长亭百川云 - 文章详情

币安账户里100万刀灰飞烟灭,我第一次遭遇黑客真实经历

imbyter

64

2024-07-04

“从手下的代码 → 到广阔的世界

上个月,加密投资者 @CryptoNakamao 在X上发了篇惊人的帖子,短时间内就获得2000万+浏览:我成了币圈卧底的牺牲品,币安账户里100万美元灰飞烟灭。

发布文章的时候,帖主整个人都是懵的,这些资产几乎是他这几年的全部积蓄,它们在几个小时内就被黑客洗劫干净,而且还是在他自认为安全的情况下:

  • 黑客并没有拿到他的币安账号密码;

  • 账户交易需要二次验证(2FA),黑客也没有得到这个验证指令。

就在这样看似妥当的环境下,黑客在全球知名的加密货币交易所平台上,几近清空了他的账户。

当时帖主的电脑和手机都未离手,而账户开始疯狂交易 ,以至于QTUM/BTC、DASH/BTC、NEO/USDC等分别被拉涨20%-30%…

更令人啼笑皆非的是,由于交易量太大,第二天帖主被多个现货做市商视作币圈大佬,纷纷向他发来邀请邮件。再

如上静默交易的一个半小时后,帖主在打开币安查看BTC价格时,才发现这一串哗哗的交易明细,他立即向币安客服寻求帮助。

应该说这宗安全事故也惊住了平台,他们也算是比较迅速地采取行动了,第二天即通知Kucoin和Gate冻结黑客转入资金。

不过这已无济于事,黑客不可能让钱躺在账户上睡大觉,所有资金早已被悉数转移。

咱们网络安全领域的小伙伴们应该都知道,2FA,即双重因素认证,是当前一种非常安全的认证机制,它要求用户除了提供常规的用户名和密码等信息之外,还需再进行第二种形式的身份验证。

比如我们常被要求输入的短信验证码、人脸识别等,都属于这种二次认证。

那么黑客是怎样绕过这个验证呢?

帖主求助的网络安全公司给出了调查结论:这宗损失巨大的惊人事故,源自于他在电脑谷歌浏览器上安装的一个小插件:Aggr。

这款插件看起来还挺安全的,它是一个历史悠久的开源行情数据网站插件,很多KOL还公开推荐过它,所以帖主觉得不会有任何问题,放心地用它来查看一些数据。

但不想它在悄悄收集浏览器的Cookie,黑客将这些Cookie转发到自己的服务器上,然后利用它们劫持用户会话,伪装成用户本人,完美绕过双重验证,自如地操控其账户。

当然,黑客在这其中还配合使用了其它一些技术手段,为免收不住叙述,就不展开说了。

今天主要想顺带聊几句的是,为什么Cookie能够帮助黑客骗过系统**?**

Cookie它是一种在浏览器之类的客户端上存储的数据片段,在你首次访问某个网站时,它将这个用户的会话ID、偏好设置等记录下来,保存在硬盘或内存中。

当你再次访问该网站时,浏览器就会读取这些Cookie,与访问请求一起发送给服务器,服务器可以依靠这些数据来识别用户、恢复会话状态等等。

本来Cookie是在自己电脑上用的,但如果像上述帖主这样,在浏览器中安装了恶意插件,会话Cookie就会被恶意插件劫持,回传至黑客手中。到手之后,黑客就可以用它们蒙骗过系统安全机制,顺利完成仿冒登录。

因此,如果想妥善保护自己的一些账户财产或者隐私数据,就不能轻易相信一切非官方的插件。

就像下面这位小伙伴所说,哪怕是一直以来安然无事的插件,也可能会在某次更新时,被加载上恶意代码。

想要保护重要账号,更稳妥方式是主动防护。

比如:

1、禁用Cookie。浏览器通常都会提供控制选项,允许用户禁用Cookie,可以进行相关设置。比如谷歌浏览器的“设置-隐私与安全”里:

2、**隔离账号。**很多插件非常好用,常用的浏览器完全不安装插件就不太现实,这样的话可以为重要的账户专门配置一个干净的浏览器来登录它们,不要安装任何插件。

3、随时退出。重要应用在使用后立即手动登出,不要一直保持在线状态。

4、任何账户发现异常时,先别急着分析来判断去,第一时间修改密码,这样会让之前的cookie失效。

认识一下 💬

我是在网安行业已经深耕12年的imbyter师哥,欢迎大家关注,一起手撕代码、畅聊职场,链接更多网安与编程交流~

再看看吧

发现一个顶级黑客,日常入侵阿里,一夜攻破13国防火墙

我体验了一个1.4 MB的操作系统

挖到华为的高危漏洞啦,3000奖励真不错

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2