免责声明:凤梨财经作为开放的信息发布平台,所提供的所有内容与凤梨财经观点和立场无关,且不构成任何投资理财建议。投资有风险,入市需谨慎。

忽视这些,黑客至少有100种方法掏空你的钱包和交易所账户

2018-01-29 阅读量 316
摘要:为大伙提供了一些常见的防备方法。安全无小事,大家务必了解这些网络安全知识,才能自己保护好自己的数字资产。

区块链大潮的兴起,许多人把自己一定比例的财富换成了数字货币资产放到了互联网上,近期日本一家交易所就被黑客入侵,损失的资金令人可怕,事件还在调查中。


大白想说,你的数字货币资产还好吗?有被黑客入侵吗?


然而大部分人对互联网的应用,仅仅只局限于简单的操作,远远达不到黑客们的百分之一,大白在这里绝非危言耸听的提醒大家:忽视这些网络安全知识,黑客至少有100种方法掏空你的钱包和交易所账户。


一、看似更安全的去中心化交易平台,也许黑客更爱


去中心化交易所,主要是避免了中心化交易所坚守自盗的风险,和区中心化钱包一样,自己是自己账户的真正归属人,并且没有人能篡改账户,也没有提不出币的风险。


但是,去中心化的平台,就相当于不记名资产账户,持有密钥的人就是主人。


当平台把密钥生成并交付到页面显示那一刻,你手里捏着的就是唯一的凭证,无论丢失、被盗、泄漏等损失,任何责任完全由你个人承担。


毕竟黑客们从个人手里盗取密钥远比层层安全措施严格的中心化大型交易所里盗取数字资产容易得多。


大家知道,黑客攻击,上至政府重要机构,下至普通PC,简直是防不胜防的。

所以,你不管用去中心化还是中心化,安全都需要重视。


二、黑客是如何攻破交易所顺利盗走数字资产的?


黑客的方法太多,有一些涉及比较专业的词汇,如果你要大白一个个告诉你,那真的是难为我了,首先黑客的方法特别多,其次,大白也只是知道几种而已,因为大白自己并不是黑客,在这里大白先列举几个典型的例子并且用大白话来解释。


几种钓鱼网站


大家新闻常常听到的,“钓鱼网站”,做个假网站,然后网址很像,大家不小心进去后输入了帐号密码这些就被盗了。这也是利用的大部分人都不会去记网址,从而不会发现假网站和假网站。


有这么几种情况,即使你能够一字不漏的背下网站网址,输入浏览器打开后依然是个假网站:


网站劫持演示

我们先看一段测试视频再说:




视频里小编直接拿的是前面以德来举例,模拟我们平常的习惯,假设小编记得以德的网址,并且输入的是正确的网址,然后打开网页,我们可以发现进入的一个警告页面:表示当前网站正在遭受黑客攻击,账户已经被锁定,需要输入正确的密钥来提取数字货币转移到安全的地方去。 因为网址肯定是对的,所以这里钓鱼的话,大家可以猜猜上当的概率是多少?



大家可能会想,交易所应该是能够避免这种情况的发生,不然还开什么交易所,还不如黑客去开一个交易所好了?大白只能说黑客们融汇贯通,并且交易所、钱包的网站们也是防不了的。


三、100种以上的方法


1. 本地劫持


本地劫持主要是黑客通过传播木马。


第一种,让木马去劫持本地系统的hosts文件(windows和安卓等各种系统都会有这个文件)。你在浏览器输入网址的时候,浏览器首先会检查这个文件里是否有这个网址的记录,如果有,则会根据记录寻找对应的服务器IP地址。


在这里,用上了临时搭建的本地服务器IP地址。然后我们输入记录中的地址,就会被劫持到这个临时服务器的网页上来,至于服务器的内容,就黑客自己随心所欲了,网址都是正确的深信不疑的人必定多,钓鱼成功率也是很高的。



第二种,依然是木马,让木马修改本地网络配置DNS地址。


这里的DNS通常默认是当地运营商的DNS服务器地址,DNS服务器起到的作用,主要是进行网址和服务器的对应,比如你在浏览器输入CCTV.COM ,那么你当地hosts文件没有告诉浏览器ip地址的话,就会向DNS发出一个请求,询问这个服务器,cctv.com这个网址所对应的服务器iP是多少?


