【密切監察】去中心化Web3潛在威脅 社交工程攻擊恐大增
Web3 是下一代互聯網而創造的術語,現時網絡已從以內容頁面為主的面貌,轉變為以社交媒體為主軸的世界。現時,去中心化的互聯網模式,正以 Web3 的概念作討論。有研究人員就新興技術面臨的最普遍威脅預計,社交工程攻擊(Social Engineering Attack)或主導 Web3 及 元宇宙(metaverse)的世界。
轉變成 Web3 的其中一個因素是元宇宙的盛行——一個 3D 環境和虛擬世界,能在個人或工作上,促進社交聯繫。用戶在元宇宙中的 ID,也可能會與加密貨幣錢包、NFT 和其他各種智能合約互連。隨著技術供應商致力於實行以上概念,Cisco Talos 的網絡安全研究人員提出了他們對 Web3 和元宇宙將面臨的潛在威脅的看法。
其中,NFT 交易平台 OpenSea 用戶最近經歷一波又一波的網絡釣魚攻擊,受害者被欺騙簽署惡意合約交易,並轉出他們的 NFT,而這些事案件可能是未來常見的攻擊形式。
研究團隊討論的第一個問題是使用ENS(Ethereum Name Service) 和將推出的類似服務,會將錢包地址壓縮成易於記憶的格式。正如有些人預估 ENS Domain 的未來潛在價值繼而作出註冊,如「businessname.eth」——這些地址可利用作網絡釣魚攻擊的途徑,特別是因為 ENS Domain 是記錄在區塊鏈上,而且很難被透過商標糾紛而刪除。
Cisco Talos 的研究人員指出,毫無疑問地諸如 cisco.eth、wellsfargo.eth、foxnews.eth 等 ENS 域名,實際上並不是擁有這些商標的各自公司持有,而是歸註冊這些商標的第三方所有,而他們早就以未知的意圖將網域如此命名,風險顯而易見。
此外,那些註冊 ENS Domain 的人,或會使用他們的名字作命名,變相將地址去匿名化,讓其他人知道其加密貨幣錢包中擁有哪些資產,或會增加他們被攻擊者瞄準的風險。
Cisco Talos 對已公開地址的 .ENS 域名持有人進行了簡短調查,發現一些「鯨魚(Whales)」持有大量加密貨幣和具價值的 NFT。許多持有者還透露了他們的家鄉、全名和社交媒體資料,讓攻擊者能了解他們的背景,並成為社交工程攻擊的目標。研究人員表示,從 ENS 域名和 Twitter 帳戶開始識別他們的真實身份和物理位置幾乎是無難度。
由於 Web3 將是用家需要花時間來了解的新概念,因此用家普遍缺乏教育,也可能令自己更易陷入詐騙和欺詐陷阱。Cisco Talos 指,不熟悉技術通常會導致用戶做出錯誤的決定,Web3 也不例外,絕大多數 Web3 用戶的安全事件,都源於社交工程攻擊。
此外,wallet cloning 已成威脅方式,或會在未來成為更流行的攻擊方法。這種方式會要求受害者放棄他們的助記詞(即用於找回錢包的密鑰),並且可以通過社交工程、客戶支援或在虛假驗證過程中假裝是錢包持有人提出請求。
雖然 Web3 仍處於開發階段,但值得大家花時間熟悉這項技術,尤其是如果正計劃在未來探索去中心化的世界的人們。Cisco Talos 還建議實施基本的安全措施、密碼管理器、多重身份驗證 (MFA),而最重要的是,記住永遠不要交出助記詞。
