偽セキュリティ専門家の詐欺を暴く

Author: Liz & Reborn

Background

昨日、あるユーザーがSlow Fogのセキュリティチームに連絡を取り、署名を取り消す方法を尋ねた。危険な認証。

このユーザーは、ウォレット内の認証の1つが取り消せず、何度クリックしても反応がなく、ウォレットのインターフェースに危険警告が表示されたと述べています。彼はまた、数年前にトークンのスワップ操作を承認したことを思い出しており、リスク警告は空のものではないと感じました。"text-align: left;">Slow Fogセキュリティチームは、ブロックブラウザと Revokeを使用して行を実施しましたが、スクリーンショットのアドレスに対する危険な認証レコードは見つかりませんでした。その直後、ユーザーはツールでのクエリの結果を示す別のスクリーンショットを送信しました。比較した結果、2つのスクリーンショットの住所は一致していなかった。そこで私たちは、関連する住所とともにツールへのリンクを提供するようユーザーに提案した。この時点で、ユーザーはまた疑問に思い始めました: 両方のアドレスに対して危険な権限を持っている可能性はないだろうか?

次に、ツール 署名チェッカー（http://signature[...]）を分析しました。land)を分析し、それを開くとすぐに、そのツールが実際にチェックするために秘密鍵を入力するユーザーをサポートしていることがわかりました。危険でないアドレスは、たとえ秘密鍵がこのページで入力されたとしても、危険でなければならない。

このフィッシング・ウェブサイトのページ・デザインが Revokeのインターフェース・スタイルとロゴに非常に似ていることは注目に値する。以下の画像は、Revokeの公式ウェブサイトのインターフェースです。

詐欺師から提供されたツールで両方のユーザーのアドレスを照会したところ、確かに危険な認証の記録があることがわかりました。しかし、暗闇の森のガイドラインの1つは、疑ってかかり、検証を続けることである。私たちはテストを続け、無作為にアドレスを貼り付けると、ツールはそのアドレスに危険な認可があることを示し、認可の時間が問い合わせの時間に非常に近いことを発見しました。これは、ユーザーに希望を与えると同時に、「今すぐキャンセルを急いでも大丈夫なはずだ」という切迫感を生み出すように設計されています。

テスト用の秘密鍵を入力して問い合わせたところ、「フォーマットエラー」と表示されましたが、入力した情報は送信されました。というメッセージが表示されました。

フィッシング・サイトのフロントエンド・コードを分析した結果、このフィッシング・サイトは情報を送信するためにEmailJS APIを使用し、さらにアドレスが本当に存在するかどうかをチェックするためにEtherscan APIを使用していることがわかりました。

これは EmailJSのAPIへのリクエストインターフェースです。abpulimali@gmail[.com)です。

この時点で、詐欺はかなりはっきりしている。ユーザーのフィードバックによると、詐欺師は最初、 Xプラットフォームのコメント欄やプライベートメッセージを通じて彼に接触し、会話の中で「あなたはフィッシング署名に署名した」と主張し、「認証取り消しツール」へのリンクを提供した。チャットの記録から、詐欺師はソーシャルエンジニアリングの技術に精通しており、意図的に未知のツールを前面に出し、よく知られた&....... "Revoke "と書いてある。一般的に、人々は表のリンクをクリックする傾向があり、そのアドレスが「本当に危険」であることがわかると、たとえRevokeと照合して異常が見られなかったとしても、Revokeがそれを認識しなかったのではないかと疑う。align: left;">詐欺師はまた、いわゆる「ハウツー・チュートリアル」を提供し、フィッシング・サイトの入力ボックスに秘密鍵をペーストするようユーザーを誘導する。

ユーザーは違いに気づいても協力しませんでしたが、詐欺師たちは諦めず、さらに圧力をかけて信用を得るために、ユーザーにスローフォグのセキュリティチームに相談するよう提案しました。警戒心の薄いユーザーの中には、相手がセキュリティ会社に確認を求めると聞いて警戒心を緩め、相手は詐欺師ではないと勘違いする者もいる。一方、詐欺師は、ユーザーが実際には確認しないことに賭けることが多く、さらには直接 @SlowMist_Team を詐欺のプロセスに巻き込み、セキュリティ会社を利用して自分たちを推薦しようとする。

幸いなことに、このユーザーは用心深かったため、相手に誘導されるままに秘密鍵を入力することはなく、率先してスローミストのセキュリティチームに連絡して状況を確認し、最終的に詐欺であることを確認して、資産の損失を免れることに成功しました。align: left;">複数のセキュリティ専門家のID

さらに調査したところ、詐欺師は Telegramで有名なチェーン探偵ZachXBTのアバターを盗んでいました。

利用者が協力し続けなかったため、詐欺師はその後、スローミストの従業員を装い、連絡を取って詐欺を続けようとしました。

詐欺師の Xアカウント（@Titanspace3）をチェックしてみよう。このアカウントは74,000人のフォロワーを持ち、2021年に登録されたが、2024年までアクティブにならなかった。セキュリティ研究者、セキュリティ企業、メディアダイナミクスを転送するアカウントコンテンツで、ブロックチェーンセキュリティ分野に焦点を当てていると主張し、明らかにアカウントを購入した。このようなアカウントの売買はグレーな業界では非常によくあることで、関連するコンテンツについては以前にも分析したことがあり、リアルとフェイクのプロジェクトサイド｜模造数が多いフィッシングのコメント欄には要注意です。

初期のツイートの言語スタイルや、ユーザーから提供された手がかりと合わせて、この詐欺師はインドネシア出身ではないかと推測されています。

現在もこのアカウントは Xプラットフォーム上で活動しており、常に「親切な注意喚起」という名目でメッセージを残し、Web3ユーザーにフィッシングリンクをクリックするよう誘導し、流出したリンクをクリックするよう誘い込んでいます。Web3の詐欺対策プラットフォームであるScam Snifferは、このサイトを悪意のあるサイトとしてフラグを立てました。

最後に書かれている

「認証リスク」ページの偽造から、セキュリティ会社の社員を装い、ユーザーに秘密鍵を段階的に漏らすよう誘導するものまで、この種の詐欺はますます巧妙になっています。詐欺師たちは、自分たちをプロフェッショナルに装っている限り、ほとんどの人はわざわざ確認しようとはせず、自分たちが作り出した「危機感」に導かれるだろうと考えています。"">いたずらをするセキュリティバナー。ブロックチェーンという暗い森の中で、資産セキュリティの最後の砦を守り続けるには、ゼロ・トラストの姿勢と継続的な検証意識を保つしかない。相手が誰であろうと、どんなに緊急な状況であると主張されようと、必ず冷静さを保ち、公式なルートで確認し、一時のパニックで秘密鍵やニーモニックを渡さないようにしてください。