然后当地DNS查询本地的缓存列表里如果有,就直接反回,如果没有,那就向上一级DNS服务器进行索取,再返回给你。


然后你就能看到对应的服务器上的页面了。然而,如果这个DNS地址被修改成黑客架设的假DNS服务器地址,那么你访问的任何网址,将由黑客这台服务器说的算,它让你进入假的网站,你也就进去了,网址也是一样的。



第三种,本地劫持,就是路由器的DNS。


路由器也可以设置一个DNS,原理同上,近年来各种路由漏洞造成的安全事故频发,一旦发现漏洞路由器,黑客们可以获得路由器控制权限等等,这让局域网内所有PC的网络连接都有直接被黑客控制的风险。


第四种本地劫持的方式:浏览器插件。


如下图,随手打开浏览器里一个流行的常用插件,你可以看一下,这个插件的权限,就是这个插件可以做的事。


看看,第一个,读取和更改,您在访问的网站上的所有数据。 也就是说,我访问的就算是正确地址,进去后的网页依然可以被修改,我输入的帐号密码,甚至密钥,也是可以在发送之前被读取的。


同时,插件可以让你跳转他们的假网站,也可以修改网页上的钱包APP下载地址,让你下载一个假钱包。



(著名技术交流网站V2EX网友反应页面被劫持的情况)


所以说,你不能够说人家交易所、电商网站们没有做好安全防范,实际上很多时候,出问题的是我们本地PC和设备上,人家再怎么防备,也管不到你的设备呀。


2. 其它


 2.1 攻击相关网站的DNS缓存服务器:这也叫做缓存投毒,原理和前面说的劫持差不多,缓存记录改成黑客想要的记录,然后通过这个DNS访问的人就会被劫持到黑客的网站上去。


 2.2 运营商DNS污染:这个应该每个人都遇到过吧,运营商可以在你访问的任何网站里添油加料。当然黑客也可以,或者运营商机房内鬼也可以。




 2.3 利用各种各种漏洞,就说黑客能利用的漏洞数量吧,多得数不清,甚至有一些漏洞,存在并没有被发现的时间长得令人发指。





如上那么多方法,主要还是通过给你一个假网站、假钱包获取你的信息。当然了,假网站假钱包套取数字资产的手段,并不仅限于如上方法,也不仅限于如下方法:


1. 黑客做一个中心化交易所一样的网站,然后你输入帐号密码的同时,黑客也同步在真正的网站上输入帐号密码,包括二次验证的短信以及谷歌二次认证码。


2. 黑客做一个假的去中心化交易所,然后你进去获得的密钥是假的,然后账户充币地址是黑客的,然后黑客设置这个假交易所里诱人的价格,引诱你赶紧转入大量的数字货币,很开心的进来进行大抄底,然后,你提币的时候才发现,并不能提出,并且令人毛骨悚然的情况是,你在上面交易了很久,可能只是玩的一个虚拟交易盘子,你转进去的币早就被搬空,而你一直不知情,不亦乐乎的玩着黑客给你做的交易游戏。


3. 假钱包。钱包地址是黑客的,充进去的币照样给你显示,只是你最后会发现,你一直存有巨额资产的钱包竟然是一只只进不出的老虎。



四,面对如上那么多潜在的黑客风险,我们应该做什么?


面对黑客,目前来说真是毫无办法的事情,但至少我们可以利用已知的网络安全知识,把自己的投资环境、资产储存环境变得更安全。随随便便的黑客也搞不了你,真有水平的黑客,也瞧不上你那点东西。


1. 重要网站网址一定要观察是否有Https并确认是否正常:


针对上面的输入正确网址都可能是假网站的情况,我们如果注意在确认网址是正确的情况下,用HTTPS来访问,如果小编当时输入的网址是https://xxxxx.com  而不是直接输入 xxxx.com 那么我这边显示的网页肯定不会是假网站。


因为HTTPS除了加密传输数据内容之外,还有一个功能就是认证功能,一个网站要开通https服务,需要申请一个证书,当一个域名对应的认证过的服务器带证书正确的情况下,浏览器通常会提示安全访问,否则浏览器会提示你当前访问的服务器与证书不服不是安全网站。所以你会发现一些重要网站,银行、交易所、钱包、一律用的额https安全链接。就是为了应对这种情况。


