首页 > 区块链科普 > 区块链投资 > 钱包 > 正文

忽视这些,黑客至少有100种方法掏空你的钱包和交易所账户

2018-03-12 15:50:16作者:WJ来源:原创
区块链大潮的兴起,许多人把自己一定比例的财富换成了数字货币资产放到了互联网上,尽管网络安全技术不断的迭代,黑客问题始终是全世界都为之头疼不已。确实,有一定匿名属性、方便转移等特性,再加上互联网是黑客的“大本营”,在这“肥沃的土壤”里,任何人的数字资产都别想绝对安全。

白话区块链

 
 
 

从入门到精通,看我就够了!

然而更要命的是,大部分人对网络安全知识、甚至对自己的操作系统的熟悉程度,还达不到黑客们的百分之一,这直接导致了黑客在很多时候盗取数字资产如同探囊取物一般,小编在这里绝非危言耸听的提醒大家:忽视这些网络安全知识,黑客至少有100种方法掏空你的钱包和交易所账户。

 

一、看似更安全的去中心化交易平台,也许黑客更爱

 

去中心化交易所,主要是避免了中心化交易所坚守自盗的风险,和区中心化钱包一样,自己是自己账户的真正归属人,并且没有人能篡改账户,也没有提不出币的风险。

 

但是,小编提醒各位,去中心化的平台,就相当于不记名资产账户,持有密钥的人就是主人。当平台把密钥生成并交付到页面显示那一刻,你手里捏着的就是唯一的凭证,无论丢失、被盗、泄漏等损失,任何责任完全由你个人承担。

 

然而个人手里保存密钥有时候却没有放在中心化平台里来的安全,毕竟黑客们从个人手里盗取密钥远比层层安全措施严格的中心化大型交易所里盗取数字资产容易得多。这一个就像拦路抢劫手无缚鸡之力的路人,一个就像抢劫全副武装的银行金库。

 

大家知道,黑客攻击,上至政府重要机构,下至普通PC,简直是防不胜防的。前段时间以德被黑客攻击的事件(不是第一次),黑客只是利用了一个漏洞,并通过很简单的基础手法插入了一段上传代码,把用户密钥收入囊中。

 

如果这边是中心化交易所,这个情况下,就未必有那么容易被盗了,至少不会那么容易获得用户的账户。

所以,你不管用去中心化还是中心化,安全都需要重视。

 

二、黑客是如何攻破交易所顺利盗走数字资产的?

 

这个其实小编已经在标题里说了,黑客的方法太多,有一些涉及比较专业的词汇,小编下文不会提到它们,大家只要知道大致什么原理,需要注意什么就好了。小编先列举几个典型的例子并且用大白话来解释把:

 

几种钓鱼网站

嗯,大家新闻常常听到的,“钓鱼网站”,一些老司机要说了,不就是做个假网站,然后网址很像,大家不小心进去后输入了帐号密码这些就被盗了嘛,这种小儿科,我们只要记住网址就行了。

是的,这些老司机说的都是对的,最简单的钓鱼就是类似的网址,然后人们点进去输入帐号密码被黑客获取。这也是利用的大部分人都不会去记网址,从而不会发现假网站和假网站。

当然了,如果只有那么简单的话,小编就不用说那么多了是吧。

 

有这么几种情况,即使你能够一字不漏的背下网站网址,输入浏览器打开后依然是个假网站:

 

网站劫持演示

我们先看一段测试视频再说:

 

 

视频里小编直接拿的是前面以德来举例,模拟我们平常的习惯,假设小编记得以德的网址,并且输入的是正确的网址,然后打开网页,我们可以发现进入的一个警告页面:表示当前网站正在遭受黑客攻击,账户已经被锁定,需要输入正确的密钥来提取数字货币转移到安全的地方去。 因为网址肯定是对的,所以这里钓鱼的话,大家可以猜猜上当的概率是多少?如果不是小编时间有限,这个页面做的和以德完全一模一样又会如何?小编同时也测试了另外一个中心化交易所的网址,也是一样的。

 

 

看到这里,大家心想,这些交易所财大气粗,应该做好了完全准备了才是呀,为什么那么轻易的就被别人个劫持了呢?其实小编告诉大家,这些只是一些计算机网络的基础知识而已,小编这里用到的劫持方法,黑客们融汇贯通,并且交易所、钱包的网站们也是防不了的。

 

三、100种以上的方法

 

1. 本地劫持

     小编这里演示用的是本地劫持。本地劫持主要是黑客通过传播木马。

第一种,让木马去劫持本地系统的hosts文件(windows和安卓等各种系统都会有这个文件)。你在浏览器输入网址的时候,浏览器首先会检查这个文件里是否有这个网址的记录,如果有,则会根据记录寻找对应的服务器IP地址。在这里,小编用上了临时搭建的本地服务器IP地址。然后我们输入记录中的地址,就会被劫持到这个临时服务器的网页上来,至于服务器的内容,就黑客自己随心所欲了,网址都是正确的深信不疑的人必定多,钓鱼成功率也是很高的。

