幣安驚魂: 趙長鵬半月前已收到警報 火幣bigone仍有漏洞

3月7日,知名數字貨幣交易平台幣安遭到黑客攻擊,此次攻擊造成全球數字幣價格大跌。

根據幣安交易所的公告,有31個賬戶遭到黑客的釣魚入侵,黑客在掌握用戶的賬戶許可權之後,使用機器掛單,進行程序化高頻交易,給用戶帶來巨大損失。

這幾天關於此事的新聞很多,但絕大多數都是從事件本身出發,對數字貨幣的影響、對交易平台的影響等。

最關鍵的一點沒人提及:到底釣魚事件是怎麼發生的,作為幣安的普通用戶,我們應該如何防禦此類攻擊?

(1)一年前,華裔學生報告unicode釣魚漏洞

在幣安交易所發布的公告中指出,本次攻擊,黑客使用了「unicode釣魚手法」,這個是什麼鬼?估計99%的記者沒看懂。

2017年4月14日,在約翰霍普金斯大學研究數學的學生xudong zheng發表了一篇論文,題目是《Phishing with Unicode Domains》,中文大意為「用unicode網址釣魚」。文章中給出了一種釣魚的方法,多語言字元混合來騙過用戶的眼睛。

安全專家向黑奇士表示,咱們使用的瀏覽器,是以英文為基礎的,包括網址在開始也是僅能解析英文,所謂的unicode編碼。

為了讓瀏覽器支持多語言,有人開發了punycode編碼,這套編碼可以讓世界上其他的語言可以被瀏覽器「理解」,比如中文、俄文、韓語。

例如,你要訪問蘋果網站,在最早你必須輸入英文的apple.com;後來中國的cnnic、3721等公司,相繼開發了自己的插件,讓瀏覽器支持「新浪.com」、」「百度.com」這樣的域名。Punycode就相當於一款語言插件(編碼標準),被內置在了主流瀏覽器當中。

但使用puycode編碼的網址會有一個問題,比如中文拼音的 ü,跟英文單詞的u,看起來非常像(一個頭上有兩點,一個沒有),但這套編碼會識別成兩個字母。

這就帶來一種攻擊:有人把各種語言的相似字母組合在一起,冒充知名網址。

本次幣安的釣魚攻擊,就是有人把西里爾語字母,跟英文字母結合,冒充幣安的網址。

黑奇士採訪的資深白帽子M表示,即使是專業安全人士,如果對web安全不熟,面對這種釣魚也很有可能上當。

(看到n下面那兩點了嗎,那不是英文字母)

(2)半月前趙長鵬已收到警報,但未做處理

所謂的釣魚攻擊,本質上就是用戶在一個「仿冒網站」上輸入了自己的賬號密碼。

這個仿冒網站,要想針對性的投放到幣安用戶群中,黑客會使用一些精準化的投放手法,例如搜索引擎的廣告投放、向幣安用戶發送釣魚郵件、在電報群中點對點發送網址鏈接等。

這些動作不能在短期內起效,如果交易所在安全監控上投入精力,是有可能早期發現、早期處理類似事件的。

可惜的,幣安交易所並未做到。

本來跟何一沒啥關係,但我喜歡看美女,就放在這裡了

有微信截圖顯示,早在2月20日,有人向幣安交易所創始人趙長鵬發布了釣魚警告,他表示問題已得到處理。從幣安的後續措施來看,他並未把這個警告當真,至少沒有向存在風險的用戶發布警告,以求儘力挽回損失。

網路流出的示警截圖

白帽子M先生表示,針對此類unicode釣魚,主流瀏覽器已經能夠防禦。在PC端,只要把瀏覽器升級到最新版本,就能解決一大部分威脅;在手機上,安裝殺毒軟體也能解決很多問題。如果是蘋果手機,安裝騰訊手機管家,iOS系統會調用其SDK,也能對釣魚網址進行攔截。

黑奇士查看幣安網站,截至發稿,網站首頁沒有任何安全提醒。

(3)普通用戶應該如何防範此類釣魚攻擊?

黑奇士提醒普通用戶,可以採取如下措施,降低數字幣交易的安全風險:

1、無論手機端還是PC端,都必須安裝殺毒軟體,而且要安裝套裝。單純「殺毒」,是無法解決釣魚這樣問題的,黑奇士推薦卡巴斯基的殺毒套裝(付費版),國內的話,可以嘗試騰訊安全管家或火絨殺毒軟體(兩者均為免費軟體)。

2、瀏覽器必須保持實時升級,事實上,uniode釣魚過去已經一年,主流瀏覽器都應該打了補丁,對近似字元區別性顯示。但國內有些換殼的瀏覽器,核心升級不如原版瀏覽器,這些可能存在安全問題。例如360瀏覽器、搜狗瀏覽器、獵豹瀏覽器,都可能存在此類問題。

