في الآونة الأخيرة ، لفت انتباهنا نوع جديد من عمليات التصيد الاحتيالي.
يحدث هذا النوع من الاحتيال عادة في برامج الدردشة (مثل Telegram) ، بدءا من معاملات الإيداع خارج البورصة ، قبل إجراء معاملة رسمية ، يطلب المحتال من الضحية تحويل 0.1 USDT لمعرفة ما إذا كان عنوان الضحية في خطر ، ثم يرسل للضحية عنوان "سلسلة عامة" للتحويل ، كما يذكر الضحية بأنه يجب إدخال عنوان السلسلة العامة في متصفح المحفظة لإجراء التحويل. نتيجة لذلك ، بعد أن أدخل الضحية عنوان "السلسلة العامة" في المتصفح ، وجد أن جميع الرموز المميزة في الحساب قد سرقت.
ماذا يحدث؟
طريقة عمل التحليل
بناء على تحليل المعلومات التي قدمتها الضحية ، وجدنا أنها لم تكن عملية نقل بسيطة تمت سرقتها (تم التعتيم على العنوان لحماية معلومات الضحية).
في تجربتنا ، يجب أن تكون هذه سرقة تصيد احتيالي ناتجة عن ترخيص. المتصل المتعاقد (TK ... Gh) عن طريق استدعاء وظيفة transferFrom ، عنوان الضحية (TX ... 1W) المنقولة إلى عنوان المحتال (TR ... 8v)。
في هذا الوقت ، سنركز على عنوان "السلسلة العامة" في فم المحتالين: 0x2e16edc742de42c2d3425ef249045c5c.in
للوهلة الأولى ، لا حرج في العنوان. ولكن إذا نظرت عن كثب ، فهذه مشكلة كبيرة! بادئ ذي بدء ، هذا نقل على TRON ، ولكن هذا عنوان يبدأ ب 0x ؛ ثانيا ، إذا نظرت عن كثب ، يمكنك أن ترى أنه ليس عنوانا ، ولكنه عنوان URL به .in في النهاية.
عند تحليل عنوان URL ، اتضح أن عنوان URL تم إنشاؤه قبل شهر (11 أكتوبر) وله عنوان IP 38.91.117.26:
هناك أيضا عناوين URL مماثلة ضمن عنوان IP هذا ، والتي تم إنشاؤها جميعا في الشهر الماضي:
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
في الوقت الحالي ، يمكن فتح 0x2e16edc742de42c2d3425ef249045c5b.in فقط ، وسيجد البحث عن العنوان من خلال متصفح المحفظة أن الصفحة يمكنها فقط تحديد شبكة TRON.
بعد إدخال المبلغ ، انقر فوق التالي ، والذي سيتم عرضه كتفاعل العقد:
قمنا بفك تشفير البيانات في قسم البيانات ووجدنا أن المخادع (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) خدع المستخدم لتوقيع زيادة الموافقة ، وبمجرد أن ينقر المستخدم على تأكيد ، سرق المحتال الرموز المميزة للمستخدم عبر طريقة transferFrom .
عند تحليل عنوان المخادع ، وجد أن بعض المستخدمين قد خدعوا:
تم نقل معظم USDT للضحية إلى العنوان TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ:
باستخدام MistTrack للتحقق من هذا العنوان ، وجدنا أن هذا العنوان تلقى أكثر من 3,827 USDT:
لن يتكرر تحليل العناوين الأخرى.
ملخص
تبدأ هذه المقالة بحالة سرقة فعلية وتقدم نوعا جديدا من عمليات الاحتيال التي تخفي عنوان URL للتصيد الاحتيالي كعنوان نقل. يذكر فريق أمان SlowMist بموجب هذا أنه نظرا لأن تقنية blockchain غير قابلة للتغيير وأن العمليات على السلسلة لا رجعة فيها ، يرجى التأكد من التحقق بعناية من العنوان قبل إجراء أي عملية ، وفي الوقت نفسه ، من الضروري فهم مخاطر العنوان المستهدف مقدما قبل إجراء عمليات على السلسلة ، مثل إدخال العنوان المستهدف في MistTrack والتحقق من درجة المخاطر والتسميات الضارة ، والتي يمكن أن تتجنب الوقوع في حالة خسارة الأموال إلى حد ما. إذا وجدت أن هناك تحويلا غير طبيعي على العنوان ، فيرجى توخي الحذر والتحقق بهدوء ، وإذا لزم الأمر ، يمكنك الاتصال بنا أو إرسال نموذج هنا
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
عمليات احتيال جديدة | كن حذرا من عناوين URL للتصيد الاحتيالي المتخفية في شكل عناوين نقل
خلفية
في الآونة الأخيرة ، لفت انتباهنا نوع جديد من عمليات التصيد الاحتيالي.
