概述

目前，涉及到加密貨幣的許多網(wǎng)站，特別是需要用戶(hù)輸入機(jī)密信息的平臺(tái)，都會(huì)建議用戶(hù)檢查URL地址欄，從而查看是否包含正確的SSL證書(shū)(有些平臺(tái)中，會(huì)特定為EV證書(shū))和正確的URL。因此，許多用戶(hù)對(duì)這一點(diǎn)記憶深刻，并將其作為第一項(xiàng)檢查的內(nèi)容。但近期，我們發(fā)現(xiàn)了一種新型釣魚(yú)方式，如果用戶(hù)訪問(wèn)攻擊者特制的頁(yè)面，可能會(huì)產(chǎn)生一種虛假的“安全感”。

[[255669]]

我們首先要強(qiáng)調(diào)，本文所描述的釣魚(yú)方式，與涉及到的任何產(chǎn)品(包括MyCrypto、Binance、Google Chrome、Firefox、Brave)中的漏洞無(wú)關(guān)。相反，攻擊者創(chuàng)建了一個(gè)虛假的網(wǎng)站，并使用戶(hù)相信他們?cè)L問(wèn)的是合法的網(wǎng)站。

作為用戶(hù)，應(yīng)該始終保持警惕，特別是在處理加密貨幣的過(guò)程。并且，用戶(hù)應(yīng)該選擇其他具有安全性的機(jī)制，包括雙因素認(rèn)證、脫機(jī)運(yùn)行、硬件錢(qián)包等。但不幸的是，包括MyCrypto和Binance在內(nèi)的一些網(wǎng)站，目前都還沒(méi)有相應(yīng)的機(jī)制來(lái)緩解這類(lèi)攻擊。

演示視頻(YouTube)：https://youtu.be/ebWftq6kA30

針對(duì)PoC的分析

通過(guò)使用瀏覽器的全屏API、一些用于檢測(cè)瀏覽器的JavaScript以及一些圖像，我們可以幾乎以假亂真的欺騙用戶(hù)，讓用戶(hù)相信自己正在訪問(wèn)正確的域名。上述視頻就是我們制作的PoC。

盡管乍一看，用戶(hù)似乎離開(kāi)了127.0.0.1:5500的這臺(tái)服務(wù)器，但實(shí)際上并沒(méi)有。為深入了解這種新型釣魚(yú)方法，我們將分解各個(gè)頁(yè)面，進(jìn)行詳細(xì)分析。

第一個(gè)視圖僅用于演示目的，這是一個(gè)帶有MyCrypto合法鏈接的簡(jiǎn)單視圖。然而，可以想象一下，攻擊者將其作為野外的某個(gè)惡意加密貨幣新聞網(wǎng)站，或者是某個(gè)說(shuō)明如何使用MyCrypto的博客文章，或者是惡意AirDrop的網(wǎng)站鏈接。不管怎樣，其最終目的都是試圖誘導(dǎo)用戶(hù)點(diǎn)擊有效的MyCrypto.com鏈接。

在用戶(hù)單擊鏈接后，瀏覽器將被強(qiáng)制進(jìn)入全屏模式，并顯示一些圖像，這些圖像看起來(lái)就像是用戶(hù)瀏覽器的框架。我們使用了一些簡(jiǎn)單的JavaScript來(lái)檢測(cè)用戶(hù)正在運(yùn)行的瀏覽器，并針對(duì)不同瀏覽器顯示出不同的瀏覽器框架圖像。

接下來(lái)，我們假設(shè)MyCrypto不會(huì)棄用網(wǎng)絡(luò)上的私鑰，或者用戶(hù)使用的是要求提供私鑰的產(chǎn)品。在這里，攻擊者會(huì)要求用戶(hù)輸入密鑰，并在用戶(hù)鍵入時(shí)對(duì)其進(jìn)行記錄(如下所示)。

