比特幣回暖後...你不可不小心這3種新的詐騙手法
合作媒體:金色財經
區塊鏈大本營 -CSDN-App / 何渝婷編譯 2019-06-20 10:35

有句老話說得好,人怕出名豬怕肥。隨著最近加密貨幣市場的回暖,消停了一陣子的犯罪分子們又出來作妖了。 

 

這一次犯罪分子們的攻勢來得更加猛烈,他們不僅分析了投資者的心理,還增強了詐騙活動的技術能力。新的一波詐騙襲來,你躲得過嗎?

 

近期,比特幣又迎來了自己的春天,比特幣價格強勢反彈,一路高歌達到了8000美元,這還不是全部,根據加拿大投資銀行、財富管理公司Canaccord Genuity的預測,這一波比特幣牛市並不是暫時的,在未來兩年中比特幣價格將迎來一波新的高潮。

 

牛市當頭,心中樂開了花的不只有那些勒緊褲腰帶熬過加密貨幣寒冬的投資者,在寒冬中消停了一陣的犯罪分子也開始躍躍欲試,希望重拾比特幣犯罪的舊業。在並不遙遠的過去,空氣幣 ICO、虛假的加密貨幣兌換、加密貨幣產業的龐氏騙局,一直是莊家割投資者韭菜的慣用伎倆。

 

而在現在,這些騙局中又出現了很多新花樣,犯罪分子紛紛引入惡意軟體來提升詐騙的技術能力,下面我們用事例來剖析犯罪分子3種新的詐騙手法。

 

透過推送勒索軟體進行比特幣詐騙

 

2019年5月下旬,安全人員察覺到一種勒索軟體正在大規模傳播,這個勒索軟體打著「比特幣收集器」這種正常應用程式的幌子,而偽裝之下實則是在竊取個人資訊。

 

犯罪分子們承諾,用戶只需要簡單地運行軟體,不需要任何附加條件就可以輕鬆地賺取價值15-30美元的比特幣。

 

此外,犯罪分子們還承諾,用戶只需要分享個人的邀請連結,將1000名新用戶導流到該網站中,就可以獲得3個以太幣(價值735美元)的獎勵。 

 

詐騙網站的主頁

 

幾乎不需要付出什麼就能立刻獲得加密貨幣獎勵,用戶很難抵擋這種天上掉餡餅的誘惑,因而紛紛上鉤。用戶點擊繼續按鈕就會轉發比特幣收集器這款應用程式的下載連結。

 

為了增強騙局的可信度從而打消用戶的疑慮,下載頁面上給出了惡意軟體分析服務VirusTotal的連結以證明比特幣收集器安全無毒。當然了,這個虛構的安全性檢測只是為了騙人。

 

用戶在點擊下載連結後,會自動下載一個ZIP壓縮文件。這個ZIP文件會解壓出很多文件,其中有一個名為 BotCollector.exe 的文件,用戶需要運行它來獲得比特幣獎勵。

 

事實上,這個文件就是一個潘多拉盒,它會啓動一個名為 「 Freebitco.in — Bot 」 的應用程式,並觸發最終的惡意軟體。

 

在大多數情況下,被觸發的是一個名為 Marozka Tear 的勒索軟體,這個勒索軟體會搜尋受害者主機上的私人文件,並將它們加密成 .Crypted 格式,然後它會給受害者留下勒索信,告訴受害者只有支付贖金才能拿到如何恢復數據的進一步說明。

 

這和2017年肆虐全球的勒索軟體WannaCry完全是一個套路,但不幸中的萬幸是,這個勒索軟體的底層是臭名昭著的開源勒索軟體Hidden Tear,而國外大神Michael Gillespie早已給出了勒索軟體的解密方式,這意味著受害者並不需要支付贖金就能取回數據。

 

國外大神給出了支持Hidden Tear的工具集

 

而另一批受害者就沒有這麼幸運了,比特幣收集器還有可能會觸發竊取受害者資訊的惡意軟體Baldr。一旦Baldr開始運行,它會連接到犯罪分子的C2服務器,並等待在受害者主機上竊取哪些資訊的指令。 

 

Baldr在資訊竊取方面非常強大,它可以竊取受害者主機上的網站登錄記錄、瀏覽器歷史記錄,除此之外,它還可以竊取任意格式的文件,甚至還可以截取當前的螢幕截圖。

 

這種特洛伊木馬一樣的強大攻擊手段,以至於勒索軟體Marozka Tear在Baldr面前都是小巫見大巫。

 

使用YouTube影片傳播比特幣騙局 

 

另一批活躍在 YouTube 上的犯罪分子,將目光鎖定在那些想要快速、簡便地獲取加密貨幣收益的用戶身上。

 