 

 

 

第二种,依然是木马,让木马修改本地网络配置DNS地址。

这里的DNS通常默认是当地运营商的DNS服务器地址,DNS服务器起到的作用,主要是进行网址和服务器的对应,比如你在浏览器输入CCTV.COM ,那么你当地hosts文件没有告诉浏览器ip地址的话,就会向DNS发出一个请求,询问这个服务器,cctv.com这个网址所对应的服务器iP是多少?然后当地DNS查询本地的缓存列表里如果有,就直接反回,如果没有,那就向上一级DNS服务器进行索取,再返回给你。然后你就能看到对应的服务器上的页面了。然而,如果这个DNS地址被修改成黑客架设的假DNS服务器地址,那么你访问的任何网址,将由黑客这台服务器说的算,它让你进入假的网站,你也就进去了,网址也是一样的。

 

 

 

第三种,本地劫持,就是路由器的DNS。是的,路由器也可以设置一个DNS,原理同上,近年来各种路由漏洞造成的安全事故频发,黑客利用各种工具扫描ip段,一旦发现漏洞路由器,可以获得路由器控制权限等等,这让局域网内所有PC的网络连接都有直接被黑客控制的风险。这样范围就非常广了。

 

第四种本地劫持的方式:浏览器插件。如下图,随手打开浏览器里一个流行的常用插件,你可以看一下,这个插件的权限,就是这个插件可以做的事。看看,第一个,读取和更改,您在访问的网站上的所有数据。 也就是说,我访问的就算是正确地址,进去后的网页依然可以被修改,我输入的帐号密码,甚至密钥,也是可以在发送之前被读取的。同时,插件可以让你跳转他们的假网站,也可以修改网页上的钱包APP下载地址,让你下载一个假钱包。许多人浏览器打开淘宝之类的购物网站,会自动跳转到返利淘客的地址,用过的都知道,大部分的火车票抢票插件、比价插件,都是可以直接修改打开的页面内容的。

 

 

 

(著名技术交流网站V2EX网友反应页面被劫持的情况)

 

所以说,你不能够说人家交易所、电商网站们没有做好安全防范,实际上很多时候,出问题的是我们本地PC和设备上,人家再怎么防备,也管不到你的设备呀。归根结底,自己的小荷包,还是得自己捂好。

 

2. 其它

       有很多原理比较复杂的,我挑重要简单的说把。

 2.1 攻击相关网站的DNS缓存服务器:这也叫做缓存投毒,原理和前面说的劫持差不多,缓存记录改成黑客想要的记录,然后通过这个DNS访问的人就会被劫持到黑客的网站上去。

 

 2.2 运营商DNS污染:这个应该每个人都遇到过吧,运营商可以在你访问的任何网站里添油加料。当然黑客也可以,或者运营商机房内鬼也可以。当然了这种情况,在大部分网站都开启加密传输协议的情况下,是比较少见的。

 

 

 

 2.3 利用各种各种漏洞,就说黑客能利用的漏洞数量吧,多得数不清,甚至有一些漏洞,存在并没有被发现的时间长得令人发指。世界上没有密不透风的墙,也不会有没漏洞的操作系统。

 

 

 

 

如上那么多方法,主要还是通过给你一个假网站、假钱包获取你的信息。当然了,假网站假钱包套取数字资产的手段,并不仅限于如上方法,也不仅限于如下方法:

 

1. 黑客做一个中心化交易所一样的网站,然后你输入帐号密码的同时,黑客也同步在真正的网站上输入帐号密码,包括二次验证的短信以及谷歌二次认证码。

 

2. 黑客做一个假的去中心化交易所,然后你进去获得的密钥是假的,然后账户充币地址是黑客的,然后黑客设置这个假交易所里诱人的价格,引诱你赶紧转入大量的数字货币,很开心的进来进行大抄底,然后,你提币的时候才发现,并不能提出,并且令人毛骨悚然的情况是,你在上面交易了很久,可能只是玩的一个虚拟交易盘子,你转进去的币早就被搬空,而你一直不知情,不亦乐乎的玩着黑客给你做的交易游戏。

 

3. 假钱包,额... 类似上面。钱包地址是黑客的,充进去的币照样给你显示,只是你最后会发现,你一直存有巨额资产的钱包竟然是一只只进不出的老虎。

 

 

 

4. 假网站,相信今天很多人都看到了这篇文章——震惊:一个朋友被骗走将近400万的区块链资产,高仿网站骗取了用户的私钥,从而将用户的钱包洗劫一空。永远不要忘记最基础的那一点:不要交出你的私钥或者助记词,不要把你的keystore和钱包密码保管在同一处,「地址、密码、私钥、助记词、Keystore 」那些事,更更重要的是加强安全意识,不要图便宜。

 

四,面对如上那么多潜在的黑客风险,我们应该做什么?