這部分，并不會(huì)像PoC那樣冗長(zhǎng)，但足以能夠表明用戶(hù)從來(lái)沒(méi)有離開(kāi)過(guò)127.0.0.1:5500這臺(tái)服務(wù)器，但用戶(hù)操作瀏覽器時(shí)看起來(lái)就像是在MyCrypto.com網(wǎng)站上一樣。

除非用戶(hù)具有額外的身份驗(yàn)證機(jī)制，或者用戶(hù)具有足夠的警惕性，否則直至此時(shí)，用戶(hù)的私鑰已經(jīng)被攻擊者竊取，并且資金也很可能已經(jīng)被盜。

現(xiàn)在，讓我們看看另外一個(gè)例子，這是同樣非常流行的Binance交易所。這個(gè)平臺(tái)的安全性相對(duì)較好，因?yàn)槠脚_(tái)會(huì)建議用戶(hù)應(yīng)該檢查登錄頁(yè)面上的地址欄，這通常是一個(gè)很好的安全建議。

演示視頻(YouTube)：https://youtu.be/hOgPAhEXNSw

從上面的演示視頻中，可以看出，除非用戶(hù)全神貫注于屏幕，否則很容易成為這個(gè)新型釣魚(yú)方法的受害者。

針對(duì)其他瀏覽器的測(cè)試

我之前提到過(guò)，我們可以使用JavaScript來(lái)檢測(cè)用戶(hù)所使用的瀏覽器，并針對(duì)不同的瀏覽器顯示出相對(duì)應(yīng)的圖像。

在Firefox中，瀏覽器切換到全屏模式后的提示會(huì)稍微明顯一些。但是，精心構(gòu)造的PoC并不會(huì)觸發(fā)alert()以顯示帶有實(shí)際地址欄的提示。在這里，使用alert()產(chǎn)生提示并沒(méi)有實(shí)際上的意義。

演示視頻(YouTube)：https://youtu.be/phmS05-hF1Y

如果使用Brave，實(shí)際上與Chrome的體驗(yàn)相同，原因在于Brave基于與Chrome相同的Chromium網(wǎng)絡(luò)瀏覽器。

演示視頻(YouTube)：https://youtu.be/qYnY2DOd5fo

安全建議

• 保持警惕，用戶(hù)需要仔細(xì)檢查自己的瀏覽器是否已經(jīng)進(jìn)入到全屏模式。
• 絕對(duì)不要將憑據(jù)或私鑰輸入通過(guò)點(diǎn)擊鏈接到達(dá)的網(wǎng)站中。在任何時(shí)候，建議都自行訪問(wèn)網(wǎng)站，或者通過(guò)自己創(chuàng)建的書(shū)簽點(diǎn)擊。
• 安裝EtherAddressLookup瀏覽器擴(kuò)展，從而防止訪問(wèn)已知的惡意域名。
• 密切關(guān)注EtherScamDb目錄。
• 在社區(qū)中，學(xué)習(xí)并分享關(guān)于新型網(wǎng)絡(luò)釣魚(yú)策略的知識(shí)。
• 如果你認(rèn)為某些關(guān)鍵內(nèi)容突然從頁(yè)面中消失，或者當(dāng)前正在訪問(wèn)的頁(yè)面有任何異常，請(qǐng)相信你的直覺(jué)，并找到可靠的依據(jù)。
• 盡可能使用硬件錢(qián)包和雙因素認(rèn)證(2FA)，用戶(hù)可以選購(gòu)Ledger錢(qián)包或Trezor。
• 在使用加密貨幣相關(guān)平臺(tái)時(shí)，盡量使用桌面應(yīng)用程序，或離線運(yùn)行(例如MyCrypto Desktop APP)。

目前，我們還沒(méi)有證據(jù)表明該惡意活動(dòng)是針對(duì)網(wǎng)絡(luò)加密貨幣用戶(hù)執(zhí)行的。

本文翻譯自：

https://medium.com/mycrypto/unique-phishing-method-to-look-out-for-the-fullscreen-api-e6cd08a6293a