针对NFT的网络钓鱼

未标题-3

钓鱼邮件

攻击者利用各种热点（NFT预售、钱包升级、空投认领、合约升级、项目更换网站、特殊NFT)等，发送包含精心模仿的官方网站、预售平台、app下载链接等的钓鱼邮件。

示例：OpenSea

事件描述：根据OpenSea的官方回复，这是黑客在升级OpenSea合约时发起的。OpenSea联合创始人兼首席执行官Devin Finzer在推特上说，攻击者窃取了价值170万美元的以太坊。

攻击方法

攻击者使用正式升级合约时间节点向所有用户发送合约升级成功邮件。许多用户不确定邮件的来源。很多用户没有确定邮件的来源，无法控制自己的钱包，进而导致钱包被盗。

社交媒体相关的网络钓鱼

多个NFT项目

Attacker’s wallet address
BAYC
Doodles
Nyoki
Shamanz
Zooverse
Dreadfuls
Freaky Labs
Kaijukingz
Maison Ghost
MekaVerse
The Heart Project
Monkey Kindom
Fractal
Phantom Galaxies
Axie Infinity
Cryptovoxel

攻击方法

攻击者获得项目成员的Discord帐户。
攻击者使用项目方账号在频道上发布了一条新的公告，公告内容是攻击者创建的一个虚假官网，并宣布有些东西可以独家购买。
受害者访问网站，点击链接，并试图购买。授权后，ETH将被转移到攻击者的钱包中。
攻击者加入一个新的discord帐户或冒充受害者的帐户，然后说你是一个骗子，然后说你是骗子，然后将你的id提供给服务器。服务器禁止受害者账号。
攻击者要求远程桌面或屏幕共享来显示你的清白，他们会让你Ctrl+Shirt+I查看控制台，在discord的控制台会显示身份验证通证。
一旦获得通证，攻击者就可以接管该帐户。
由于NFT的特点，一些交易平台，如sudoswap、Nfttrader会鼓励用户私下进行交易NFT。
攻击者将模仿交易平台生成一个订单确认网站。经双方确认后，智能合约将自动执行。
在通信过程中，攻击者将与受害者协商以交换这些NFT。当交易发生时，攻击者建议修改数据，然后向受害者发送诈骗链接。
在双方确认后，钱包中的NFT将被转移到攻击者的钱包中。
攻击者利用discord服务器批量向不同社区的成员发送私人消息，或者假装成管理员解决问题等理由进行欺骗。
拿走钱包的私钥，或者发送一个假的网络钓鱼网站，说你可以免费获得NFT。一旦用户授权了虚假网站，账户中的NFT就会被窃取。
在一些成熟的NFT项目中，收藏品被发布了一段时间后，宣布攻击者会制作类似的收藏品并使用官网的话在discord社区等网站上发送购买链接，当真正的NFT不在线，他们将首先搜索具有类似名称的NFT，一些攻击者将提前创建几个交易。为了节省平台和项目方的佣金，社区成员之间会私下交易，此时用户往往忽略了NFT的真实性。

骗局涉及的项目

REALSWAK
NFTflow
Mercenary
Blockverse
Frosties
Bored Bunny
Evolved Apes
Iconics
Banksy

建议

切勿点击可疑电子邮件中的任何链接或附件。如果收到来自组织的可疑邮件，并怀疑该邮件是否合法，请打开web浏览器，并打开一个新选项卡。然后点击从你保存的收藏夹或通过网络搜索到该组织的网站。
如果可疑信息似乎来自你认识的人，通过其他方式(如短信或电话)联系此人进行确认。
切勿在公众地方使用电脑登入电子邮件、使用即时通讯软件、网上银行或进行其他涉及敏感资料的活动。在不确定其安全性的前提下，连接WiFi后请不要登录和收发邮件，注意使用免费WiFi。由于管理上的疏忽，一些别有用心的人使用数据拦截监控的方法来获取用户信息。
不要将敏感信息发送到互联网上，用户在互联网上发布的信息和数据可能会被攻击者收集。攻击者可以通过分析这些信息和数据，向用户发送有针对性的钓鱼邮件。
如果邮件要求下载附件或安装某些软件，请慎重判断。
对于通过社交媒体平台索要密码、验证码、2fa的人，要仔细识别身份，判断是否为他人伪造、账号是否被盗等。
定期更换经常使用的帐户密码、提高复杂度、多步骤验证等。

Source：https://medium.com/coinmonks/nft-phishing-96aa6488ae7e