(域名访问或者DNS被劫持的情况下,访问网站会提示不安全,并拒绝显示网页)


(恢复正常后,可以看到安全提示,并显示了正确的网页)


2. 最好记住重要网址,并且使用HTTPS


如果你无法记住网址,欢迎使用大白百宝箱,我们的设计初衷之一,就是为了安全访问重要的网站,如下图,我们已经把百宝箱重要工具和网址官网的HTTPS安全链接展示出来,每次访问记得核对安全网址,这样风险自然就降低了。




3. 不要随意点击不明链接、不安装来路不明的软件APP或者打开不明邮件的附件


木马的主要传播方式,通常就是如上小标题这几种方式,任何人发来的不明链接或者假装成邮件系统升级、客户报价之类的邮件链接和附件都不要随便去打开,下载软件或者应用,请到安全的地方,比如苹果应用商店,安卓应用商店。确实需要到官网下载类似钱包应用的,请记得上面提到的确保访问的是HTTPS安全地址。


4.不要安装来路不明的浏览器插件或者不要随便安装插件


一般我们在插件市场下载的插件问题不大,但是谁知道呢,不少人下载插件还在第三方不明来路的地方下载,插件基本是是全程看着你上网的,你浏览的任何网页它们都看在眼里。


5.检查本地hosts文件和PC的DNS网络设置、路由器设置


hosts文件路径,windows的话是在:C:WindowsSystem32driversetc  打开文件夹后找到这个hosts文件,可以右键用记事本打开编。


网络配置,通常在 控制面板==》网络和 Internet===》网络连接 找到连接宽带或者路由器的连接图标,右键,属性,然后双击“internet 协议版本4 (tcp/ipv4)”进入检查DNS设置。这里我们可以按小编这两个地址:一个是阿里提供的一个是百度提供的免费DNS地址,比较可靠。也可以减少一些DNS污染的情况。


路由器,访问管理页面的方法和帐号密码一般在路由器的背面有标识,然后进去找到DNS设置选项设置。





6. 操作交易的PC最好不是盗版系统

盗版系统通常会内置一些广告流氓插件等不安全因素。


7. 手机,不要root和越狱不随意安装不明来路APP

root和越狱表示获得最高权限,第三方应用可能修改一些安全设置、甚至监听、监控、远程操控。安装重要钱包应用的手机,务必干净,无第三方APP。


8. 数字资产量大必须冷钱包

量少可以用交易所,但是必须确保安全的前提下。


9. 重要手机PC不要随意使用第三方不明免费Wifi


这可能是个诱饵,经常用万能wifi钥匙这类应用的也要注意了,接入来路不明的路由器,你传输的数据都可以被监听,然后你的设备安全性较低,人家可以直接入侵你的设备。


10. 网页、APP出现异常情况及时确认和终止重大操作


比如网页突然跳转到另外一个链接,突然弹出一个提示框要求填写帐号资料(各种理由),地址栏的网址变了、鼠标移动到钱包应用的下载地址链接时看状态栏显示的域名不是当前官网的域名,或者是不是安全地址。


?以上就是一些常见的防备方法,也许有遗漏的,欢迎大家留言补上。当然了,不要嫌麻烦,大白有时候也一样懒得去确认,不过想想仅仅为了节省这几秒钟时间忽略了安全问题,最终得不偿失的还是自己。


福利免费送

在公众号后台回复“区块链

即可获得领取价值599元的区块链全套书籍





查看更多——

如何跟大爷大妈们讲清楚什么是区块链

区块链概念引热议,来看看BAT三巨头在区块链方向有哪些布局

美国财政部长:比特币将会成为新一代的“瑞士银行账户”

接棒“互联网+” 区块链技术有望成下一个热捧对象

区块链+人工智能=颠覆传统金融?

区块链+共享经济,会擦出怎样的火花?

古老拜占庭将军和最新的区块链到底有什么关系?

全线加密货币遭遇“黑色星期二”暴跌,主要币种跌幅超1成

特修斯之船是什么意思?以太坊与特修斯之船又有何联系

声明:本文观点仅代表作者本人,不代表凤梨财经赞同或证实其观点描述。如若侵权,请联系我们删除文章。