Son zamanlarda, yeni bir kimlik avı dolandırıcılığı türü dikkatimizi çekti.
Bu tür bir dolandırıcılık genellikle sohbet yazılımlarında (Telegram gibi) meydana gelir, tezgah üstü para yatırma işlemlerinden başlayarak, resmi bir işlem yapmadan önce dolandırıcı, kurbanın adresinin risk altında olup olmadığını görmek için kurbandan 0,1 USDT transfer etmesini ister ve ardından kurbana transfer için bir "genel zincir" adresi gönderir ve ayrıca kurbana transferi yapmak için genel zincir adresinin cüzdan tarayıcısına girilmesi gerektiğini hatırlatır. Sonuç olarak, kurban tarayıcıya "genel zincir" adresini girdikten sonra, hesaptaki tüm jetonların çalındığını tespit etti.
Ne var ne yok?
Modus operandi analizi
Mağdur tarafından sağlanan bilgilerin analizine dayanarak, çalınanın basit bir transfer olmadığını tespit ettik (kurbanın bilgilerini korumak için adres gizlendi).
Deneyimlerimize göre, bu bir lisansın neden olduğu bir kimlik avı hırsızlığı olmalıdır. Sözleşmeli Arayan (TK... Gh) transferFrom işlevini çağırarak, kurban adresi (TX... 1W) dolandırıcı adresine aktarılır (TR... 8v)。
Şu anda, dolandırıcıların ağzındaki "halka açık zincir" adresine odaklanacağız: 0x2e16edc742de42c2d3425ef249045c5c.in
İlk bakışta, adreste yanlış bir şey yok. Ama yakından bakarsanız, bu büyük bir sorun! Her şeyden önce, bu TRON üzerinde bir transferdir, ancak bu 0x ile başlayan bir adrestir; İkincisi, yakından bakarsanız, bunun bir adres değil, sonunda .in olan bir URL olduğunu görebilirsiniz.
URL'yi analiz ettiğinizde, URL'nin bir ay önce (11 Ekim) oluşturulduğu ve 38.91.117.26 IP adresine sahip olduğu ortaya çıkıyor:
Bu IP altında, tümü geçen ay oluşturulmuş benzer URL'ler de vardır:
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
Şu anda yalnızca 0x2e16edc742de42c2d3425ef249045c5b.in açılabilir ve cüzdan tarayıcısı aracılığıyla adres arandığında sayfanın yalnızca TRON ağını seçebildiği görülecektir.
Tutarı girdikten sonra, Sözleşme etkileşimi olarak görüntülenecek olan İleri'ye tıklayın:
Veri bölümündeki verilerin kodunu çözdük ve dolandırıcının (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) kullanıcıyı increaseApproval'ı imzalaması için kandırdığını ve kullanıcı Onayla'ya tıkladıktan sonra kullanıcının belirteçlerinin dolandırıcı tarafından transferFrom yöntemi aracılığıyla çalındığını tespit ettik.
Dolandırıcının adresi incelendiğinde, bazı kullanıcıların aldatıldığı tespit edildi:
Kurbanın Stake'inin USDT'sinin çoğu TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ adresine aktarıldı:
Bu adresi kontrol etmek için MistTrack'i kullanarak, bu adresin 3.827 USDT'den fazla aldığını gördük:
Diğer adreslerin analizi tekrarlanmayacaktır.
Özet
Bu makale, gerçek bir hırsızlık vakasıyla başlar ve bir kimlik avı URL'sini aktarım adresi olarak gizleyen yeni bir dolandırıcılık türünü tanıtır. SlowMist güvenlik ekibi, blockchain teknolojisinin değişmez ve zincir üstü işlemlerin geri döndürülemez olması nedeniyle, herhangi bir işlem yapmadan önce lütfen adresi dikkatlice kontrol ettiğinizden emin olun ve aynı zamanda, hedef adresin MistTrack'e girilmesi ve risk puanının ve kötü niyetli etiketlerin kontrol edilmesi gibi zincir üstü işlemleri gerçekleştirmeden önce hedef adresin riskini önceden anlamak gerektiğini hatırlatır, bu da belirli bir ölçüde fon kaybetme durumuna düşmekten kaçınabilir. Adreste anormal bir transfer olduğunu tespit ederseniz, lütfen dikkatli olun ve sakince kontrol edin ve gerekirse bizimle iletişime geçebilir veya buradan bir form gönderebilirsiniz.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Yeni Dolandırıcılıklar | Aktarım adresi kılığına girmiş kimlik avı URL'lerine karşı dikkatli olun
Arka plan
Son zamanlarda, yeni bir kimlik avı dolandırıcılığı türü dikkatimizi çekti.
