根據近幾年的用戶調研,掌櫃發現有相當一部分用戶,即使你告訴他千萬遍“手機端軟件更便捷,更安全”,他們仍然對PC端軟件情有獨鍾。不得不承認,PC端軟件確實有著不可替代的優勢:顯示面積大,鼠標鍵盤交互精確,適合流程複雜、規模更大的操作。
駭客從來隻駭有價值的人,如果你覺得自己很安全,那隻是你缺乏被駭的價值(人不出名,幣還少)
如果一定要使用PC端錢包軟件進行資產管理(包括配合硬件錢包使用的觀察錢包),我們需要付出兩百倍的安全意識。
安全意識通常來自於對攻擊面的了解,掌櫃習慣通過以下3個“靈魂拷問”來判斷:
1. 哪些數據需要保護?
– 涉及隱私的敏感信息,如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等
2. 哪些應用程序存在敏感信息?
– 如交易軟件、錢包軟件、瀏覽器等
3. 資產管理過程中哪些外部服務易被攻擊?
– 如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等
基於以上,我們試著對PC端錢包軟件的各個使用環節展開疑問:
下載安裝:登陸的是不是官方網站?下載安裝的是不是官方軟件?
掌櫃之前看到過一個案例,攻擊者“山寨了一整套”下載網站和軟件,山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”,然後誘導用戶下載,實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。
這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息,也非常有可能被應用到社會工程學,實施綁架、勒索、詐騙。
版本升級:這是不是官方升級提示?不升級有什麼影響?升級前需要備份什麼?
Electrum錢包就遭受過持續性釣魚攻擊。駭客利用舊版本的漏洞,給用戶發送升級提示(不升級就不能發幣),誘導用戶升級到“攜帶後門”的客戶端后,竊取私鑰。
首先,肯定是鼓勵大家持續升級的,新版本通常會包含:新功能,體驗優化,修復bug。但是,升級前請務必檢查:①升級包是否來自官方;②私鑰/錢包文件是否已備份。
錢包文件備份:文件是什麼內容?如果是私鑰,觸過網嗎?觸過網後還安全嗎?
還是以Electrum錢包為例,創建新錢包,會生成一個WIF(Wallet Import Format)私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。
私鑰就是資產所有權,即使被攻擊,只要私鑰沒洩露就還有可能保住資產。對於PC端保存的私鑰文件,有以下三種主流攻擊方式:
■木馬程序竊取私鑰文件+ 誘導用戶輸密碼/暴力破解密碼
■木馬程序/蠕蟲病毒惡意加密+ 勒索贖金
■直接損壞私鑰文件或者電腦設備
那麼,實現上述攻擊的路徑又有哪些呢?
■ 釣魚網站/釣魚郵件(遠程)
在瀏覽網頁和查看郵件時,一個簡單的點擊動作就足已中招,木馬/病毒在不被察覺的情況下已下載運行。
現在很多重視安全的企業都會實行隨機內部演練(給全員發送釣魚郵件),運維工程師和一級部門負責人也會上中招名單——安全意識再強,也會有翻車的時候。
■ USB設備(物理)
所有USB設備都有一個微控制器芯片,可以被重新編程固件或寫入惡意代碼。
常規攻擊路徑:
① 準備一個可以被重新編程的USB設備,成本20不到
② 植入惡意代碼(決定最終的攻擊方式,如文件加密、文件傳輸、遠程監控、攝像頭監控等)
③ 插入電腦,惡意代碼自動執行
USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊,如掌櫃之前提到過的冷啟動攻擊(Cold Boot Attacks)。
冷啟動攻擊-demo
還有一種更為極端的情況:USB電氣攻擊,插入電腦後可觸發電力超載,對設備造成永久性破壞。
交易簽名:收幣地址會不會被替換?簽名的時候密碼會不會被偷窺?
綜上,下載到山寨客戶端,收幣地址被替換的可能性存在;惡意程序可以實現遠程監控鍵盤輸入或攝像頭,密碼也存在被偷窺的風險。
簡單總結:了解攻擊面–>建立安全意識–>敏感操作保持懷疑態度。
掌櫃會堅持督促大家學習,用知識武裝自己的數字資產。因為,最終資產安全的程度取決於你的安全知識(安全意識),而不是使用了多麼硬核的錢包工具。
來源:區塊鏈網
更多文章:幣區
聲明:本文為作者獨立觀點,不代表幣區立場,且不構成投資建議。部分內容參照網絡信息,無法保證正確性,請謹慎對待。
留言列表
