一名黑客利用用户对知名品牌的信任,伪造 Google Chrome 的加密货币钱包扩展程序,诱骗受害者泄露敏感信息。
钱包供应商 MyCrypto 的安全总监哈里·丹利(Harry Denley)发现了这一伪造的钱包扩展程序。他在本周发布的一份报告中指出,Google 目前已经从 Chrome 网上商店移除了 49 个伪装成知名加密货币钱包的扩展程序。伪造扩展程序是基本的网络钓鱼行为。这些扩展程序会伪装成合法钱包,将用户输入的个人信息,如私钥和密码,泄露给黑客。黑客会在几秒之内取走所有余额。
迄今为止,已经检测到的伪造扩展程序声称是 Ledger、Trezor、Jaxx、Electrum、MyEtherWallet、MetaMask、Exodus 和 KeepKey 等加密货币钱包的扩展程序。丹利发送的测试代币还没有被提走。原因可能有两点:黑客只能手动清空钱包,或者只对较大的余额感兴趣。
在 Chrome 网上商店,这类应用大多好评如潮,但这些好评都是用简单或蹩脚的英语写的。丹利指出,鉴于管理员邮箱有俄罗斯域名后缀,这名黑客有可能位于俄罗斯。
超过半数的恶意扩展程序声称自己是硬件钱包制造商 Ledger 的扩展程序,其次有 22% 的扩展程序声称自己是 MyEtherWallet。丹利在其报告中称,为何黑客如此关注 Ledger ,原因尚不清楚。
当他被问及有什么方法能防止黑客伪造新的扩展程序时,丹利告诉 CoinDesk :“目前还没有好的方法,不过 Google 可以利用我们标记的 49 个扩展程序的数据来开发一些检测程序 ——但是检测程序可以被轻易绕过。”
“这些恶意扩展程序大多具有相同的结构和文件,可供我们进行分析。”丹利说,“我所想到的唯一可以减少受害者的方法是,通过教育和规范用户行为来防止用户向[用户界面]输入[敏感信息]。”
丹利之前就已强调过加密货币钱包中存在严重的安全威胁。去年,他撰写了一篇论文,阐述了一个所谓安全的钱包供应商是如何将同样的私钥发送给多个用户的。
早在 2 月,丹利就发现了假钱包。从那时起,被报道的网络钓鱼攻击数量逐月呈指数级增长。由于黑客身份不明,他们有可能继续无休止地伪造钱包扩展程序。
