回望“幣安驚魂夜”：釣魚事件如何發生，使用者又該如何防禦？

釣魚事件是什麼原因

幣安網創始人趙長鵬

3月7日，知名數字貨幣交易平臺幣安遭到駭客攻擊，此次攻擊造成全球數字幣價格大跌。

根據幣安交易所的公告，有31個賬戶遭到駭客的釣魚入侵，駭客在掌握使用者的賬戶許可權之後，使用機器掛單，進行程式化高頻交易，給使用者帶來巨大損失。

這幾天關於此事的新聞很多，但絕大多數都是從事件本身出發，對數字貨幣的影響、對交易平臺的影響等。

最關鍵的一點沒人提及：到底釣魚事件是怎麼發生的，作為幣安的普通使用者，我們應該如何防禦此類攻擊？

一年前，華裔學生報告unicode釣魚漏洞

在幣安交易所釋出的公告中指出，本次攻擊，駭客使用了“unicode釣魚手法”，這個是什麼鬼？估計99%的記者沒看懂。

2017年4月14日，在約翰霍普金斯大學研究數學的學生xudong zheng發表了一篇論文，題目是《Phishing with Unicode Domains》，中文大意為“用unicode網址釣魚”。文章中給出了一種釣魚的方法，多語言字元混合來騙過使用者的眼睛。

安全專家向黑奇士表示，咱們使用的瀏覽器，是以英文為基礎的，包括網址在開始也是僅能解析英文，所謂的unicode編碼。

為了讓瀏覽器支援多語言，有人開發了punycode編碼，這套編碼可以讓世界上其他的語言可以被瀏覽器“理解”，比如中文、俄文、韓語。

例如，你要訪問蘋果網站，在最早你必須輸入英文的apple。com；後來中國的cnnic、3721等公司，相繼開發了自己的外掛，讓瀏覽器支援“新浪。com”、”“百度。com”這樣的域名。Punycode就相當於一款語言外掛（編碼標準），被內建在了主流瀏覽器當中。

但使用puycode編碼的網址會有一個問題，比如中文拼音的 ü，跟英文單詞的u，看起來非常像（一個頭上有兩點，一個沒有），但這套編碼會識別成兩個字母。

這就帶來一種攻擊：有人把各種語言的相似字母組合在一起，冒充知名網址。

本次幣安的釣魚攻擊，就是有人把西里爾語字母，跟英文字母結合，冒充幣安的網址。

黑奇士採訪的資深白帽子M表示，即使是專業安全人士，如果對web安全不熟，面對這種釣魚也很有可能上當。

（看到n下面那兩點了嗎，那不是英文字母）

半月前趙長鵬已收到警報，但未做處理

所謂的釣魚攻擊，本質上就是使用者在一個“仿冒網站”上輸入了自己的賬號密碼。

這個仿冒網站，要想針對性的投放到幣安使用者群中，駭客會使用一些精準化的投放手法，例如搜尋引擎的廣告投放、向幣安使用者傳送釣魚郵件、在電報群中點對點發送網址連結等。

這些動作不能在短期內起效，如果交易所在安全監控上投入精力，是有可能早期發現、早期處理類似事件的。

可惜的，幣安交易所並未做到。

有微信截圖顯示，早在2月20日，有人向幣安交易所創始人趙某釋出了釣魚警告，他表示問題已得到處理。從幣安的後續措施來看，他並未把這個警告當真，至少沒有向存在風險的使用者釋出警告，以求盡力挽回損失。

白帽子M先生表示，針對此類unicode釣魚，主流瀏覽器已經能夠防禦。在PC端，只要把瀏覽器升級到最新版本，就能解決一大部分威脅；在手機上，安裝防毒軟體也能解決很多問題。如果是蘋果手機，安裝騰訊手機管家，iOS系統會呼叫其SDK，也能對釣魚網址進行攔截。

