7月初，惡意軟件研究技術網Bleeping Computer發現了意在欺詐230萬比特幣錢包的可疑活動。攻擊者使用惡意軟件“剪貼板加密劫持”，當用戶使用剪切、復制和粘貼操作功能時，這種惡意軟件會讀取用戶剪貼板上的數據，并用攻擊者的錢包地址替換了受害者的錢包地址。該劫持軟件共監視了超過230萬個加密貨幣地址。

早在去年11月，卡巴斯基實驗室已經預測到了這種黑客攻擊的潛在可能，并且沒多久此類攻擊就成為現實。目前來說，這是竊取用戶信息或資產最普遍的攻擊方式之一。在惡意軟件攻擊中，針對個人帳戶和錢包的攻擊估計占總體的20%。此外。據Cointelegraph 7月12日報道，卡巴斯基實驗室指出，網絡犯罪分子在過去一年中通過社會工程攻擊[1]盜竊了21,000個以太坊，價值超過9000萬美元。

問題所在之處

上述提到的Bleeping Computer 門戶網站希望公眾提高計算機知識，鼓勵投資者至少遵循一些基本規則，以確保足夠的安全保護：

大多數技術支持問題不在于計算機，而在于用戶不知道構成所有計算問題的‘基本概念’，比如硬件、文件和文件夾、操作系統、互聯網和應用程序等概念。

許多加密貨幣專家都持有相同觀點。投資者和企業家Ouriel Ohayon在專門的Hackernoon博客中強調用戶的個人責任：

沒錯，你的資產由你掌控，但是為此你必須付出代價——對自己資產的安全負責。由于大多數人不是安全專家，新聞報道中的安全問題他們可能不了解。不過，我總是驚訝，為什么周圍有那么多人，甚至精通技術的人，都沒有采取基本的安全措施。

Autonomous Research研究中心的金融科技戰略總監Lex Sokolin表示，每年都有成千上萬的人落入克隆網站和普通網絡釣魚的陷阱，他們“自愿”向欺詐者發送2億美元的加密貨幣，而且永遠沒有找回的機會。

這些可以給我們帶來什么啟示?黑客之所以能夠成功攻擊加密錢包，他們利用的主要漏洞來自人們的疏忽和傲慢。

問題嚴重性：2.5億潛在受害者

美國公司Foley&Lardner進行的一項研究表明，71%大型加密貨幣交易商和投資者認為加密貨幣盜竊給市場帶來的負面影響最強，31%的受訪者認為黑客對全球加密貨幣行業活動的威脅非常高。

Hackernoon專家分析了2017年黑客攻擊的有關數據，并將黑客攻擊分為三大類別：

攻擊區塊鏈、加密貨幣交易所和ICO;

散布挖礦劫持軟件;

攻擊用戶錢包。

令人驚訝的是，Hackernoon發表的文章《揭秘黑客技巧》(Smart hacking tricks)似乎沒有得到廣泛普及。對于普通加密貨幣用戶而言，似乎顯而易見的警告必須一次又一次地重復，而加密貨幣持有者的數量預計到2024年將達到2億。

ING銀行和益普索的研究顯示，約9%歐洲人和8%美國居民擁有加密貨幣，25%的民眾計劃在近期購買數字資產。因此，約有25億潛在受害者可能會落入黑客的陷阱中。

下面，讓我們看看黑客會采取哪些手段攻擊錢包，以及我們如何保護自己的加密資產。

盜竊錢包方法一：手機中Google Play和App商店的應用程序

建議:

不要輕易安裝不常使用的移動應用程序

為智能手機上的所有應用程序添加雙因素授權標識

一定要檢查是否與官方網站上的應用程序鏈接一致(最好從官網上下載手機APP)

遭到黑客攻擊的受害者通常使用帶有安卓操作系統的智能手機，因為他們不使用雙因素身份驗證。要通過這種驗證，不僅需要提供密碼和用戶名，還需要提交只有用戶和系統知道的“暗號”，例如物理驗證標記等可以立即獲得的信息。《福布斯》認為，谷歌安卓的開放式操作系統易感染病毒，不如蘋果手機安全。黑客可以以某些加密貨幣資源的名義，將應用程序添加到Google Play商店。當下載、啟動該應用程序后，用戶為訪問帳戶會輸入敏感數據，從而給黑客訪問用戶賬戶并獲取信息的機會。

