一名黑客利用用戶對知名品牌的信任,偽造 Google Chrome 的加密貨幣錢包擴展程序,誘騙受害者洩露敏感信息。
錢包供應商 MyCrypto 的安全總監哈里·丹利(Harry Denley)發現了這一偽造的錢包擴展程序。他在本週發佈的一份報告中指出,Google 目前已經從 Chrome 網上商店移除了 49 個偽裝成知名加密貨幣錢包的擴展程序。偽造擴展程序是基本的網絡釣魚行為。這些擴展程序會偽裝成合法錢包,將用戶輸入的個人信息,如私鑰和密碼,洩露給黑客。黑客會在幾秒之內取走所有餘額。
迄今為止,已經檢測到的偽造擴展程序聲稱是 Ledger、Trezor、Jaxx、Electrum、MyEtherWallet、MetaMask、Exodus 和 KeepKey 等加密貨幣錢包的擴展程序。丹利發送的測試代幣還沒有被提走。原因可能有兩點:黑客只能手動清空錢包,或者只對較大的餘額感興趣。
在 Chrome 網上商店,這類應用大多好評如潮,但這些好評都是用簡單或蹩腳的英語寫的。丹利指出,鑑於管理員郵箱有俄羅斯域名後綴,這名黑客有可能位於俄羅斯。
超過半數的惡意擴展程序聲稱自己是硬件錢包製造商 Ledger 的擴展程序,其次有 22% 的擴展程序聲稱自己是 MyEtherWallet。丹利在其報告中稱,為何黑客如此關注 Ledger ,原因尚不清楚。
當他被問及有什麼方法能防止黑客偽造新的擴展程序時,丹利告訴 CoinDesk :“目前還沒有好的方法,不過 Google 可以利用我們標記的 49 個擴展程序的數據來開發一些檢測程序 ——但是檢測程序可以被輕易繞過。”
“這些惡意擴展程序大多具有相同的結構和文件,可供我們進行分析。”丹利說,“我所想到的唯一可以減少受害者的方法是,通過教育和規範用戶行為來防止用戶向[用戶界面]輸入[敏感信息]。”
丹利之前就已強調過加密貨幣錢包中存在嚴重的安全威脅。去年,他撰寫了一篇論文,闡述了一個所謂安全的錢包供應商是如何將同樣的私鑰發送給多個用戶的。
早在 2 月,丹利就發現了假錢包。從那時起,被報道的網絡釣魚攻擊數量逐月呈指數級增長。由於黑客身份不明,他們有可能繼續無休止地偽造錢包擴展程序。