黑奇士推薦安裝在線安裝chrome瀏覽器。國內網站下載的full版chrome瀏覽器,升級功能受到限制,可能導致安全性能受損。

3、對於普通小白用戶,推薦使用密碼管理器,軟體會自動識別網址,在仿冒的網址上不會自動填入密碼。但需要指出的是,這類密碼管理器一旦被人入侵,所有密碼都會被竊取。如何權衡風險和便利,還需要用戶自己把握尺度。

4、手機端下載交易所軟體時,不要怕麻煩,一定要從官網下載,不要從國內的手機軟體商店下載,那些軟體可能存在仿冒、換皮等問題。

(4)多個大交易所仍有漏洞

3月10日,有安全研究者在知乎表示,除了用戶賬戶被竊之外,交易所的風控邏輯存在漏洞,也是這次攻擊成功的關鍵。

知乎網友「二子乘舟」在文章中推測,幣安交易所並未採取真正的OTP(One-time Password)邏輯。

有幣安受害者在國外網站表示,自己開啟了幣安最高等級的2FA認證。所謂2FA,就是在登陸賬戶的時候,除了賬號名、密碼需要正確之外,網站還會向你發送一個手機驗證簡訊,驗證成功才允許登陸,這個在業內叫二次驗證。

幣安的邏輯漏洞在於,手機驗證簡訊在30秒有效期內可以被二次使用:用戶首先在幣安使用,然後黑客再利用這條簡訊再次登陸,驗證碼仍然有效。

而實際上,真正的OTP只允許一次登陸,即使在有效期之內,只要有人使用過一次,就會及時作廢,防止黑客和用戶同時異地登陸。

根據「二子乘舟」的檢驗,包括火幣、Bigone等著名交易所仍然存在OTP驗證漏洞,可能會被黑客攻擊。

(來源:知乎網友,二子乘舟)

(5)安全廠商發布首個區塊鏈安全整體解決方案

3月12日,知名安全廠商頂象科技發布了區塊鏈安全整體解決方案。在這個方案中,像幣安釣魚的這種案例,被歸為「盜號非法登陸」。

頂象高級安全專家朱燁表示,如果部署了頂象的方案,當黑客竊取了用戶的密碼,試圖登陸幣安網站或app時,可以對其進行設備指紋、常用登陸IP、交易行為等多維度的風險模型識別,一旦發現異常即可阻止。

而且,根據幣安的公告,黑客使用了機械化高頻交易程序,控制被竊賬戶頻繁交易。像這種行為,在擁有豐富傳統金融安全經驗的安全模型來說,對其進行防禦輕而易舉,有多種安全策略可以奏效。

據介紹,頂象方案從以下三個方面來保護區塊鏈安全:

第一、防控各類外部入侵和漏洞利用:通過區塊鏈業務安全方案能夠快速發現攻擊者針對賬戶的撞庫和漏洞入侵嘗試,對AppH5進行整體保護,防止攻擊者的破解入侵和終端密鑰 盜取;及時攔截各類風險訪問和操作;同時針對釣魚場景可識別被釣魚賬戶等;

第二、防控各類非法登錄和高危惡意操作:通過區塊鏈業務安全方案可以有效辨別賬號登錄者的真偽,阻止被盜號、遭冒用、非法登錄,並對登錄IP、終端關鍵信息等進行畫像分析,以便於追溯和再次防範;同時,還能夠發現非授權的資產的轉移、提現、盜取信息等惡意操作,並聯動阻斷攔截;

第三、保護隱私信息和關鍵數據:通過區塊鏈業務安全方案,實現對使用者身份的核驗、分散式的密鑰管理、高強度的加密等,保障鏈上數據細粒度授權訪問,保障關鍵數據和信息的安全。

(6)安全路正長,諸君當努力

在黑奇士看來,現在無論什麼行業,對於業務安全的需求都是有增無減。

以區塊鏈相關為例,幣安交易所對應了傳統的滬深交易所,從收入水平、業務規模上都幾乎可以與其匹敵。但每年滬深交易所的安全投入都是以數十億計,幣安投入了多少,對安全能說足夠重視嗎?

昨天,幣安發布公告,懸賞25萬美元捉拿黑客。

我想說,這種作秀有意思嗎,你把這25萬美元放到安全防禦上行不行?

再次一點,你如果捨得丟臉,在2月20號收到警告的時候,官方發個安全公告,提醒用戶小心釣魚攻擊,還會有後來的3.7驚魂嗎?

一聲嘆息。

安全路正長,從業諸君當努力啊!

-------------

商務聯繫合作,請加微信 364081445


推薦閱讀:

TAG:幣安 | Unicode統一碼 | 網路釣魚詐騙 |