在签署恶意许可后,价值数百万美元的资产因网络钓鱼攻击而丢失,因可疑链接而丢失加密资产的威胁是非常真实的。当这些与允许隐藏链接的平台配对时,用户将面临不同类型的风险。
9 月 4 日,Web3 安全提供商 Pocket Universe 分享了诈骗者如何能够在即时通讯平台 Discord 上的任何文本中隐藏钱包盗取链接。虽然一些用户报告说该功能最近才对Discord 用户启用,但在任何文本中嵌入链接的功能已经在许多不同的社交平台上提供了一段时间了。
Cointelegraph 联系了几位网络安全专业人士,详细了解用户如何保护自己免受此类攻击,以及平台如何提高安全性,使用户免受此类攻击。
Web3 安全公司 Forta Network 的常驻研究员 Christian Seifert 表示,自互联网诞生以来,这种类型的攻击一直是黑客的主要手段。
Seifert 认为,安全需要深入的防御方法。平台和用户都需要努力保护自己,从用户的角度来看,安全专家强调,他们可以使用一些插件来保护自己免受此类诈骗。
谈到 Discord,Seifert 指出,该平台确实在用户点击 URL 后提供有关该 URL 的真实目的地的信息。然而,该平台还允许用户“信任”未来的域名。塞弗特表示,诈骗者可能会滥用这一点。
这位网络安全专业人士表示,该平台当前实施的一个问题是链接和文本可能具有欺骗性并且与用户的期望不一致。如果文本链接明显类似于域名或 URL,并且与真实的目标 URL 不匹配,Discord 应该禁止此类链接。
与此同时,区块链安全公司 CertiK 的安全运营总监 Hugh Brooks 也表达了 Seifert 的一些观点。布鲁克斯表示,用户和平台负有警惕恶意行为者的集体责任。他解释说,平台必须不断审查和完善其安全功能,用户必须保持警惕并接受教育。
对于用户来说,布鲁克斯表示,在链接方面,尤其是在被要求签名和权限时,他们应该积极主动、谨慎行事。该高管敦促用户在允许其访问加密钱包之前验证该网站地址的真实性。布鲁克斯分享道:
一个好的做法是将网址与公认的网络钓鱼警告列表进行交叉检查。PhishTank、Google Safe Browsing 和 OpenPhish 以及 HTTPS Everywhere 等浏览器扩展和 uBlock 等广告拦截器都是宝贵的资源。
布鲁克斯解释说,这些工具可以在用户即将访问已知的网络钓鱼或恶意网站时实时发出警报。此外,只需将鼠标悬停在 URL 链接上,就会显示实际的网址,让用户在进一步参与之前确认其合法性。
在平台方面,网络安全专业人士表示,有一些措施可以实施,例如只能接收来自可信联系人的消息。布鲁克斯说,Meta 的Facebook Protect就是一个很好的例子,它可以让用户为其帐户提供增强的安全功能。
俗话说,唯一不变的就是变化。为了用户和平台的持续相关性,平台有责任将安全放在首位。这不仅涉及更新安全措施,还涉及在用户中培养警惕和意识的文化。
热门推荐
相关文章
