“从手下的代码 → 到广阔的世界”
上个月,加密投资者 @CryptoNakamao 在X上发了篇惊人的帖子,短时间内就获得2000万+浏览:我成了币圈卧底的牺牲品,币安账户里100万美元灰飞烟灭。
发布文章的时候,帖主整个人都是懵的,这些资产几乎是他这几年的全部积蓄,它们在几个小时内就被黑客洗劫干净,而且还是在他自认为安全的情况下:
-
黑客并没有拿到他的币安账号密码;
-
账户交易需要二次验证(2FA),黑客也没有得到这个验证指令。
就在这样看似妥当的环境下,黑客在全球知名的加密货币交易所平台上,几近清空了他的账户。
当时帖主的电脑和手机都未离手,而账户开始疯狂交易 ,以至于QTUM/BTC、DASH/BTC、NEO/USDC等分别被拉涨20%-30%…
更令人啼笑皆非的是,由于交易量太大,第二天帖主被多个现货做市商视作币圈大佬,纷纷向他发来邀请邮件。再
…
如上静默交易的一个半小时后,帖主在打开币安查看BTC价格时,才发现这一串哗哗的交易明细,他立即向币安客服寻求帮助。
应该说这宗安全事故也惊住了平台,他们也算是比较迅速地采取行动了,第二天即通知Kucoin和Gate冻结黑客转入资金。
不过这已无济于事,黑客不可能让钱躺在账户上睡大觉,所有资金早已被悉数转移。
咱们网络安全领域的小伙伴们应该都知道,2FA,即双重因素认证,是当前一种非常安全的认证机制,它要求用户除了提供常规的用户名和密码等信息之外,还需再进行第二种形式的身份验证。
比如我们常被要求输入的短信验证码、人脸识别等,都属于这种二次认证。
那么黑客是怎样绕过这个验证呢?
帖主求助的网络安全公司给出了调查结论:这宗损失巨大的惊人事故,源自于他在电脑谷歌浏览器上安装的一个小插件:Aggr。
这款插件看起来还挺安全的,它是一个历史悠久的开源行情数据网站插件,很多KOL还公开推荐过它,所以帖主觉得不会有任何问题,放心地用它来查看一些数据。
但不想它在悄悄收集浏览器的Cookie,黑客将这些Cookie转发到自己的服务器上,然后利用它们劫持用户会话,伪装成用户本人,完美绕过双重验证,自如地操控其账户。
当然,黑客在这其中还配合使用了其它一些技术手段,为免收不住叙述,就不展开说了。
今天主要想顺带聊几句的是,为什么Cookie能够帮助黑客骗过系统**?**
Cookie它是一种在浏览器之类的客户端上存储的数据片段,在你首次访问某个网站时,它将这个用户的会话ID、偏好设置等记录下来,保存在硬盘或内存中。
当你再次访问该网站时,浏览器就会读取这些Cookie,与访问请求一起发送给服务器,服务器可以依靠这些数据来识别用户、恢复会话状态等等。
本来Cookie是在自己电脑上用的,但如果像上述帖主这样,在浏览器中安装了恶意插件,会话Cookie就会被恶意插件劫持,回传至黑客手中。到手之后,黑客就可以用它们蒙骗过系统安全机制,顺利完成仿冒登录。
因此,如果想妥善保护自己的一些账户财产或者隐私数据,就不能轻易相信一切非官方的插件。
就像下面这位小伙伴所说,哪怕是一直以来安然无事的插件,也可能会在某次更新时,被加载上恶意代码。
想要保护重要账号,更稳妥方式是主动防护。
比如:
1、禁用Cookie。浏览器通常都会提供控制选项,允许用户禁用Cookie,可以进行相关设置。比如谷歌浏览器的“设置-隐私与安全”里:
2、**隔离账号。**很多插件非常好用,常用的浏览器完全不安装插件就不太现实,这样的话可以为重要的账户专门配置一个干净的浏览器来登录它们,不要安装任何插件。
3、随时退出。重要应用在使用后立即手动登出,不要一直保持在线状态。
4、任何账户发现异常时,先别急着分析来判断去,第一时间修改密码,这样会让之前的cookie失效。
认识一下 💬
我是在网安行业已经深耕12年的imbyter师哥,欢迎大家关注,一起手撕代码、畅聊职场,链接更多网安与编程交流~
再看看吧:
