币安下载教程「钛媒体APP」

回望“币安惊魂夜”：钓鱼事件如何发生，用户又该如何防御？

钱安创始人赵昌鹏。通用域名格式。

    3月7日，著名的数字货币交易平台coinan遭到黑客攻击，导致全球数字货币价格大幅下跌。

    根据货币安全交易所的公告，31个账户被黑客入侵。在掌握了用户的帐户权限后，黑客利用机器挂起订单并进行编程高频交易，给用户带来了巨大损失。

币安下载教程

    最近有很多关于这件事的新闻，但大多数都是从事件本身开始的，包括对数字货币和交易平台的影响。

    最关键的一点没有提到：网络钓鱼事件是如何发生的？作为硬币安全的普通用户，我们应该如何防范此类攻击？

    一年前，中国学生报告了Unicode网络钓鱼漏洞。

币安下载教程

    在货币安全交易所发布的公告中，有人指出黑客在这次攻击中使用了“Unicode钓鱼技术”。这到底是什么？据估计，99%的记者不理解这一点。

    2017年4月14日，约翰·霍普金斯大学数学系学生郑旭东发表了一篇题为“Unicode域网络钓鱼”的论文，中文意思是“Unicode网站网络钓鱼”。本文提出了一种钓鱼的方法，多语言字符混合来欺骗用户的眼睛。

    安全专家告诉黑客，我们使用的浏览器是基于英语的，包括网站。起初，它只能解析英语，即所谓的Unicode代码。

    为了让浏览器支持多种语言，有人开发了punycode代码，它可以让浏览器“理解”世界上的其他语言，如汉语、俄语和韩语。

币安下载教程

    例如，如果你想访问苹果的网站，你必须进入苹果。Com最早是英文的Com；后来，中国的CNNIC、3721等公司相继开发了自己的插件，使浏览器能够支持“新浪网”、“百度网”等域名。Punycode相当于一个内置于主流浏览器中的语言插件（编码标准）。

    但是用puycode编码的网站会有问题，比如汉语拼音

    （看到n下面那两点了吗，那不是英文字母）。

半月前赵长鹏已收到警报，但未做处理。

    所谓的钓鱼攻击，本质上就是用户在一个“仿冒网站”上输入了自己的账号密码。

币安下载教程

    这个仿冒网站，要想针对性的投放到币安用户群中，黑客会使用一些精准化的投放手法，例如搜索引擎的广告投放、向币安用户发送钓鱼邮件、在电报群中点对点发送网址链接等。

    这些动作不能在短期内起效，如果交易所在安全监控上投入精力，是有可能早期发现、早期处理类似事件的。

可惜的，币安交易所并未做到。

    有微信截图显示，早在2月20日，有人向币安交易所创始人赵某发布了钓鱼警告，他表示问题已得到处理。从币安的后续措施来看，他并未把这个警告当真，至少没有向存在风险的用户发布警告，以求尽力挽回损失。

    白帽子M先生表示，针对此类unicode钓鱼，主流浏览器已经能够防御。在PC端，只要把浏览器升级到最新版本，就能解决一大部分威胁；在手机上，安装杀毒软件也能解决很多问题。如果是苹果手机，安装腾讯手机管家，iOS系统会调用其SDK，也能对钓鱼网址进行拦截。

    黑奇士查看币安网站，截至发稿，网站首页没有任何安全提醒。

普通用户应该如何防范此类钓鱼攻击？

    黑奇士提醒普通用户，可以采取如下措施，降低数字币交易的安全风险：

    1、无论手机端还是PC端，都必须安装杀毒软件，而且要安装套装。单纯“杀毒”，是无法解决钓鱼这样问题的，黑奇士推荐卡巴斯基的杀毒套装（付费版），国内的话，可以尝试腾讯安全管家或火绒杀毒软件（两者均为免费软件）。

    2、浏览器必须保持实时升级，事实上，uniode钓鱼过去已经一年，主流浏览器都应该打了补丁，对近似字符区别性显示。但国内有些换壳的浏览器，核心升级不如原版浏览器，这些可能存在安全问题。例如360浏览器、搜狗浏览器、猎豹浏览器，都可能存在此类问题。

    黑奇士推荐安装在线安装chrome浏览器。国内网站下载的full版chrome浏览器，升级功能受到限制，可能导致安全性能受损。

    3、对于普通小白用户，推荐使用密码管理器，软件会自动识别网址，在仿冒的网址上不会自动填入密码。但需要指出的是，这类密码管理器一旦被人入侵，所有密码都会被窃取。如何权衡风险和便利，还需要用户自己把握尺度。

    4、手机端下载交易所软件时，不要怕麻烦，一定要从官网下载，不要从国内的手机软件商店下载，那些软件可能存在仿冒、换皮等问题。

多个大交易所仍有漏洞。

    3月10日，有安全研究者在知乎表示，除了用户账户被窃之外，交易所的风控逻辑存在漏洞，也是这次攻击成功的关键。

    知乎网友“二子乘舟”在文章中推测，币安交易所并未采取真正的OTP（One-timePassword）逻辑。

    有币安受害者在国外网站表示，自己开启了币安最高等级的2FA认证。所谓2FA，就是在登陆账户的时候，除了账号名、密码需要正确之外，网站还会向你发送一个手机验证短信，验证成功才允许登陆，这个在业内叫二次验证。

    币安的逻辑漏洞在于，手机验证短信在30秒有效期内可以被二次使用：用户首先在币安使用，然后黑客再利用这条短信再次登陆，验证码仍然有效。

    而实际上，真正的OTP只允许一次登陆，即使在有效期之内，只要有人使用过一次，就会及时作废，防止黑客和用户同时异地登陆。

    根据“二子乘舟”的检验，包括火币、Bigone等著名交易所仍然存在OTP验证漏洞，可能会被黑客攻击。

（来源：知乎网友，二子乘舟）。

    顶象高级安全专家朱烨表示，如果防范措施得当，当黑客窃取了用户的密码，试图登陆币安网站或app时，可以对其进行设备指纹、常用登陆IP、交易行为等多维度的风险模型识别，一旦发现异常即可阻止。

    而且，根据币安的公告，黑客使用了机械化高频交易程序，控制被窃账户频繁交易。像这种行为，在拥有丰富传统金融安全经验的安全模型来说，对其进行防御轻而易举，有多种安全策略可以奏效。

安全路正长，诸君当努力。

    在黑奇士看来，现在无论什么行业，对于业务安全的需求都是有增无减。

    以区块链相关为例，币安交易所对应了传统的沪深交易所，从收入水平、业务规模上都几乎可以与其匹敌。但每年沪深交易所的安全投入都是以数十亿计，币安投入了多少，对安全能说足够重视吗？

    昨天，币安发布公告，悬赏25万美元捉拿黑客。

    我想说，这种作秀有意思吗，你把这25万美元放到安全防御上行不行？

    再次一点，你如果舍得丢脸，在2月20号收到警告的时候，官方发个安全公告，提醒用户小心钓鱼攻击，还会有后来的3.7惊魂吗？

一声叹息。

安全路正长，从业诸君当努力啊。

    更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App。