安全领域的守护者，零时科技今天就为大家拆解虚拟币网络攻击的核心陷阱，教你精准识别与防范。

网络钓鱼的常见类型

1.附件钓鱼

此类情况存在的风险在于，像邮件、微信以及 QQ 等当中包含的附件，其类型如果是可执行文件的话，通常就是病毒执行程序了。除此之外，较为常见的附件还有 Office 文件、PDF 文件等类型，这些文件主要是借助宏或者客户端软件所存在的漏洞来施展风险行为，甚至有的还会利用加密压缩文件，以此来避开反病毒监测。

2. 链接钓鱼

不法分子会使出各种各样的手段，他们要么仿冒真实网站的 URL 地址以及与之对应的页面内容，要么利用真实网站服务器程序存在的漏洞，在站点的部分网页里插入存在危险性的 HTML 代码，通过这些方式去骗取用户的银行账号、信用卡账号、密码等私人资料。

案例：来自“官方”的钓鱼

有不少 Trezor 这款知名硬件钱包的用户，都收到了来自 trezor.us 的钓鱼邮件。但要知道 trezor.us 并非 Trezor 的官方域名呀，Trezor 真正的官方域名其实是 trezor.io ，二者仅仅是域名后缀有所不同罢了。另外钓鱼邮件里传播了如下域名：https://suite.trẹzor.com

3. 二维码钓鱼

今年，二维码钓鱼攻击有了大幅升级，网络犯罪分子借此技术窃取个人及财务信息。威胁行为者 (TA) 会将二维码嵌入办公文档，扫描后就会把用户引向专门窃取敏感数据的欺诈网站。

在不断变化的网络威胁环境里，出现了一种新的网络钓鱼形式--基于二维码的活动。网络犯罪分子越发频繁地把二维码嵌入恶意文档，用户扫描后就会被导向欺诈网站。这种策略在 2024 年明显增多，它始于 COVID-19 大流行期间，那时二维码广泛应用于非接触式交易和信息共享。

案例：针对中国用户的二维码钓鱼攻击

骗子伪造中国人力资源和社会保障部的官方 Word 文档，以 “劳动力补贴” 为诱饵吸引用户。文档内含二维码，用户扫码后会跳转至精心搭建的钓鱼网站，逐步诱导泄露个人信息、银行卡详情及密码。该攻击利用人们对官方文件的信赖实施诈骗，且通过 DGA 技术让钓鱼 URL 持续变化，还频繁更换恶意域名，大幅增加了拦截和检测难度。

4. Twitter 钓鱼

Twitter 钓鱼属于一种欺诈行为，它运用社交工程学手段，通过模仿或者伪装成目标用户所关注的相关内容，去诱导用户点击链接，又或者下载恶意软件，进而达到获取用户敏感信息以及执行恶意操作的目的。

案例：高仿推特账号钓鱼骗局

不法分子要么创建与官方账号极为相似的高仿号，在官方评论区发布虚假空投链接，诱导用户点击申领代币；要么通过黑客手段入侵埃隆・马斯克等知名人士账号，发布 “向指定加密货币账户转比特币，即可实现资金翻倍” 的虚假消息，最终诱骗用户转账造成资金损失。

Twitter 钓鱼

案例：高仿推特账号钓鱼骗局

5. 弱口令钓鱼

部分用户为图方便，在网上银行设置“弱口令”，不法分子就利用这一漏洞，先从网络上搜寻银行储蓄卡的卡号，然后凭借卡号登录对应的银行网上银行网站，尝试破解“弱口令”，以达到其不可告人的目的。

6. 手机短信钓鱼

存在这样一种手机短信 “群发器” ，它是由储存着手机号码的电脑进行控制的，会大量发送虚假信息。这些虚假信息往往会打着 “中奖”、“退税”、“投资咨询” 之类的名义，去诱骗那些收到短信的人实施汇款、转账等操作。

典型案例

范小姐收到 131XXXX6379 发来的短信，称其网银 E 令次日到期，需登录 www.bocbg.tk 升级，还标注了中行咨询电话 9556 。她虽对私人手机号发官方短信存疑，但见网址似曾相识便登录网站，按提示输入登录名、密码及动态口令后，很快收到卡内资金被转走的提醒，这才发觉遭遇钓鱼诈骗。

加密货币的重大陷阱

与 Web2 平台常见的中心化账户登录验证不同，Web3 基础设施（如加密钱包）不存储用户身份信息，也无账户权限管理相关功能，还缺少账户删除、重新绑定、身份恢复等传统账户功能。这就要求 Web3 用户必须亲自管理和保护私钥：私钥一旦丢失，用户将永久失去链上身份控制权；若私钥泄露，数字资产则面临被盗风险。

假钱包应用：资产盗窃陷阱

假应用是常见恶意软件，常仿冒合法应用的图标、名称与界面诱骗用户下载，目的是窃取信息、盗用付费服务。在加密货币领域，假钱包问题突出 —— 攻击者将恶意代码注入合法钱包源码，用户安装后导入助记词或私钥时，关键凭据会被窃取，资产遭非法转移。目前假钱包主要通过搜索引擎、假网站、假社交账号分发。

