Web3社会工学攻撃は、ソーシャルエンジニアリングを使用して、ユーザーに機密情報を漏洩させるよう誘導したり、ユーザーに承認を求めたり、ユーザーの暗号通貨やNFTアセットを転送させるよう誘導したりする手法です。これにより、Web3ネットワークのセキュリティとプライバシーが危険にさらされることとなります。以下では、6種類のソーシャルエンジニアリング攻撃を紹介し、具体的な予防策を提供します。

1. 1. Discord フィッシング

Discordは、暗号化されたユーザーの繁栄するハブとして台頭し、コミュニティのつながりとニュースの共有を促進しています。しかし、その人気があるからといって、潜在的な脅威から免疫を得るわけではありません。このダイナミックな空間では、悪意のある行為者があなたの貴重なアカウント資格情報を盗むことを目的とした疑わしいリンクをこっそりと配布することがあります。

Discordコミュニティでは、賞を獲得したと主張するメッセージに出会うかもしれませんが、実際には偽装されたフィッシングリンクです。

リンクをクリックすると、Discordのようなウェブサイトに移動し、承認を求められます。

Authorizeをクリックすると、別のDiscordログインウィンドウが表示されます。

最初に、このログインウィンドウを現在のブラウザウィンドウの外にドラッグすることはできません。

第二に、表示されているアドレスには怪しい兆候があります。アドレス「https:\discord.com\login」はバックスラッシュ（\）を使用して接続していますが、公式のログインアドレスは「https://discord.com/login「/」を使用してナビゲートします。

ウィンドウページは、合法的なDiscordログインウィンドウと非常に似ており、ほとんど違いがありません。公式のログインウィンドウの画像は以下の通りです。

ユーザーがフィッシングページでアカウントのユーザー名とパスワードを入力すると、個人アカウントが直ちに漏洩し、機密情報が公開されます。その後、詐欺師はこの情報を使用してユーザーアカウントに不正アクセスし、詐欺行為を行うことができます。

ブラウザの開発者モードでウェブページのソースコードをチェックする

ブラウザの開発者モードを通じて、Webページのソースコードを確認できます。

上記のフィッシングプロセスでは、承認をクリックした後、ポップアップする偽のDiscordログインウィンドウは実際には新しいウィンドウではなく、埋め込まれたインターフェースです。これをどのように発見できますか？

F12キーを押して、ブラウザの開発者モードに入ります。Elementsタブでは、現在のWebページのHTMLとCSSコードを表示できます。このようなポップアップDiscordログインウィンドウなど、疑わしいページの一部にマウスでクリックし、通常、Elementsパネルで対応するコードを見つけることができます。

ページソースコードをチェックすると、これが画像をウェブページに挿入するために使用されるタグであり、srcは画像のパスを指定するために使用されています。

公式Discordログインウィンドウから、以下の図に示すように、ブラウザの開発者モードに入力します。

したがって、異常を見つけた場合は、F12を押してブラウザの開発者モードに入り、ページのソースコードを表示して、疑念が正しいかどうかを確認することができます。特に、報酬を受け取るために馴染みのないリンクをクリックした場合は、疑念と注意を持って、すべてのステップに取り組むべきです。

2. Twitterフィッシング

ツイッター（現在X）で、暗号通貨愛好家向けの人気プラットフォームで、重大な脅威が現れました-フィッシング。悪意のある行為者は、誘人的なエアドロップや無料のNFTでユーザーを巧みに操作します。これらの攻撃者は、欺くウェブサイトにリダイレクトすることで、暗号通貨や貴重なNFT資産の損失を綿密に計画しています。

エアドロップと無料のNFTは多くの人々の大きな関心を集めています。詐欺師は乗っ取られた確認済みのTwitterアカウントを悪用してキャンペーンを展開し、ユーザーをフィッシングウェブサイトに誘導します。

詐欺師は、正当なNFTプロジェクトから資産を使用してフィッシングウェブサイトを作成します。

彼らはLinktreeなどの人気サービスを活用して、OpenSeaやMagic EdenなどのNFTマーケットプレイスを模倣した偽のページにユーザーをリダイレクトします。

攻撃者は、ユーザーに対して彼らの暗号通貨ウォレット（MetaMaskやPhantomなど）をフィッシングサイトに接続するよう説得しようとします。警戒していないユーザーは、これらのフィッシングサイトにウォレットへのアクセス権を知らず知らずに与えてしまうかもしれません。このプロセスを通じて、詐欺師はEthereum（$ETH）やSolana（$SOL）などの暗号通貨、およびこれらのウォレットに保持されているNFTなどを転送することができます。

