币安网创始人赵长鹏
文/黑奇士
3 月 7 日,知名数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。
根据币安交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。
这几天关于此事的新闻很多,但绝大多数都是从事件本身出发,对数字货币的影响、对交易平台的影响等。
最关键的一点没人提及:到底钓鱼事件是怎么发生的,作为币安的普通用户,我们应该如何防御此类攻击?
一年前,华裔学生报告 unicode 钓鱼漏洞
在币安交易所发布的公告中指出,本次攻击,黑客使用了 unicode 钓鱼手法 ,这个是什么鬼?估计 99% 的记者没看懂。
2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生 xudongzheng 发表了一篇论文,题目是《PhishingwithUnicodeDomains》,中文大意为 用 unicode 网址钓鱼 。文章中给出了一种钓鱼的方法,多语言字符混合来骗过用户的眼睛。
安全专家向黑奇士表示,咱们使用的浏览器,是以英文为基础的,包括网址在开始也是仅能解析英文,所谓的 unicode 编码。
为了让浏览器支持多语言,有人开发了 punycode 编码,这套编码可以让世界上其他的语言可以被浏览器 理解 ,比如中文、俄文、韩语。
例如,你要访问苹果网站,在最早你必须输入英文的 apple.com;后来中国的 cnnic、3721 等公司,相继开发了自己的插件,让浏览器支持 新浪.com 、 百度.com 这样的域名。Punycode 就相当于一款语言插件(编码标准),被内置在了主流浏览器当中。
但使用 puycode 编码的网址会有一个问题,比如中文拼音的 ,跟英文单词的u,看起来非常像(一个头上有两点,一个没有),但这套编码会识别成两个字母。
这就带来一种攻击:有人把各种语言的相似字母组合在一起,冒充知名网址。
本次币安的钓鱼攻击,就是有人把西里尔语字母,跟英文字母结合,冒充币安的网址。
黑奇士采访的资深白帽子M表示,即使是专业安全人士,如果对 web 安全不熟,面对这种钓鱼也很有可能上当。
(看到n下面那两点了吗,那不是英文字母)
半月前赵长鹏已收到警报,但未做处理
所谓的钓鱼攻击,本质上就是用户在一个 仿冒网站 上输入了自己的账号密码。
这个仿冒网站,要想针对性的投放到币安用户群中,黑客会使用一些精准化的投放手法,例如搜索引擎的广告投放、向币安用户发送钓鱼邮件、在电报群中点对点发送网址链接等。
这些动作不能在短期内起效,如果交易所在安全监控上投入精力,是有可能早期发现、早期处理类似事件的。
可惜的,币安交易所并未做到。
有微信截图显示,早在 2 月 20 日,有人向币安交易所创始人赵某发布了钓鱼警告,他表示问题已得到处理。从币安的后续措施来看,他并未把这个警告当真,至少没有向存在风险的用户发布警告,以求尽力挽回损失。
白帽子M先生表示,针对此类 unicode 钓鱼,主流浏览器已经能够防御。在 PC 端,只要把浏览器升级到最新版本,就能解决一大部分威胁;在手机上,安装杀毒软件也能解决很多问题。如果是苹果手机,安装腾讯手机管家,iOS 系统会调用其 SDK,也能对钓鱼网址进行拦截。
黑奇士查看币安网站,截至发稿,网站首页没有任何安全提醒。
普通用户应该如何防范此类钓鱼攻击?
黑奇士提醒普通用户,可以采取如下措施,降低数字币交易的安全风险:
1、无论手机端还是 PC 端,都必须安装杀毒软件,而且要安装套装。单纯 杀毒 ,是无法解决钓鱼这样问题的,黑奇士推荐卡巴斯基的杀毒套装(付费版),国内的话,可以尝试腾讯安全管家或火绒杀毒软件(两者均为免费软件)。
2、浏览器必须保持实时升级,事实上,uniode 钓鱼过去已经一年,主流浏览器都应该打了补丁,对近似字符区别性显示。但国内有些换壳的浏览器,核心升级不如原版浏览器,这些可能存在安全问题。例如 360 浏览器、搜狗浏览器、猎豹浏览器,都可能存在此类问题。
黑奇士推荐安装在线安装 chrome 浏览器。国内网站下载的 full 版 chrome 浏览器,升级功能受到限制,可能导致安全性能受损。
3、对于普通小白用户,推荐使用密码管理器,软件会自动识别网址,在仿冒的网址上不会自动填入密码。但需要指出的是,这类密码管理器一旦被人入侵,所有密码都会被窃取。如何权衡风险和便利,还需要用户自己把握尺度。
4、手机端下载交易所软件时,不要怕麻烦,一定要从官网下载,不要从国内的手机软件商店下载,那些软件可能存在仿冒、换皮等问题。
多个大交易所仍有漏洞
3 月 10 日,有安全研究者在知乎表示,除了用户账户被窃之外,交易所的风控逻辑存在漏洞,也是这次攻击成功的关键。
知乎网友 二子乘舟 在文章中推测,币安交易所并未采取真正的 OTP(One-timePassword)逻辑。
有币安受害者在国外网站表示,自己开启了币安最高等级的 2FA 认证。所谓 2FA,就是在登陆账户的时候,除了账号名、密码需要正确之外,网站还会向你发送一个手机验证短信,验证成功才允许登陆,这个在业内叫二次验证。
币安的逻辑漏洞在于,手机验证短信在 30 秒有效期内可以被二次使用:用户首先在币安使用,然后黑客再利用这条短信再次登陆,验证码仍然有效。
而实际上,真正的 OTP 只允许一次登陆,即使在有效期之内,只要有人使用过一次,就会及时作废,防止黑客和用户同时异地登陆。
根据 二子乘舟 的检验,包括火币、Bigone 等著名交易所仍然存在 OTP 验证漏洞,可能会被黑客攻击。
(来源:知乎网友,二子乘舟)
顶象高级安全专家朱烨表示,如果防范措施得当,当黑客窃取了用户的密码,试图登陆币安网站或 app 时,可以对其进行设备指纹、常用登陆 IP、交易行为等多维度的风险模型识别,一旦发现异常即可阻止。
而且,根据币安的公告,黑客使用了机械化高频交易程序,控制被窃账户频繁交易。像这种行为,在拥有丰富传统金融安全经验的安全模型来说,对其进行防御轻而易举,有多种安全策略可以奏效。
安全路正长,诸君当努力
在黑奇士看来,现在无论什么行业,对于业务安全的需求都是有增无减。
以区块链相关为例,币安交易所对应了传统的沪深交易所,从收入水平、业务规模上都几乎可以与其匹敌。但每年沪深交易所的安全投入都是以数十亿计,币安投入了多少,对安全能说足够重视吗?
昨天,币安发布公告,悬赏 25 万美元捉拿黑客。
我想说,这种作秀有意思吗,你把这 25 万美元放到安全防御上行不行?
再次一点,你如果舍得丢脸,在 2 月 20 号收到警告的时候,官方发个安全公告,提醒用户小心钓鱼攻击,还会有后来的 3.7 惊魂吗?
一声叹息。
安全路正长,从业诸君当努力啊。