يحدث هذا النوع من الاحتيال عادة في برامج الدردشة (مثل Telegram) ، بدءا من معاملات الإيداع خارج البورصة ، قبل إجراء معاملة رسمية ، يطلب المحتال من الضحية تحويل 0.1 USDT لمعرفة ما إذا كان عنوان الضحية في خطر ، ثم يرسل للضحية عنوان "سلسلة عامة" للتحويل ، كما يذكر الضحية بأنه يجب إدخال عنوان السلسلة العامة في متصفح المحفظة لإجراء التحويل. نتيجة لذلك ، بعد أن أدخل الضحية عنوان "السلسلة العامة" في المتصفح ، وجد أن جميع الرموز المميزة في الحساب قد سرقت.
ماذا يحدث؟
طريقة عمل التحليل
بناء على تحليل المعلومات التي قدمتها الضحية ، وجدنا أنها لم تكن عملية نقل بسيطة تمت سرقتها (تم التعتيم على العنوان لحماية معلومات الضحية).
في تجربتنا ، يجب أن تكون هذه سرقة تصيد احتيالي ناتجة عن ترخيص. المتصل المتعاقد (TK ... Gh) عن طريق استدعاء وظيفة transferFrom ، عنوان الضحية (TX ... 1W) المنقولة إلى عنوان المحتال (TR ... 8v)。
في هذا الوقت ، سنركز على عنوان "السلسلة العامة" في فم المحتالين: 0x2e16edc742de42c2d3425ef249045c5c.in
للوهلة الأولى ، لا حرج في العنوان. ولكن إذا نظرت عن كثب ، فهذه مشكلة كبيرة! بادئ ذي بدء ، هذا نقل على TRON ، ولكن هذا عنوان يبدأ ب 0x ؛ ثانيا ، إذا نظرت عن كثب ، يمكنك أن ترى أنه ليس عنوانا ، ولكنه عنوان URL به .in في النهاية.
عند تحليل عنوان URL ، اتضح أن عنوان URL تم إنشاؤه قبل شهر (11 أكتوبر) وله عنوان IP 38.91.117.26:
هناك أيضا عناوين URL مماثلة ضمن عنوان IP هذا ، والتي تم إنشاؤها جميعا في الشهر الماضي:
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
في الوقت الحالي ، يمكن فتح 0x2e16edc742de42c2d3425ef249045c5b.in فقط ، وسيجد البحث عن العنوان من خلال متصفح المحفظة أن الصفحة يمكنها فقط تحديد شبكة TRON.
بعد إدخال المبلغ ، انقر فوق التالي ، والذي سيتم عرضه كتفاعل العقد:
قمنا بفك تشفير البيانات في قسم البيانات ووجدنا أن المخادع (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) خدع المستخدم لتوقيع زيادة الموافقة ، وبمجرد أن ينقر المستخدم على تأكيد ، سرق المحتال الرموز المميزة للمستخدم عبر طريقة transferFrom .
عند تحليل عنوان المخادع ، وجد أن بعض المستخدمين قد خدعوا:
تم نقل معظم USDT للضحية إلى العنوان TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ:
باستخدام MistTrack للتحقق من هذا العنوان ، وجدنا أن هذا العنوان تلقى أكثر من 3,827 USDT:
لن يتكرر تحليل العناوين الأخرى.
ملخص
تبدأ هذه المقالة بحالة سرقة فعلية وتقدم نوعا جديدا من عمليات الاحتيال التي تخفي عنوان URL للتصيد الاحتيالي كعنوان نقل. يذكر فريق أمان SlowMist بموجب هذا أنه نظرا لأن تقنية blockchain غير قابلة للتغيير وأن العمليات على السلسلة لا رجعة فيها ، يرجى التأكد من التحقق بعناية من العنوان قبل إجراء أي عملية ، وفي الوقت نفسه ، من الضروري فهم مخاطر العنوان المستهدف مقدما قبل إجراء عمليات على السلسلة ، مثل إدخال العنوان المستهدف في MistTrack والتحقق من درجة المخاطر والتسميات الضارة ، والتي يمكن أن تتجنب الوقوع في حالة خسارة الأموال إلى حد ما. إذا وجدت أن هناك تحويلا غير طبيعي على العنوان ، فيرجى توخي الحذر والتحقق بهدوء ، وإذا لزم الأمر ، يمكنك الاتصال بنا أو إرسال نموذج هنا