了解黑客用来提取比特币的4种方法以及如何保护自己

随着人类与基于区块链的技术之间关系的发展，在加密货币生态系统中出现了许多幸运的故事。但是，在黑客现在持有的比特币或其他加密资产中，也有很多不幸的情况的证词。因此，在本文中，我们向您展示了网络犯罪分子使用的四种方法以及为保护自己而必须实施的公式。

MyCrypto平台的安全总监Harry Denley发表了一系列文章，详细介绍了他的研究结果，这些研究涉及黑客用来欺骗和窃取受害者比特币或以太币中资金的技术。在这里，我们谈论其中的四个：

高级网络钓鱼攻击

加密货币世界中的许多平台，特别是要求您输入秘密信息的产品，要求您检查URL地址栏中的SSL（安全套接字层）证书，该证书是用于验证网站身份的数字标题并加密发送到服务器的信息。但是，根据Denley指出的那样，即使您检查了这些元素，您也不应该完全信任，因为已经有攻击绕过这些安全措施，操纵用户的目的，以便他认为自己在某个网站上，而实际上他不在。因此，建议用户始终保持警惕，并选择其他安全机制。

网络钓鱼技术导致网页几乎与原始网页相同。图片来自Rawpixel / elements.envato.com

2017年，网络钓鱼攻击成功窃取了超过15,000美元的ETH，随后被致力于测试Web服务安全级别的黑客和五分之一的Wesley Neelen所发现，以防止恶意攻击。

攻击是通过电子邮件发送的，该电子邮件地址显然只订阅了Kin Foundation，即当时市场上的首次代币发行（ICO）。其中详细说明了MyEtherWallet（MEW）由于稍后会发生分叉而需要更新有关投资组合余额的信息。

通过电子邮件中的链接，用户被定向到一个网站，该网站完全从MEW官方页面复制了该界面，唯一的区别是t下方的逗号对应于通过Unicode技巧输入的拉丁字符。该网站甚至使用名为Let’s Encrypt的免费服务实施了HTTPS，该页面将页面显示为安全。

这就是伪页面的目的，该页面旨在窃取粗心的数据。资料来源：Wesley Neele研究。避免它的公式

始终保持警惕，并检查浏览器是否进入全屏模式。切勿在网站上输入您的凭据或私钥，也不会通过链接到达。

不要通过链接而是直接在地址栏中输入来输入网页。同样，专家建议安装EtherAddressLookup（Chrome浏览器的插件），或使用MetaMask（包含您的私钥并阻止其欺诈网站列表中注册的网络钓鱼地址）。

在社区中学习并分享有关新的网络钓鱼策略的见解。如果您觉得有些奇怪，请相信您的直觉并找到您想要执行的可靠来源。使用硬件钱包或在您的钱包上实施2FA验证。

运行EtherscamDB加密货币骗局数据库的Denley建议用户保持警惕此网站上发布的警告。

当心恶意扩展

在去年9月于里加举行的波罗的海Honeybadger会议上，Casa CEO杰里米·韦尔奇（Jeremy Welch）警告观众，浏览器扩展可以帮助骗子和黑客窃取您的比特币或其他加密货币。

扩展程序可以收集大量数据，骗子可以对其进行过滤，窃取和使用。浏览器历史记录就是一个例子，它可以暴露用户的在线习惯，包括与加密货币有关的站点访问。同样，韦尔奇向在场的人发出警告：“确保不要在任何地方公开您的比特币地址。”

骇客经常将“太好以至不能成为现实”的诱饵用作诱饵图片来源：DC_Studio / elements.envato.com

关于这个主题，哈里·丹利（Harry Denley）在他的博客上报道了一个项目，该项目承诺在用户安装浏览器扩展程序的情况下退还用户进行的每笔交易的钱。该产品承诺最多退款5％。但是，这位专家说：“承诺在您所有加密货币交易中获得最高5％回报的产品实在太好了，难以置信。”因此，在检查了代码之后，他发现该网站的行为异常。

事实证明，当用户安装浏览器扩展时，它会要求访问各种特定站点，例如Github，Exmo，Coinbase，HitBTC，LocalBitcoins等。另外，请求访问各种打开的选项卡及其cookie。黑客的目的是，然后使用这些权限来窃取存储在交易所中的比特币资金和加密货币钱包。 “一句话概括起来，根据您所在的领域，窃取所有秘密。例如，在Binance中，它会窃取您的访问数据，2FA代码，CSRF令牌，并尝试自动提取加密货币，” Denley说。

保护自己的步骤

请勿安装无法阅读且需要入侵许可的软件。如果出现问题，可能是。评估可能导致您改变用户体验的原因。定期检查浏览器中的扩展名，并删除不再使用的扩展名。

如果您安装了使用的浏览器扩展，请寻找开源版本或替代版本。另外，请关闭Chrome自动更新程序，并确保审核代码或找到您信任的人来帮助您保持安全。

小心您的KYC文件

许多加密货币交易所要求其用户通过KYC（了解您的客户或了解您的客户）来验证自己的帐户，但是对于此过程，Denley会警告用户：他们必须谨慎对待自己的信息。

专家报告说，在发现网站上所谓的领导团队的照片是假的之后，他调查了一个加密货币平台。例如，他的首席营销官名为里兹万·格雷（Rizwan Gray）的照片是由费尔利·狄金森大学（Fairleigh Dickinson University）教授乔纳森·希夫（Jonathan Schiff）博士拍摄的。