Linktree上の怪しいリンクに注意してください

ユーザーがLinktreeやその他類似のサービスに関連リンクを追加する際は、リンクのドメイン名を検証する必要があります。リンクをクリックする前に、リンクされたドメイン名が実際のNFTマーケットのドメイン名と一致していることを確認してください。詐欺師は類似のドメイン名を使用して実際の市場を模倣することがあります。例えば、実際の市場はopensea.ioであり、偽の市場はopenseea.ioやopensea.com.coなどである可能性があります。

したがって、ユーザーはリンクを手動で追加することを選択するのが最適です。以下はリンクを手動で追加する手順です。

最初に、リンクしたい公式ウェブサイトのアドレスを見つける必要がありますhttps://opensea.io/, そしてURLをコピーしてください。

Linktreeで「リンクを追加」をクリックし、コピーしたばかりのURLを入力し、「追加」ボタンをクリックします。

追加が成功すると、右側に「Opensea」と表示されます。 「Opensea」をクリックして、公式Openseaウェブサイトにリダイレクトします。

3. Web Spoofing / Phishing

ここでは、攻撃者が公式のOpenAIウェブサイトを偽装し、ユーザーを騙して自分自身の暗号通貨ウォレットに接続させ、暗号通貨やNFTの損失を招くためにフィッシングウェブサイトドメインを構築する方法を説明します。

詐欺師は、「限定のOpenAI DEFIトークンのエアドロップを見逃さないでください」という件名のフィッシングメールやリンクを送信します。フィッシングメールには、GPT-4は今、OpenAIトークンを所有している人だけに利用可能であると主張しています。

「Start」ボタンをクリックすると、フィッシングサイトopenai.com-token.infoにリダイレクトされます。

あなたのウォレットをフィッシングサイトに接続してください。

ユーザーは、「クリックして請求する」ボタンをクリックするよう誘われ、クリックすると、MetaMaskやWalletConnectなどの人気のある暗号通貨ウォレットを使用して接続することが選択できます。

接続が確立された後、フィッシングウェブサイトはユーザーのウォレット内のすべての暗号通貨トークンやNFTアセットを自動的に攻撃者のウォレットに移動することができ、それによってウォレット内のすべての資産を盗むことができます。

本物と偽物のドメイン名を認識する

URLでドメイン名を識別する方法を知っていれば、Webスプーフィング/フィッシングを効果的に回避することができます。以下では、ドメイン名の主要な構成要素が説明されています。

一般的に、一般的なウェブサイトは、サードレベルドメイン名またはサードレベルドメイン名のいずれかです。

1. 第二レベルドメイン名は、google.comなどのメインドメイン名とトップレベルドメイン名で構成されています。その中で、「google」はメインドメイン名であり、ドメイン名の中心部分であり、ウェブサイトの名前を表します。「.com」はトップレベルドメイン名であり、ドメイン名の最後の部分であり、.com、.net、.orgなどのカテゴリや種類を示します。「.com」は商用ウェブサイトを表します。
2. 三次ドメイン名は、メインドメイン名、サブドメイン名、トップレベルドメイン名から構成されます。例えば、mail.google.comです。“mail”はサブドメイン名であり、“google”はメインドメイン名であり、“.com”はトップレベルドメイン名です。

上記のフィッシングウェブサイトを説明すると、openai.com-token.info です。

1. "openai"はサブドメイン名です。
2. 「com-token」はメインドメイン名です。
3. “.info”はトップレベルドメイン名です。

明らかに、このフィッシングウェブサイトはOpenAIを装っており、OpenAIの公式ドメイン名はopenai.comです。

1. 「openai」はメインドメイン名です。
2. 「.com」はトップレベルドメイン名です。

このフィッシングWebサイトはどのようにしてOpenAIを装ったのですか？攻撃者は、サブドメイン「openai」とメインドメイン「.com-token」を使用して、フィッシングURLの前半を「openai.com」のように見せかけました。「com-token」はハイフンを使用しています。

4. テレグラムのフィッシング

Telegram phishingは注目すべきサイバーセキュリティの問題です。これらの攻撃では、悪意のある行為者はユーザーのウェブブラウザを制御し、重要なアカウント資格情報を入手しようとします。これをより明確に示すために、例を一つ一つ見てみましょう。