 

面对黑客,目前来说真是毫无办法的事情,当然了,也不是说无法杜绝就不去管了,至少我们可以利用已知的网络安全知识,把自己的投资环境、资产储存环境变得更安全。随随便便的黑客也搞不了你,真有水平的黑客,也瞧不上你那点东西。嗯,不多说,还是说说如何最大程度的避免吧:

 

1. 重要网站网址一定要观察是否有Https并确认是否正常:

针对上面的输入正确网址都可能是假网站的情况,我们如果注意在确认网址是正确的情况下,用HTTPS来访问,如果小编当时输入的网址是http://xxxxx.com  而不是直接输入 xxxx.com 那么我这边显示的网页肯定不会是假网站。因为HTTPS除了加密传输数据内容之外,还有一个功能就是认证功能,一个网站要开通http服务,需要申请一个证书,当一个域名对应的认证过的服务器带证书正确的情况下,浏览器通常会提示安全访问,否则浏览器会提示你当前访问的服务器与证书不服不是安全网站。所以你会发现一些重要网站,银行、交易所、钱包、一律用的额http安全链接。就是为了应对这种情况。

 

 

(域名访问或者DNS被劫持的情况下,访问网站会提示不安全,并拒绝显示网页)

 

 

(恢复正常后,可以看到安全提示,并显示了正确的网页)

 

2. 最好记住重要网址,并且使用HTTPS

如果你无法记住网址,欢迎使用大白百宝箱,我们的设计初衷之一,就是为了安全访问重要的网站,如下图,我们已经把百宝箱重要工具和网址官网的HTTPS安全链接展示出来,每次访问记得核对安全网址,这样风险自然就降低了。

 

 

 

 

扫码访问大白百宝箱,并收藏好这个安全、有福利的工具箱吧

http://123.hellobtc.com

 

3. 不要随意点击不明链接、不安装来路不明的软件APP或者打开不明邮件的附件

木马的主要传播方式,通常就是如上小标题这几种方式,任何人发来的不明链接或者假装成邮件系统升级、客户报价之类的邮件链接和附件都不要随便去打开,下载软件或者应用,请到安全的地方,比如苹果应用商店,安卓应用商店。确实需要到官网下载类似钱包应用的,请记得上面提到的确保访问的是HTTPS安全地址。

 

4.不要安装来路不明的浏览器插件或者不要随便安装插件

一般我们在插件市场下载的插件问题不大,但是谁知道呢,不少人下载插件还在第三方不明来路的地方下载,插件基本是是全程看着你上网的,你浏览的任何网页它们都看在眼里。

 

5.检查本地hosts文件和PC的DNS网络设置、路由器设置

hosts文件路径,windows的话是在:C:WindowsSystem32driversetc  打开文件夹后找到这个hosts文件,可以右键用记事本打开编。

 

网络配置,通常在 控制面板==》网络和 Internet===》网络连接 找到连接宽带或者路由器的连接图标,右键,属性,然后双击“internet 协议版本4 (tcp/ipv4)”进入检查DNS设置。这里我们可以按小编这两个地址:一个是阿里提供的一个是百度提供的免费DNS地址,比较可靠。也可以减少一些DNS污染的情况。

 

路由器,访问管理页面的方法和帐号密码一般在路由器的背面有标识,然后进去找到DNS设置选项设置。

 

 

 

 

 

6. 操作交易的PC最好不是盗版系统

盗版系统通常会内置一些广告流氓插件等不安全因素。

 

7. 手机,不要root和越狱不随意安装不明来路APP

root和越狱表示获得最高权限,第三方应用可能修改一些安全设置、甚至监听、监控、远程操控。安装重要钱包应用的手机,务必干净,无第三方APP。

 

8. 数字资产量大必须冷钱包

量少可以用交易所,但是必须确保安全的前提下。

 

9. 重要手机PC不要随意使用第三方不明免费Wifi

这可能是个诱饵,经常用万能wifi钥匙这类应用的也要注意了,接入来路不明的路由器,你传输的数据都可以被监听,然后你的设备安全性较低,人家可以直接入侵你的设备。哦,对了还有个伪基站问题手机收到的短信、链接请核实后再说。伪基站可以模拟任何号码往你的手机发信息。

 

10. 网页、APP出现异常情况及时确认和终止重大操作

比如网页突然跳转到另外一个链接,突然弹出一个提示框要求填写帐号资料(各种理由),地址栏的网址变了、鼠标移动到钱包应用的下载地址链接时看状态栏显示的域名不是当前官网的域名,或者是不是安全地址。这些情况都必须反复确认,不要一时疏忽酿成不可挽回的错误。

 

 

专题

EOS
公众号:白话区块链
公众号:比特之星