如何保护您的加密货币免受网络钓鱼攻击?

什么是网络钓鱼？

网络钓鱼是一种诱使人们泄露个人和有价值信息的方法，通常旨在获得经济利益。

尽管网络钓鱼并不属于传统意义上的“黑客攻击”，即恶意行为者利用计算机程序的漏洞访问个人数据，但其结果却是相似的。网络钓鱼是一种社会工程诈骗，因为它通过心理操控来操纵人们。然而，由于它通常涉及技术接口，因此也被归类为其他黑客技术。

网络钓鱼这一术语源于互联网早期。大多数人将其最初的使用归因于 1990 年代中期盗取 AOL 用户登录信息的黑客。他们在等待的“鱼群”中抛出钓钩，希望能钓到几条。术语中的“ph”是对“phreaking”一词的引用，后者是一个历史名词，用于描述对模拟电话信号的逆向工程和实验。

如今，最常见的网络钓鱼类型使用电子邮件和消息系统（包括短信和 WhatsApp 等应用程序）。然而，这些社会工程诈骗也可能涉及网页劫持、二维码以及各种其他媒体。

加密货币网络钓鱼攻击

保护您的加密货币意味着了解可能发生的攻击类型。尽管黑客使用多种类型的网络钓鱼攻击针对用户的加密钱包，但在加密领域，有些攻击更加普遍，包括：

针对特定目标的网络钓鱼（Spear Phishing）

黑客针对特定个体，并利用他们已经掌握的背景信息与其联系。例如，如果用户已知与某个网站进行过互动，黑客可能冒充该网站，发送包含恶意链接的电子邮件或直接索取用户的私密数据（如登录凭据）。骗子还可能通过短信或 WhatsApp 和 Telegram 等应用联系用户。

浏览器扩展

骗子可以编码假冒的浏览器钱包软件（最常见的是MetaMask）。这些应用可能看起来与原版相似，但当用户输入其信息，如种子短语时，他们无意中将资金交给了其他方。

冰钓（Ice Phishing）

黑客诱使用户签署事务请求，从而授予恶意方支配其资产的权限。在传统金融中，这类似于将您的银行账号隐藏，但无意中将个人账户转换为联合账户，允许他人进行提款。

空投钓鱼（Airdrop Phishing）

与冰钓类似，空投钓鱼依赖于诱骗用户签署交易并与恶意智能合约交互。然而，这种骗局基于向用户承诺签署交易将使其能够领取空投代币的奖励。

类型蹲点（Typosquatting）

骗子可能使用与真实网站或协议相似但不完全相同的名称。通过将“I”更改为“1”或进行其他小改动，他们可能欺骗用户相信他们正在与合法来源进行互动，从而使用户更容易分享私密数据。

DNS 欺骗

与类型蹲点不同，DNS 欺骗稍微复杂一些。黑客劫持网站的后端，当用户访问特定网站时，他们会无意中被重定向到骗子的网站。在那里，他们可能会自信地提交登录信息或其他敏感数据，但这些数据在后台被黑客窃取。2021 年，PancakeSwap 和 Cream Finance 遭遇了显著的 DNS 欺骗攻击。

防止加密货币诈骗：加密货币安全提示

网络钓鱼并不是唯一一种加密货币安全威胁，但它是其中较为常见的一种。一般而言，一个好的原则是“只与您信任的人和协议互动”。然而，随着诈骗者的手段日益高明，这变得相对复杂。无论如何，以下是一些有用的事实和建议：

• 始终检查电子邮件、短信或应用消息的发件人。查看他们是否来自已知地址/号码，信息中是否有拼写错误，以及您是否预期该个人、协议或公司会联系您。不要打开来自可疑发件人的链接或附件。
• 绝不要通过电子邮件、短信、应用消息或网站提交您的加密货币私钥。还要保护您在相关平台上的用户名/密码，例如中心化交易所。
• 谨慎对待您下载和使用的应用程序。这包括浏览器扩展（尤其是加密钱包）和基于网络的去中心化应用（dapps）。确保您使用的是官方和最新版本。
• 在与智能合约交互时，确保您信任开发者，并使用您所认为的协议。
• 在参与空投前进行研究。
• 如果您对某个通信或协议的真实性存疑，搜索其他用户是否问过同样的问题。相信您的直觉并做好尽职调查。