詐欺師は、最新の「アバター2」映画へのリンクが含まれたTelegramのユーザーにプライベートメッセージを送信し、アドレスはわかりやすいように見えます。

リンクを開くと、実際の映画へのリンクのように見えるページに到着し、ビデオを視聴することさえできます。しかし、その時点で、ハッカーはユーザーのブラウザを制御していました。

ハッカーの視点から、ブラウザの脆弱性を悪用し、悪用ツールを使用してブラウザを制御する方法を見てみましょう。

ハッカーのコントロールパネルを調査した結果、彼らは閲覧ユーザーに関するすべての情報にアクセスしていることが明らかになりました。これには、ユーザーのIPアドレス、クッキー、プロキシのタイムゾーンなどが含まれます。

ハッカーは、Googleメールのフィッシングインターフェースに切り替えて、Gmailユーザーにフィッシング攻撃を行う能力を持っています。

この時点で、フロントエンドインターフェースがGoogleメールのログインページに変わります。ユーザーはアカウント資格情報を入力してログインボタンをクリックします。

背景では、ハッカーたちはログインのユーザー名とパスワードを成功裏に受け取ります。この方法を使って、彼らは悪意を持ってユーザーのアカウントとパスワード情報を入手し、最終的にはユーザー情報の漏洩と財務上の損失を引き起こします。

ウェブページのソースコードでリモートで読み込まれたJavaScriptスクリプトをチェックしてください

ブラウザの開発者モードに入り、Webページのソースコードにリモートで読み込まれたJavaScriptスクリプトがあるかどうかを確認できます。このスクリプトは、攻撃者がユーザーのブラウザを制御するための鍵となります。クリックしたリンクにフィッシングスクリプトがあるかどうかをどのように判断しますか？

上記のフィッシングプロセスで、映画「アバター2」のリンクを入力すると、F12キーを押してブラウザーの開発者モードに入り、リンクがリモートでロードされたJavaScriptスクリプトを指していることがわかります。ハッカーはこのスクリプトを実行することでブラウザーをリモートで制御し、ユーザーのアカウントとパスワードを入手することができます。

定期的なウェブサイトで「アバター2」映画を視聴している間、ブラウザの開発者モードに入り、リモート読み込みを指すJavaScriptスクリプトが見当たらなかった。

5. Metamask フィッシング

ここでは、Metamaskプラグインを例に、攻撃者がこのプラグインを使用してユーザーのウォレットの秘密鍵を盗む方法を説明します。

攻撃者は、電子メールアドレスやソーシャルメディアアカウントなどのターゲットユーザーの連絡先情報を入手します。攻撃者は、公式のMetamaskチームやパートナーなどの信頼される実体を装い、フィッシング電子メールやソーシャルメディアメッセージをターゲットユーザーに送信します。ユーザーは、MetaMaskを装った電子メールを受信し、ウォレットの確認を求められます:

ユーザーが「ウォレットを検証する」をクリックすると、次のページに移動します。このページはMetamaskの公式ウェブサイトまたはログインページであると主張しています。実際のフィッシング攻撃中、2つの異なるフィッシングページを特定しました。1つ目はユーザーに直接秘密鍵の入力を求める一方、2つ目はユーザーのリカバリフレーズを求めます。これらはいずれもユーザーのMetamaskキーを取得するために設計されています。

攻撃者は被害者の秘密鍵またはリカバリフレーズを入手し、この情報を使用して対象ユーザーのMetamaskウォレットにアクセスし、制御し、対象ユーザーの暗号通貨を送金または盗むことで利益を得ることができます。

Metamaskのメールとドメインを確認してください

ChromeにMetamask拡張機能をインストールする必要がある場合、公式リンクはこちらですhttps://metamask.io/

フィッシングリンクはhttps://metamaskpro.metamaskglobal.top/#/Gate、ご注意いただき、その信頼性を確認してください。

Metamaskのように見えるメールを受信した場合、送信者と受信者の情報に注意する必要があります：

送信者の名前とメールアドレスには、「Metamaks」ではなく「MetaMask」という重大なスペルの誤りがあります。

受信者には本名が含まれておらず、あなたを特定する他の情報や、何をすべきかをより明確に説明しているものが含まれていません。これは、この電子メールがあなただけでなく大量送信された可能性があることを示しています。

第二に、これらのリンクの信頼性もドメイン名で確認できます：

「ウォレットを確認」をクリックして、フィッシングウェブページであるmetamask.authorize-web.org に入力してください。このドメイン名を分析します：

1. “metamask”はサブドメインです
2. 「authorize-web」はメインドメイン名です
3. 「.org」はトップレベルドメイン名です

もし、metamask の公式ドメイン名である metamask.io を知っているなら、簡単にフィッシング攻撃を受けたことがわかります:

