小小斜槓工程師
小小斜槓工程師

我是個味覺白癡,味蕾分辨不出100塊的澳牛和1000塊的和牛差在哪裡,希望不要再打鐵了。 「打鐵」是指投籃不進,球打在籃框上就會聽到「噹」的一聲,就像鐵匠打鐵的聲音,有點引申為作白工的意思。 有拍盡力回拍,也歡迎關注,歡樂共享。

技術筆記 | 為何 Linkenin會成為詐騙溫床? 區塊鏈遊戲王者 (Axie Infinity) 的一堂價值6億美金的資安課程!

科技始終來自於人性,但詐騙巧妙地利用人性

圖片來源


前言

「科技始終來自於人性」這是知名手機廠商 Nokia 最廣為人知的一句廣告詞,很簡潔,但很深入人心,朗朗上口,時常被引用。最古老的詐騙手法,搬到現今的科技時代還是可以存活得下來,因為那些詐騙手法,巧妙地利用了人性的瑕疵及不完美


今年去中心化金融歷史上最大的搶劫案之一,就是使用 LinkedIn 上的工作機會,再透過精心設計的社交工程攻擊,盜走了價值 6.2 億美元的 Ether (ETH) 和 CircleUSD (USDC)。


Axie Infinity 是什麼?

Axie Infinity是一款基於區塊鏈技術的遊戲,讓玩家們可以在 Android 手機、iPhone 和 PC 上玩的遊戲。2018 年由越南開發商 Sky Mavis 推出,在 2020 年 11 月時將 AXS 代幣加入 Axie 生態系讓玩家可以透過在他們的平台上贏得戰鬥和錦標賽的勝利而取得 AXS 代幣和 SLP 代幣形式的獎勵而聲名大噪,進而引爆區塊鏈遊戲 (GameFi) 熱潮,帶領了一波 Play to Earn( 邊玩邊賺)的模式,成為史上首個「銷售額破10億美元」的區塊鏈遊戲,是所有區塊鏈同類型項目中的佼佼者。

Axie Infinity Shards (AXS) 是 Axie Infinity 平台背後的治理代幣,而 Smooth Love Potions (SLP) 是實用型代幣,AXS 代幣已從高點的160美元持續下跌,Axie Infinity的黑客事件後,跌破40美元,現在持續探底中。


LinkedIn 是什麼?

LinkedIn(領英) 是全球最大的商務社群網站,人們不但使用 LinkedIn 來找到合適的職缺或實習機會、建立人脈連結和強化專業關係,並且還可學習在職涯上所需要的技能、吸收產業最新資訊和開發業務機會


尤其是歐美國家的專業人士們,LinkedIn(領英)是他們找工作的第一選擇,而使用者也很容易可以跨區域地找到其它國家的工作機會,特別是近幾年來,新冠疫情的蔓延及擴散,LinkedIn(領英)幫助連結了更多人才及工作機會。


社交工程是什麼?

社交工程,英文為 Social Engineering,是以影響力或說服力來欺騙他人以獲得有用的資訊,這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。


社交工程攻擊往往是利用人性弱點,或是長期觀察受害者的習慣或喜好,因此受害者很容易就會落入社交工程攻擊的陷阱中。


詐騙過程

如果你聽說駭客們把你所有的資訊分門別類,放入一個有上百萬個條目的表格裡,凖備賣給出價最高的網絡罪犯時,你會作何反應呢?現今世界上有數以萬計的資料公開出來,方便相關利益單位或組職利用,而現在主流的方法是,各個不同平臺,使用API (Application Programming Interface)串接,用以抓取公開出來的資料,而惡意的駭客們可以使用這些公開資料,用於發動對高層目標(比如公司老闆)或有管理權限的帳號的駭客攻擊。


報導,駭客們在 LinkedIn 上創建了幾個非常有吸引力的工作機會,這些工作機會針對 Sky Mavis 團隊的開發人員發送,而Sky Mavis 團隊的一些成員,隨後回應了工作邀請,並參加了與 駭客們的視頻通話面試,這些面試的目的是取得開發人員的信任,隨後,通過電子郵件向參與面試的開發人員,發送了包含剩餘職位空缺資訊的完整 PDF,不過這些加工過後的 PDF,滲透了開發人員的機器,並為駭客獲取有價值的數位資產,最後竊取了6.2億美元的加密貨幣。


資安公司 ESET 發佈了一份調查,顯示朝鮮的駭客組職「Lazarus」使用 LinkedIn 和 WhatsApp,冒充人資人員,目標是航空航太和國防承包商,另一家網路安全公司 eSentire也表示,一隻名為「more_eggs」的惡意軟體正潛藏在冒充求職者的履歷中,假如企業人資人員打開履歷中的附件,惡意軟體將自動安裝,並開始進行滲透攻擊行為,根據 The Block Research 的資料,今年 DeFi 駭客攻擊的速度迅速加快,損失的資金總額超過 20 億美元。今年 1 月 1 日時,這個數字為 7.6 億美元,不論是像我們的專業人士、企業人資人員或招聘顧問們,在找尋工作機會或物色面試者時,都要比以往更睜大眼睛


要如何防止社交工程攻擊呢?

  1. 加強人員資安教育訓練
  2. 安裝端點或網路閘道端的防止社交工程攻擊軟體,以掃描所點選的連結是否為惡意連結。
  3. 不要直接開啟郵件中的附件,因為社交工程攻擊往往會偽造電子郵件夾帶惡意程式,可經由掃毒軟體掃描後,確保無惡意程式再進行開啟。
  4. 不要直接點選郵件中的連結,可以先平時使用之瀏覽器所儲存的正確官網進行確認。




希望本篇文章對您有幫助,如果覺得文章寫得不錯,歡迎追蹤、拍手、或分享給朋友們,真的想請我喝杯咖啡的話,點此贊助,也歡迎使用以下被動收入平台的推薦連結進行註冊,我們雙方都能獲取一些優惠回饋。


Honeygain: 最低出金需要 $20 美元,使用我的邀請頁面註冊可賺取$5美金,或填入我的推薦碼: DIO6989B18,您可立刻得到 $5 的獎勵,再選擇模式 JumpTask 模式,會有 50% 的加成。

CryptoTab Browser: 最低出金為 0.00001 BTC,,可以我的邀請連結註冊,我的推薦碼: 21840479。

LoadTeam: 最低出金需要 $1 美元,可以我的邀請頁面註冊,或輸入我的邀請碼:BDA7X36LZG,您可立刻得到 $0.20 的獎勵。


此篇文章為本人之個人看法和分享,文章內資料只供參考之用,並無意構成任何投資買賣的邀約或建議。



CC BY-NC-ND 2.0 版权声明

喜欢我的文章吗?
别忘了给点支持与赞赏,让我知道创作的路上有你陪伴。

加载中…
加载中…

发布评论