目录
⾼级攻击⽅式其实真很多，⼤多在⼤众视⻆下⽆⾮就是：我被钓⻥了。但这钓⻥可真⾼级了。

⿊客通过邮件发送钓⻥，邮件⾥附带的⽂档是：

A Huge Risk of Stablecoin(Protected).docx

这确实是⼀份很有吸引⼒的⽂档...但这份⽂档打开后电脑就可能被植⼊⽊⻢（⼀般通过 Office 宏脚本⽅式或0day/1day），这类⽊⻢⼀般都会包括如下常规功能：

各种凭证采集，如浏览器的，SSH 有关的等，这样⿊客就可以把触⼿伸向⽬标⽤户的其他服务。所以中毒后，⼀般都会建议⽤户不仅⽬标设备清理⼲净，相关账号权限该改的都需要及时更改。
键盘记录，尤其采集那些临时出现的敏感内容，如密码等。 

相关截屏、敏感⽂件采集等。相关截屏、敏感⽂件采集等。

如果是勒索病毒，进⼀步的就是将⽬标设备上的⽂件都⾼强度加密了，等待受害者来⽀付赎⾦，⼀般是⽀付⽐特币。但这⾥不是勒索病毒，毕竟勒索病毒的动作太⼤了，意图直接粗暴。

除此之外，针对加密货币⾏业的⽊⻢还会进⾏特别利⽤定制，如采集知名钱包、交易所的敏感信息，以实施盗币。上⾯提到的⽊⻢，根据专业的分析可以发现存在针对 MetaMask 的特别攻击，⽊⻢会将⽤户的 MetaMask 替换为⼀个有后⻔的 MetaMask，⼀个有后⻔的 MetaMask 就意味着你在其中使⽤的加密货币就不是你的了。即使你配套硬件钱包，这个有后⻔的 MetaMask 也会通过篡改⽬标地址、⾦额的⽅式来实施盗币。

这种攻击⽅式是专⻔针对财富外露的知名⼈⼠。我注意到的现象是，有些知名⼈⼠过于傲慢，被⿊也就是迟早的事了。

⼀般被⿊后，许多⼈会从教训中痛定思痛、全⾯复盘、全⾯改进，并与信得过的专业安全⼈⼠或机构保持⻓期的合作及友谊。但，这个世界永远存在例外，有的⼈或项⽬⽅被⿊⼀次，还会有第⼆、第三次。如果说是天将降⼤任于斯⼈也，每次被⿊都真的是遇到了对⼿，那么此⼈或项⽬⽅，我会⾮常尊重，并称之为先驱，⽽且⼤概率之后也能发展起来。可惜的是，许多被⿊是因为低级问题，⽽且可以举⼀反三的，这就真不可理解了。这种⼈或项⽬⽅建议远离。

那种⼴撒⽹的钓⻥攻击，其实⼿法就⼀般了，⽆⾮就是准备了⼀批域名相近的钓⻥⽹站，Twitter 等社交平台买号散播，热点及技巧拿捏得好，中招也是不少的。这种钓⻥没什么特别，⼀般就是粗暴的让⽤户的钱包授权相关代币（包括 NFT），然后盗⾛。

还有⼀些⾼级攻击，如结合 XSS、CSRF、Reverse Proxy 等技巧来让整个攻击更加丝滑顺畅。没法都展开聊，这⾥可以专⻔说其中⼀个⾮常细节的利⽤点（Cloudflare 中间⼈攻击），属于 Reverse Proxy（反向代理）有关的场景，这个利⽤点已经发⽣过真实的盗币攻击，且⾮常的隐蔽。

这⾥的问题并不是 Cloudflare 本身作恶或被⼊侵的问题，⽽且项⽬⽅⽤了 Cloudflare，项⽬⽅的账号权限被盗后的问题。⼤体过程是这样的，如果你的⽹站⽤了 Cloudflare 服务，在管理后台可以注意到 Workers 这个功能模块，这个Workers 官⽅说法是： 

构建⽆服务器应⽤程序并在全球范围内即时部署，从⽽获得卓越的性能、可靠性和规模性。

我很早就做了个测试⻚⾯，你访问后会有个弹窗，内容是： 

xssor.io, Hijacked by Cloudflare. 

其实这个弹窗，甚⾄整个 x.html 内容都不是这个⽂件本身的，全部都是 Cloudflare 提供的，原理⻅下图：截图⾥这段代码意思很简单：如果我是⿊客，我控制了你的 Cloudflare 账号，我就可以利⽤ Workers 特性，往任意⻚⾯注⼊任意恶意脚本。但此时⽤户是很难意识到⽬标⻚⾯被这样偷偷劫持篡改了，⽬标⻚⾯不会有任何错误提示（⽐如HTTPS 证书错误），甚⾄项⽬⽅也⼀时半会意识不到这地⽅会出问题，可能花了⼤量的时间排查服务器、⼈员等安全。等意识到这个，损失也就⼤了。

Cloudflare 其实很好，许多⽹站或 Web 服务都会使⽤ Cloudflare 来做 Web 防⽕墙、对抗 DDoS 攻击、全球 CDN 加速、反向代理等场景，由于有免费版本，所以⽤户众多，类似 Cloudflare 的，还有 Akamai 等服务。

⽤户⼀定要注意⾃⼰的这类账号的安全性，账号安全问题从互联⽹流⾏开始，全球随时随处都在谈，再说似乎都要炸。⽤户⼀定要注意⾃⼰的这类账号的安全性，账号安全问题从互联⽹流⾏开始，全球随时随处都在谈，再说似乎都要炸。
但没办法，确实太多⼈还会因为账号安全⽽被⿊。⽐如针对重要服务的密码并⾮唯⼀使⽤的强密码（1Password 这类密码安全管理软件普及率其实还是很堪忧的），再⽐如双因素(2FA)懒得开启、甚⾄不知道有这玩意、不知道该如何使⽤。更别提针对⼀些服务，每年⾄少要重置下密码吧。

好，⼀点⾼级攻击⼿法就先介绍这些。对于你来说，只需明⽩这确实是个⿊暗森林，但凡有可能就多了解了解各种五花⼋⻔的攻击⼿法。⻅多后，甚⾄⾃⼰踩过⼏次坑，你⾄少也可以成为⼀名⾮职业⽹络安全⼈员了（这样的⼀种身份多好，技多不压身）。

返回目录     下一篇

#区块链个人安全黑手册 #比特币 #区块链安全