黑奇士檢視幣安網站，截至發稿，網站首頁沒有任何安全提醒。

普通使用者應該如何防範此類釣魚攻擊？

黑奇士提醒普通使用者，可以採取如下措施，降低數字幣交易的安全風險：

1、無論手機端還是PC端，都必須安裝防毒軟體，而且要安裝套裝。單純“防毒”，是無法解決釣魚這樣問題的，黑奇士推薦卡巴斯基的防毒套裝（付費版），國內的話，可以嘗試騰訊安全管家或火絨防毒軟體（兩者均為免費軟體）。

2、瀏覽器必須保持實時升級，事實上，uniode釣魚過去已經一年，主流瀏覽器都應該打了補丁，對近似字元區別性顯示。但國內有些換殼的瀏覽器，核心升級不如原版瀏覽器，這些可能存在安全問題。例如360瀏覽器、搜狗瀏覽器、獵豹瀏覽器，都可能存在此類問題。

黑奇士推薦安裝線上安裝chrome瀏覽器。國內網站下載的full版chrome瀏覽器，升級功能受到限制，可能導致安全效能受損。

3、對於普通小白使用者，推薦使用密碼管理器，軟體會自動識別網址，在仿冒的網址上不會自動填入密碼。但需要指出的是，這類密碼管理器一旦被人入侵，所有密碼都會被竊取。如何權衡風險和便利，還需要使用者自己把握尺度。

4、手機端下載交易所軟體時，不要怕麻煩，一定要從官網下載，不要從國內的手機軟體商店下載，那些軟體可能存在仿冒、換皮等問題。

多個大交易所仍有漏洞

3月10日，有安全研究者在知乎表示，除了使用者賬戶被竊之外，交易所的風控邏輯存在漏洞，也是這次攻擊成功的關鍵。

知乎網友“二子乘舟”在文章中推測，幣安交易所並未採取真正的OTP（One-time Password）邏輯。

有幣安受害者在國外網站表示，自己開啟了幣安最高等級的2FA認證。所謂2FA，就是在登陸賬戶的時候，除了賬號名、密碼需要正確之外，網站還會向你傳送一個手機驗證簡訊，驗證成功才允許登陸，這個在業內叫二次驗證。

幣安的邏輯漏洞在於，手機驗證簡訊在30秒有效期內可以被二次使用：使用者首先在幣安使用，然後駭客再利用這條簡訊再次登陸，驗證碼仍然有效。

而實際上，真正的OTP只允許一次登陸，即使在有效期之內，只要有人使用過一次，就會及時作廢，防止駭客和使用者同時異地登陸。

根據“二子乘舟”的檢驗，包括火幣、Bigone等著名交易所仍然存在OTP驗證漏洞，可能會被駭客攻擊。

（來源：知乎網友，二子乘舟）

頂象高階安全專家朱燁表示，如果防範措施得當，當駭客竊取了使用者的密碼，試圖登陸幣安網站或app時，可以對其進行裝置指紋、常用登陸IP、交易行為等多維度的風險模型識別，一旦發現異常即可阻止。

而且，根據幣安的公告，駭客使用了機械化高頻交易程式，控制被竊賬戶頻繁交易。像這種行為，在擁有豐富傳統金融安全經驗的安全模型來說，對其進行防禦輕而易舉，有多種安全策略可以奏效。

安全路正長，諸君當努力

在黑奇士看來，現在無論什麼行業，對於業務安全的需求都是有增無減。

以區塊鏈相關為例，幣安交易所對應了傳統的滬深交易所，從收入水平、業務規模上都幾乎可以與其匹敵。但每年滬深交易所的安全投入都是以數十億計，幣安投入了多少，對安全能說足夠重視嗎？

昨天，幣安釋出公告，懸賞25萬美元捉拿駭客。

我想說，這種作秀有意思嗎，你把這25萬美元放到安全防禦上行不行？

再次一點，你如果捨得丟臉，在2月20號收到警告的時候，官方發個安全公告，提醒使用者小心釣魚攻擊，還會有後來的3。7驚魂嗎？

一聲嘆息。

安全路正長，從業諸君當努力啊。

更多精彩內容，關注鈦媒體微訊號（ID：taimeiti），或者下載鈦媒體App