1. “メタマスク”はメインのドメイン名です
2. “.io”はトップレベルドメイン名です

フィッシングサイトのドメイン名であるmetamask.authorize-web.orgはSSL証明書を持っており、ユーザーを騙して安全な取引先であるかのように思わせます。しかし、MetaMaskの使用は登録されたトップレベルドメインのサブドメイン名の下でのみ行われることに注意してください。

6. VPN フィッシング

VPNは、インターネットユーザーの身元とトラフィックを保護するために使用される暗号化技術です。VPNはユーザーデータを暗号化して送信し、ユーザーとインターネットの間に安全なトンネルを確立することで、第三者が侵入してデータを盗むのを困難にします。ただし、多くのVPNはフィッシングVPNであり、PandaVPN、letsvpn、LightyearVPNなどが挙げられます。フィッシングVPNは通常、ユーザーのIPアドレスを漏洩させます。

VPNを使用して接続すると、デバイスはVPNサーバーにDNSリクエストを送信して、訪れたいウェブサイトのIPアドレスを取得します。理想的には、VPNはこれらのDNSリクエストを処理し、VPNトンネルを介してVPNサーバーに送信するべきです。そのため、本当のIPアドレスを隠すことができます。フィッシングVPNを使用している場合、DNSリークが発生し、実際のIPアドレスがDNSクエリログに記録される可能性があり、オンライン活動やアクセス履歴が追跡可能になります。これは、特に本当のIPアドレスを隠そうとしている場合、プライバシーと匿名性を損なう可能性があります。

IPリーク自己チェック

VPNを使用してインターネットを閲覧する場合、VPNが ipleak.net または ip8.com Webサイトを介してIPアドレスを漏らしているかどうかをテストできます。これらのWebサイトは、インターネット接続に割り当てられたIPアドレスであるパブリックIPアドレスのみを表示できます。VPNサービスを使用している場合、これらのWebサイトには、実際のIPアドレスではなく、接続しているVPNサーバーのIPアドレスが表示されます。これは、VPNが実際のIPアドレスを正常に隠しているかどうかを確認するのに役立ちます。

あなたのIPアドレスが侵害されているかどうかを、以下の手順に従ってチェックできます：

ブラウザを開いて、ipleak.netにアクセスしてください。そこには現在のIPアドレスが表示されます。以下の画像に示すように、あなたのIPアドレスは114.45.209.20として表示されます。そして、「もしプロキシを使用している場合、透過的なプロキシです」と指摘されています。これはあなたのIPアドレスが漏洩していないこと、そしてVPN接続が実際のIPアドレスをうまく隠していることを示しています。

この時点では、ipconfig /allコマンドラインを使用して実際のIPアドレスを問い合わせることもできます。ここで問い合わせたIPアドレスがipleak.netを介して問い合わせたIPアドレスと一致しない場合、あなたのIPアドレスは実際に非表示されています。一致する場合、あなたのIPアドレスは公開されています。以下の図に示すように、ipconfig /allを介して問い合わせたマシンの実際のIPアドレスは192.168です。., グラフ上に表示されている114.45.209.20と一致しないIPアドレスであり、IPアドレスが漏洩していません。

要約

要約すると、私たちは詳細に6つのWeb3ソーシャルエンジニアリング攻撃を紹介し、対応する識別および予防策を提供しました。Web3ソーシャルエンジニアリング攻撃を効果的に回避するには、ソーシャルプラットフォームからの馴染みのないリンク、電子メール、およびメッセージに対してより警戒する必要があります。また、ブラウザの開発者モードでウェブページのソースコードを確認する方法、実際のドメイン名と偽のドメイン名を識別する方法、IPアドレスが漏洩していないか自己確認する方法、および関連するセキュリティリスクを分析する方法についても学ぶことをお勧めします。Web3セキュリティやスマートコントラクトの監査に関するその他の質問がある場合は、お気軽にお問い合わせください接続する. 弊社のチームのメンバーがすぐにあなたに連絡し、お手伝いいたします。

免責事項：

1. この記事は[から転載されましたForesighNews]. All copyrights belong to the original author [サルス]. If there are objections to this reprint, please contact the Gate Learnチームが迅速に対処いたします。
2. 責任の免責事項：この記事で表現されている意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
3. 他の言語への翻訳は、Gate Learnチームによって行われています。特に言及されていない限り、翻訳された記事のコピー、配布、または盗用は禁止されています。