1.搜索引擎渠道

诈骗者制作嵌入恶意下载链接的加密主题文章或短视频，并使用搜索引擎优化 (SEO) 或搜索引擎营销 (SEM) 技术进行推广。当潜在受害者搜索相关关键词 (尤其是品牌特定的钱包名称) 时，这些欺诈链接可能会出现在搜索结果的顶部，有时甚至是第一个条目。无法区分真假结果的受害者面临失去资产的高风险。

2. 虚假钱包网站

虚假钱包网站通常与虚假钱包应用相伴而生。通过创建高质量的复制网站并将其部署在相似的域名上，这些虚假网站通常比典型的 SEO 技术更具欺骗性。例如，虚假 TokenPocket 钱包网站 tokenpocket-cn[.]com 是合法域名 tokenpocket.pro 的假冒版本。其目的是误导投资者下载虚假钱包应用，从而导致其资产损失。

3. 虚假社交媒体账户

虚假社交媒体账户也很猖獗，尤其是在加密货币投资者经常使用的平台上，例如 X (前身为 Twitter) 。这些账户通常冒充 “imToken中文客服/官方” 或 “imToken 支持团队” ，旨在污染平台信息渠道并向不知情的用户推广恶意钱包应用。

4. 多重签名案：一种新型加密货币盗窃行为

钱包是资产安全核心解决方案，多重签名钱包与标准钱包不同，采用独特交易授权机制，需多个私钥共同参与 —— 如常见的 2-of-3 模式，需至少两名私钥持有者签名方可完成交易。其核心优势是冗余性，仅当至少两个私钥泄露，资产才会面临风险。

但这一安全方案遭黑客钻空，衍生出 “多重签名盗窃” 新变体。传统假钱包诈骗中，黑客通过控制假钱包后端获取私钥访问权限，与用户共同掌控钱包地址，双方均可单独转出资金，诈骗者通常有两种策略：

(1) 立即盗窃

他们可能会立即耗尽钱包中的资产。一旦用户发现余额为零，他们就不太可能再次使用该钱包。

(2) “养鱼” 策略

黑客的 “养鱼” 策略，是暂不盗取资金，等待用户积累更多资产后再动手。不过多数诈骗者缺乏耐心，会迅速挪用资金。而多重签名诈骗中，这种策略更隐蔽：用户已失去账户控制权，钱包呈 “只进不出” 状态，若不尝试提现，可能永远察觉不到风险。骗子只需静待受害者持续存入资产即可。

该诈骗隐蔽性、成功率更高，能积攒大量资产且不易引发怀疑，已成为加密盗窃中极具威胁的演变形态。

5. 支付授权诈骗：对钱包安全的威胁日益严重

除多重签名设置被破坏导致钱包失控的风险外，针对数字资产授权的加密盗窃日益常见。其核心原理是，区块链允许用户通过链上交易，将自身地址中一定数量代币的操作权限，委托给其他地址。

例如，Tom 地址有 1000 USDT，他通过链上交易授权 Jane 地址最多操作 100 USDT。授权完成后，Jane 无需 Tom 进一步批准，即可从自己地址发起交易，转移 Tom 钱包内相应额度的 USDT。

诈骗者将这类授权链接伪装成 “付款” 二维码，诱骗受害者扫描批准交易，实则让其把全部代币授权限额委托给诈骗地址。他们还搭建高度逼真的钓鱼页面，伪装常规交易，而真实交易内容是令牌授权请求。若钱包未做好验证提醒，用户极易受骗，待察觉时骗子已获得资产窃取权限。这类诈骗利用智能合约交互复杂性和用户技术盲区，威胁极大。

如何识别和防范网络钓鱼？

1.不信显示名，认准发件地址

提高邮件安全防范意识，发件人名称是非常容易伪造的，对于不熟悉的邮件地址，或者不在自己收件人通讯录中的地址，谨慎对待，多种方式确认。

2. 警惕索要敏感信息

时刻警惕那些不管以何种名义，向用户索要邮箱名、密码以及个人账户等信息的邮件。要是碰到邮件以邮箱停用、账号重新登记、账号备案、邮箱升级等理由，来诱导用户点击链接，还要求提供邮箱密码等个人信息的情况，就得小心了。另外，对于邮件主题带有 “紧急通知”、“重要提醒” 等这类明显特征的邮件，务必要先确认其内容是否属实，切不可随意输入账号、密码等相关信息。

3. 保持良好的上网习惯

对邮箱、微信以及 QQ 里面出现的链接或者附件保持警惕，不要随意去点击邮件当中的链接，也不要在没搞清楚状况的情况下，盲目地下载那些自己不熟悉的附件、程序，更不要轻易去扫描邮件里包含的二维码。同时，要记得在终端设备上安装杀毒软件，并且要及时对病毒库进行更新，以此来保障设备的安全。

4. 不要放松对“熟人”邮件的警惕

钓鱼者往往会借助攻陷的组织内部成员的邮箱来发送钓鱼邮件。要是你收到了来自自己信任的朋友或者同事所发的邮件，然而对邮件内容心存疑虑的话，可以直接拨打对方的电话，向其核实邮件相关情况。

5. 注意系统内部提醒

对于系统已自动识别到的病毒邮件，一定不要打开。

6. 识破钓鱼邮，删之勿回复

核实为钓鱼邮件后，直接删除，勿理会、不回复。