這類黑客攻擊最有名的的事件是，美國加密貨幣交易所Poloniex用戶在Google Play應用商店下載了黑客設置的Poloniex虛假手機版官網APP。事實上，Poloniex團隊沒有開發安卓版應用程序，其官網上沒有任何移動應用程序的鏈接。ESET惡意軟件分析師Lukas Stefanko表示，在Google Play刪除該假冒APP之前，已有5,500名交易者下載并受到該惡意軟件影響。

反過來，蘋果iOS系統用戶更容易在App Store下載隱藏挖礦劫持應用程序。蘋果公司甚至為此嚴控申請參入其商店的規則，以便阻止此類軟件的傳播。但是，這與前者在危害上完全不等價，挖礦只會減慢計算機操作速度，而侵入錢包的破壞是無法比擬的。

盜竊錢包方法二：Slack團隊協作平臺機器人

建議

報告Slack機器人(bots)活動并予以阻止

忽視機器人活動

使用Metacert或Webroot安全機器人，Avira防病毒軟件，甚至內置谷歌安全瀏覽功能來保護Slack通道

自2017年年中以來，竊取加密貨幣的Slack機器人不斷增加。常見的情況是，黑客創建一個機器人，通知用戶他們的密碼存在問題，繼而強制用戶點擊其鏈接并輸入私鑰。不過，這些機器人一出現，多就被用戶識破。即使加密社區通常做出快速反應，黑客也會設法賺一些錢。

黑客Slack攻擊的最成功的“案例”應該是Enigma集團。攻擊者借用Enigma名字，假稱進入ICO預售階段，在Slack平臺推出一個機器人，最終欺詐了總計50萬美元以太幣。

盜竊錢包方法三：加密貨幣交易插件

建議

使用單獨的瀏覽器進行加密貨幣操作

選擇隱身模式

不要下載任何加密插件

單獨使用一個電腦或智能手機，僅用于加密交易

下載防病毒軟件并安裝網絡保護

瀏覽器為方便用戶使用交易所和錢包，提供了各種自定義擴展界面。這些附加插件讀取你在使用互聯網時輸入的所有內容，不過真正問題甚至不在于此，而是這些擴展程序都是在JavaScript上開發的，這意味著它們極易受到黑客攻擊。近年來，隨著互聯網2.0的到來，Ajax和互聯網應用程序普遍使用的JavaScript，導致的漏洞普遍存在于組織中，尤其是印度企業。此外，黑客盯上了計算機算利，擴展應用可能存在隱藏挖礦。

盜竊錢包方法四：短信認證

建議：

關閉呼叫轉移，使攻擊者無法訪問你的數據

當用文本發送密碼時，禁止借助短信來驗證雙因素授權，而是使用雙因素識別軟件

許多用戶習慣選擇移動身份驗證，因為手機能隨時待命。網絡安全公司Positive Technologies已經證明，在全球范圍內通過七號信令系統(signaling System 7)協議用密碼確認來攔截短信是多么容易。專家們完全能夠使用工具劫持短信，即利用蜂窩網絡中的弱點攔截傳輸中的短信。該公司還用Coinbase帳戶作了示例展示，交易所的用戶對此都感到震驚。Positive Technologies表示，雖然一眼看上去，這像Coinbase的漏洞，但真正的弱點在于蜂窩系統本身。這證明了：即使使用雙重因素授權認證，也可以通過短信劫持直接訪問任何系統。

盜竊錢包方法五：公共Wi-Fi

建議：

即使使用VPN時，也不要通過公共Wi-Fi進行加密貨幣交易

定期更新路由器固件，因為硬件制造商會不斷更新防止密鑰替換的技術

去年10月，在使用路由器Wi-Fi保護訪問(WPA)協議中，發現了一個不可恢復的漏洞。執行基本KRACK攻擊(重新安裝密鑰的攻擊)后，用戶的設備會連接到黑客的Wi-Fi網絡。用戶通過網絡下載或發送的所有信息都可供攻擊者使用，包括加密錢包的私鑰。對于火車站、機場、酒店和大量人群出現地方的公共Wi-Fi，這個問題尤其迫切。