犯罪分子會在YouTube的影片中,宣傳名為比特幣產生器的軟體,該軟體號稱可以讓用戶輕鬆賺取比特幣。與上面所說的傳銷式拉人頭的傳播方案不同,這種騙局主要依賴YouTube的影片傳播,在影片中犯罪分子們將比特幣產生器稱作有史以來最好的投資機會,並給出了該軟體的下載連結。

 

然而,這些說法只不過是一種煙霧彈,用戶點擊連結下載到的實際上是名為Qulab的木馬程式,該木馬中的核心部分被托管在加密雲端儲存平台 pCloud 中。

 

木馬程式埋藏在影片的描述中:

 

 

用戶一旦點擊這些影片就會跳轉到Setup.exe file:

 

 

當Qulab木馬被激活後,它會對主機進行徹底地掃描。Qulab木馬鐘情於竊取受害者主機上網站和遊戲平台(如 Steam和遊戲語言軟體Discord)的登錄憑據(login credential,可以理解為帳號和密碼)。它還會搜索 FileZilla FTP 應用程式,以獲取受害者保存的身份認證數據,竊取瀏覽器的Cookies (可以理解為瀏覽器的數據)和加密貨幣錢包資訊。

 

Qulab 木馬最令人恐懼的一個功能,就是它可以篡改Windows操作系統的剪貼簿,也就是說它會監測受害者複製到剪貼簿上的資訊,並可能會悄無聲息地篡改它。

 

你可能會覺得這並沒有什麼可擔心的,但對加密貨幣用戶來說,剪貼簿可謂是一個死穴。

 

設想一下,當你需要發起一筆加密貨幣交易時,你大概不會手動輸入動輒二三十位且毫無規律的收款人網址,大家通常都會想省事,直接將網址複製過來,而此時 Qulab 木馬發現你正在複製一個加密貨幣網址,它會悄悄地將其替換為犯罪分子控制的帳戶,如果你不仔細檢查,你的這筆交易就相當於給犯罪分子交了學費。

 

主要混幣服務網站的關停,讓犯罪分子的處境越發艱難

 

犯罪分子都這麼囂張了,難道各國政府都毫無作為嗎?並沒有這樣,政府從犯罪分子得手後的洗錢環節入手,對他們展開了精確打擊。

 

在2019年5月,荷蘭金融情報和調查服務局(FIOD)與歐洲刑警組織、盧森堡當局展開密切合作,取締了世界上最大的比特幣混幣服務平台之一BestMixer.io。這次行動成功的背後,離不開荷蘭執法部門與邁克菲安全公司合作進行的近一年調查。

 

我們都知道,像比特幣這樣的加密貨幣,並沒有做到真正的匿名性,準確地說它們只做到了化名性,所以說執法部門可以透過追蹤加密貨幣贓款的流向來找出犯罪分子。

 

正如西方諺語所說:隱藏樹葉的最佳地點是森林,隱藏水滴的最佳地點是大海,對此,犯罪分子通常會使用混幣服務將不義之財的轉移,混在一大堆加密貨幣交易中以隱藏這些贓款的來源,從而混淆監管的視線。

 

據報導,混幣服務平台BestMixer.io自2018年5月推出以來,一年的營業額達了2億美元。根據執法部門的調查結果,這一數額中的很大一部分都是來路不明的黑錢。

 

在這次反洗錢行動中,執法部門共緝獲了六台用來提供混幣服務的服務器,從而斬斷了犯罪分子洗白贓款的渠道,可以想像,目前犯罪分子一定是焦頭爛額,到手的不義之財已經成了燙手山芋,他們急切地需要新的混幣服務平台來轉移贓款。

 

面對比特幣詐騙如何自我保護

 

當下比特幣詐騙形式十分嚴峻,在這裡強烈建議:投資機構和普通用戶在決定交易策略,以及參與任何高回報的區塊鏈投資之前,一定要嚴格審查投資對象的聲譽,並仔細閱讀投資合約的細則以發覺潛在的風險,有條件的話可以向產業內的專業人士尋求建議。

 

對於普通用戶來說,那些承諾即時收益的各種比特幣「生成器」和「收集器」,往往都沒有什麼成熟的商業模式,因而它們很有可能是經過偽裝的勒索軟體和間諜軟體。

 

對於企業來說,企業應該避免投資那些承諾高利潤且快速給予回報的比特幣項目,因為這些都是ICO退出騙局和加密貨幣傳銷的典型特徵。

 

總而言之,面對誘惑時要記得天上不會掉餡餅,高收益的背後必然意味著高風險,如果某種加密貨幣的投資看起來好得令人難以置信,最好的投資策略就是遠離它。

 

本文為金色財經授權刊登,原文標題為「警惕丨比特幣回暖 3種新的詐騙手法又出現