Bu tür bir dolandırıcılık genellikle sohbet yazılımlarında (Telegram gibi) meydana gelir, tezgah üstü para yatırma işlemlerinden başlayarak, resmi bir işlem yapmadan önce dolandırıcı, kurbanın adresinin risk altında olup olmadığını görmek için kurbandan 0,1 USDT transfer etmesini ister ve ardından kurbana transfer için bir "genel zincir" adresi gönderir ve ayrıca kurbana transferi yapmak için genel zincir adresinin cüzdan tarayıcısına girilmesi gerektiğini hatırlatır. Sonuç olarak, kurban tarayıcıya "genel zincir" adresini girdikten sonra, hesaptaki tüm jetonların çalındığını tespit etti.
Ne var ne yok?
Modus operandi analizi
Mağdur tarafından sağlanan bilgilerin analizine dayanarak, çalınanın basit bir transfer olmadığını tespit ettik (kurbanın bilgilerini korumak için adres gizlendi).
Deneyimlerimize göre, bu bir lisansın neden olduğu bir kimlik avı hırsızlığı olmalıdır. Sözleşmeli Arayan (TK... Gh) transferFrom işlevini çağırarak, kurban adresi (TX... 1W) dolandırıcı adresine aktarılır (TR... 8v)。
Şu anda, dolandırıcıların ağzındaki "halka açık zincir" adresine odaklanacağız: 0x2e16edc742de42c2d3425ef249045c5c.in
İlk bakışta, adreste yanlış bir şey yok. Ama yakından bakarsanız, bu büyük bir sorun! Her şeyden önce, bu TRON üzerinde bir transferdir, ancak bu 0x ile başlayan bir adrestir; İkincisi, yakından bakarsanız, bunun bir adres değil, sonunda .in olan bir URL olduğunu görebilirsiniz.
URL'yi analiz ettiğinizde, URL'nin bir ay önce (11 Ekim) oluşturulduğu ve 38.91.117.26 IP adresine sahip olduğu ortaya çıkıyor:
Bu IP altında, tümü geçen ay oluşturulmuş benzer URL'ler de vardır:
0x2e16edc742de42c2d3425ef249045c5b.in
tgsfjt8m2jfljvbrn6apu8zj4j9ak7erad.in
Şu anda yalnızca 0x2e16edc742de42c2d3425ef249045c5b.in açılabilir ve cüzdan tarayıcısı aracılığıyla adres arandığında sayfanın yalnızca TRON ağını seçebildiği görülecektir.
Tutarı girdikten sonra, Sözleşme etkileşimi olarak görüntülenecek olan İleri'ye tıklayın:
Veri bölümündeki verilerin kodunu çözdük ve dolandırıcının (TYiMfUXA9JcJEaiZmn7ns2giJKmToCEK2N) kullanıcıyı increaseApproval'ı imzalaması için kandırdığını ve kullanıcı Onayla'ya tıkladıktan sonra kullanıcının belirteçlerinin dolandırıcı tarafından transferFrom yöntemi aracılığıyla çalındığını tespit ettik.
Dolandırıcının adresi incelendiğinde, bazı kullanıcıların aldatıldığı tespit edildi:
Kurbanın Stake'inin USDT'sinin çoğu TLdHGHB8HDtPeUXPxiwU6bed6wQEH25ZKQ adresine aktarıldı:
Bu adresi kontrol etmek için MistTrack'i kullanarak, bu adresin 3.827 USDT'den fazla aldığını gördük:
Diğer adreslerin analizi tekrarlanmayacaktır.
Özet
Bu makale, gerçek bir hırsızlık vakasıyla başlar ve bir kimlik avı URL'sini aktarım adresi olarak gizleyen yeni bir dolandırıcılık türünü tanıtır. SlowMist güvenlik ekibi, blockchain teknolojisinin değişmez ve zincir üstü işlemlerin geri döndürülemez olması nedeniyle, herhangi bir işlem yapmadan önce lütfen adresi dikkatlice kontrol ettiğinizden emin olun ve aynı zamanda, hedef adresin MistTrack'e girilmesi ve risk puanının ve kötü niyetli etiketlerin kontrol edilmesi gibi zincir üstü işlemleri gerçekleştirmeden önce hedef adresin riskini önceden anlamak gerektiğini hatırlatır, bu da belirli bir ölçüde fon kaybetme durumuna düşmekten kaçınabilir. Adreste anormal bir transfer olduğunu tespit ederseniz, lütfen dikkatli olun ve sakince kontrol edin ve gerekirse bizimle iletişime geçebilir veya buradan bir form gönderebilirsiniz.