盜竊錢包方法六：克隆網站和網絡釣魚

建議：

永遠不在沒有HTPPS協議的加密貨幣相關網站交流互動

使用谷歌瀏覽器Chrome時，自定義顯示子菜單地址的擴展名

當收到任何與加密貨幣相關的資源消息時，將鏈接復制到瀏覽器地址欄，然后將其與原始站點地址進行比較

如果出現可疑情況，立即關閉窗口并刪除收件箱中的信件

自“互聯網革命”以來，人們已經知道這些古老卻典型的黑客攻擊方法，但是似乎它們仍然奏效。對于克隆網站，攻擊者拷貝原始網站所有內容，但網站地址缺少了一個字母。這樣做是為了引誘用戶訪問克隆網站并強制他們輸入帳戶密碼或密鑰。對于釣魚網站，攻擊者同樣復制官方項目電子郵件并發送給潛在受害者，但實際上只要你點擊鏈接并輸入個人數據，信息就被盜取。Chainalysis研究顯示，詐騙者已利用這種方法竊取了2.25億美元加密貨幣。

加密劫持、隱藏挖礦和常識

好消息是，由于有越來越多的聲音反對加密貨幣服務以及用戶自身水平的提高，黑客逐漸失去了“野蠻”攻擊錢包的興趣。不過，他們將焦點轉移到隱藏挖礦上。

根據邁克菲實驗室(McAfee Labs)研究數據，在2018年第一季度，全球共有290萬個用于隱藏挖礦的病毒軟件樣本，這比2017年最后一個季度增加了625%。這種方法也被稱為“加密劫持”。由于操作簡單，黑客大量使用此法，并放棄了傳統的攻擊方式勒索軟件。

壞消息是，黑客攻擊并沒有因此減少。網絡安全公司Carbon Black專家透露，截至2018年7月，暗網上大約有12,000個交易平臺，向黑客兜售約34,000種加密劫持軟件。在這樣的平臺上，惡意攻擊軟件的平均售價僅為224美元。

那么加密劫持軟件是怎么進入我們的電腦中的呢?讓我們回到本文最開始提到的“剪貼板加密劫持”。6月27日，有用戶開始在Malwarebytes論壇上留言稱：一個名為All-Radio 4.27 Portable的程序無意中安裝在他們的設備上，但是始終無法將其刪除。雖然這個軟件表面上是一個無害且受歡迎的內容查看器，但是實際上黑客早已將它修改為有害軟件。

這個軟件包里包含隱藏挖礦程序，但它只會減慢計算機的運行速度。而用于監控剪貼板的程序，已經收集了2,343,286個潛在受害者的比特幣錢包。這是黑客第一次展示如此龐大的加密貨幣所有者數據庫，而到目前為止，這些程序包含的替換地址非常有限。

在更換地址后，用戶“自愿”將資金轉移到攻擊者的錢包地址。要想保護資金不受此影響，唯一方法是在訪問網站時仔細檢查輸入的地址。雖然這有些麻煩，但是安全可靠，而且可能成為一種有用的習慣。

在詢問All-Radio 4.27 Portable受害者后，可以發現：惡意軟件都是由于人們不合理的操作行為而進入了計算機。正如Malwarebytes和Bleeping Computer專家們所發現的那樣，人們使用了程序和游戲的免費破解版，以及像KMSpico這樣的Windows激活器。也就是說，黑客選擇了那些有意識地違反版權和安全規則的用戶。

知名Mac惡意軟件專家帕特里克•瓦德爾(Patrick Wardle)經常在他的博客中寫道，許多針對普通用戶的病毒都非常愚蠢，而成為這種黑客攻擊的受害者也同樣愚蠢。因此，最后，我們想強調谷歌小企業顧問布萊恩•華勒斯(Bryan Wallace)的建議：

采用加密、防病毒軟件和多因素識別防范措施，只會在某種程度上保護你的資產安全。真正關鍵的是采取預防措施并掌握簡單的常識。

注釋：社會工程攻擊：一種欺詐他人以收集信息、行騙和入侵計算機系統的行為，通過與他人的合法地交流，使其心理受到影響，做出某些動作或者是透露一些機密信息的方式。包括木馬植入、群發誘導、釣魚技術、非交互式技術等。

關鍵詞：