クリプトフィッシングとは何ですか?どうすれば安全を保てますか?

クリプトフィッシングの定義

1. クリプト フィッシングは、ユーザーを騙して秘密キー、シード フレーズ、またはログイン資格情報を明らかにさせるために、正規の暗号通貨プラットフォーム、取引所、またはウォレット プロバイダーになりすますために脅威アクターによって使用される欺瞞的な手法です。

2. 攻撃者は多くの場合、MetaMask、Binance、Coinbase などの信頼できるサービスのデザインとブランドを、ファビコン、レイアウト、ドメイン スプーフィングで取得した SSL 証明書に至るまで反映した偽の Web サイトを展開します。

3. これらの詐欺サイトは、悪意のある SEO 操作により検索エンジンの結果に表示されたり、侵害されたソーシャル メディア アカウントや Telegram チャネルを通じて配布される可能性があります。

4. 偽造 dApp インターフェースで「ウォレットに接続」をクリックするなどの 1 つの間違いにより、ユーザーの資金に対する完全な制御を許可する不正な署名リクエストがトリガーされる可能性があります。

5. 従来の電子メールベースのフィッシングとは異なり、暗号フィッシングはブロックチェーン固有の動作、つまりトランザクションの署名、ウォレットの許可、一元的な監視を欠いた分散型アプリケーションの相互作用を頻繁に悪用します。

一般的な配信ベクトル

1. Telegram グループとチャネルはフィッシング リンクの主要な配布ハブとして機能し、詐欺師はプロジェクト管理者またはコミュニティ モデレーターを装い、偽のエアドロップ請求ページを配布します。

2. Phantom や Trust Wallet などの人気のウォレット ツールを模倣した偽のブラウザ拡張機能が非公式アプリ ストアで発見され、ウォレットの初期化中に悪意のあるスクリプトを挿入します。

3. 侵害された GitHub リポジトリには、監査対応テンプレートを装った隠しウォレット ドレイン ロジックを含む、変更されたオープンソース スマート コントラクト コードがホストされています。

4. 検索エンジン ポイズニングにより、ユーザーは、対話時にフィッシング ドメインにリダイレクトされるスクリプト タグが埋め込まれた、公式ドキュメント サイトのクローン バージョン (Ethereum.org または Solana Docs) に直接誘導されます。

5. Exchange サポート チームになりすました SMS および WhatsApp メッセージは、被害者に「不審なログイン」を通知し、偽造ポータルでの資格情報の即時の再入力を促します。

ウォレットレベルの悪用戦術

1. 悪意のある dApp は、ウォレット接続中に、複数のチェーンにわたるすべてのトークンへのアクセスを含む過剰な権限を要求します。この危険信号がユーザーによって精査されることはほとんどありません。

2. 署名フィッシング攻撃は、一見無害な署名メッセージを提示しますが、基礎となるペイロードは、攻撃者が制御するアドレスへの無制限のトークン転送を許可します。

3. ハードウェア ウォレット ユーザーも免責されていません。攻撃者は、偽の Ledger または Trezor 更新ページによって悪意のあるブートローダーの亜種をインストールするファームウェア アップグレード詐欺を展開しています。

4. シード フレーズの収集は、入力された単語をコマンド アンド コントロール サーバーにサイレントに送信しながら、ニーモニック検証をシミュレートする偽の回復ツールを通じて行われます。

5. localStorage に保存されているブラウザベースのウォレットは、侵害された DeFi 分析ダッシュボードに埋め込まれたクロスサイト スクリプティングの脆弱性を介して日常的に流出します。

適用する必要がある検証プロトコル

1. 機密情報を入力する前に、必ず正確な URL を確認してください。「binanace.com」や「metam4sk.io」などの小さなタイプミスであっても、フィッシング インフラストラクチャであることを示します。

2. 検索結果やサードパーティのリンクに頼るのではなく、公式ドメインを手動でブックマークします。未検証のソースからの短縮 URL をクリックしないでください。

3. すべてのトランザクションに対してハードウェア ウォレットの確認を有効にし、生の 16 進データまたはデコードされた意図を検査せずにブラインド署名を決して承認しないでください。

4. 契約アドレスを Etherscan、Solscan、または Explorer.solana.com の検証済みエントリと照合します。ウォレット インターフェイスに表示されるアドレス ラベルだけを信頼しないでください。

5. Google セーフ ブラウジング API 統合やブラウザ拡張機能などのドメイン レピュテーション ツールを使用して、既知のフィッシング ドメインにリアルタイムでフラグを立てます。

よくある質問

Q1.フィッシング サイトはページをロードするだけで私の秘密キーを盗むことができますか?はい。一部の悪意のあるサイトは、クリップボードの内容をスキャンして 12 語または 24 語のフレーズを検出し、検出された場合は自動送信する JavaScript を実行します。

Q2.ハードウェア ウォレットはあらゆる形態の暗号通貨フィッシングから保護しますか?いいえ。ユーザーが偽の回復インターフェイスにシード フレーズを手動で入力したり、悪意のあるトランザクション署名を承認したりした場合、ハードウェア ウォレットは保護を提供しません。

Q3.公衆 Wi-Fi ネットワークでウォレット拡張機能を使用しても安全ですか?いいえ、パブリック ネットワークでは拡張トラフィックが中間者による傍受にさらされ、セッション ハイジャックやウォレット接続のリダイレクトが可能になります。

Q4.攻撃者はどのようにしてフィッシング ドメイン用の正規に見える SSL 証明書を入手するのでしょうか?公式名によく似た名前でドメインを登録し、Let's Encrypt などの自動認証局を使用して有効な HTTPS 証明書を発行するため、目視検査では不十分です。