KYC身份验证过程需要格外小心，以避免将敏感信息发送给恶意人员。图片由master1305 / elements.envato.com

但是，除此之外，调查引发的事情确实令人不安。 “首先，该项目在WordPress上运行-本质上还不错，但是WordPress并不是安全的巅峰之作，对于运行需要KYC文档的ICO的项目而言，这尤其糟糕。我浏览了存储WordPress上传文件的目录，发现其中列出了超过15,000个KYC文档。公开列出了15,000个文档。所有人都可以使用15,000个文档，” Denley在帖子中解释道。

保持安全的步骤

如果用户提供的文件符合KYC程序，请联系黑客，这些它们可以通过各种方式危害您，例如窃取您的身份，窃取您的比特币和其他加密货币资金，破坏您的信用等级，破坏声誉并在生活中造成重大问题。

专家建议您停一会儿，评估一下您是否真正重视要保留数据的项目。问问自己是否相信他们的安全，他们的远见和如果您认为应该上传身份证明文件，请提交考虑到由未知管理员运行的随机服务器。

Denley留下的另一个事实是，如果您将KYC程序所需的文档上载到您信任的交易所或ICO，请确保将其与该平台的域密封在一起，以便在泄露时更难以被恶意使用。

保护您的私钥

Edge移动钱包的首席执行官兼联合创始人Paul Puey在与CriptoNoticias的对话中谈到需要保护私钥，以便只有用户才能访问它们。

对于Puey来说，区块链技术正在创建一种新的数字安全范式，因为他认为加密货币和区块链技术已经将数字货币的完全控制权交给了个人，并且“这种力量带来了保护数据的责任这样只有一个用户可以访问它们”。

不得在任何网站上输入经过测试的密码。图片来自Rawpixel / elements.envato.com

但是，虽然必须由用户绝对控制其私钥，但用户也必须知道，以便在区块链上对交易进行身份验证，不需要用户名，仅需要私钥。

“在发送您的以太币时，您不必同时拥有公钥和私钥。您只需要一个私钥即可访问钱包。这带来了额外的风险，因为诈骗者或网络钓鱼站点仅需要获取该唯一信息即可破坏他们的日子，月份，年份和生活，” Harry Denley在博客中说。

所以如果用户丢失了私钥，则无需执行任何操作，因为您的私钥未存储在中央服务器上。如果您丢失了私钥，您的资金将永远丢失，无法取回。

另一方面，如果某人获得了访问您的私钥的权限，那么您唯一能做的就是比获得私钥并尝试保护比特币资金的黑客行动更快，他们要先转移比特币并将其丢失。

丹利（Denley）使用的短语可能会让您感到惊讶：“使用私钥来访问您的资产，尤其是在网站上，真是火上浇油。”

MyEtherWallet的创始人兼首席执行官Taylor Monahan也谈到了这一点：“当我们开始构建MyEtherWallet时，我没有意识到鼓励人们在网站上使用其私钥有多么危险。我以为，如果我们值得信赖，并且从未在任何地方发送私钥，那将是安全的。那是短视，愚蠢，无知，有害的，我们将永远无法回到过去改变我们在2015年初做出的决定。”

Monahan说，在意识到他们正在指导用户采取不良做法之后，他们现在通过警告他们不要在任何网站上输入私钥的原因来重新教育社区。此外，他们警告用户，这样做可能会成为黑客，网络钓鱼者，骗子和网络犯罪分子的受害者，他们假装接管比特币和其他加密货币。

显示EtherrebDB的统计数据表明，已经将超过40,000 ETH发送到标记为与骗局或网络钓鱼站点有关联的地址。这些资金仅针对那些在网站上留下密码的个人。

为了保护自己，请确保应用以下内容：

更改密码并使其成为要塞。一个好的密码是这样的：3rd awM＃A ^ 9x＆r61v。使用密码管理器生成带有大写和小写字符及符号的密码管理器。

如果没有密码管理器，请安装一个，例如1Password或LastPass。请勿使用浏览器内置的密码管理器，也不要在其中任何一种中输入信用卡详细信息或其他信息。在所有设备上正确设置。通过Google Authenticator使用2FA保护您的密码管理器。

更改您的所有密码，甚至包括您在Skype，Twitter，Instagram等上的密码。切勿在其他服务中重复输入密码。将2FA身份验证放在放置私钥的所有服务上。

不要将私钥的备份副本保留在计算机或其他设备上。如果事情不容易丢失，请考虑使用Yubikey之类的选项，它是一种可防止网络钓鱼，黑客攻击和网络钓鱼的USB身份验证密钥，可让您登录到安全的环境，以访问比特币和其他加密货币的资金。使用打印机打印钱包私钥的备份副本，或Google Authenticator代码的备份副本及其他。考虑使用冷钱包来保护您的储蓄。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/4-metodos-hackers-extraer-bitcoins-como-protegerte/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。