小A 最近收到了交易所即將清退大陸用戶的短信,他準備將加密貨幣從交易所提到錢包。於是小A 在瀏覽器輸入“xx 錢包官方”,點進排在首位的鏈接,下載App-創建錢包-轉入資產,一氣呵成。沒幾天,小A 收到了轉賬成功的通知,他錢包App 裡的餘額——價值1000 萬美元的ERC20-USDT——都化為零了。小A 後來才意識到,這個App 是假的,自己下載到廣告位的釣魚App 了。小A 在朋友的介紹下,找到了我們。
聚焦受害者
小A 不是第一個找到我們的受害者了。
隨著加密貨幣被媒體持續炒熱,不少路人在毫無基礎的情況下瘋狂湧入加密貨幣世界,滋生了一系列被騙被盜事件。當越來越多的受害者找到我們,我們便開始關注並收集相關事件的信息。
根據慢霧MistTrack 所接觸的受害者信息收集統計,因下載假錢包App 被盜的就占到了61%。
而下載到假錢包App 的方式無外乎幾種:
騙子向用戶發送海報或鏈接,誘導用戶下載假App;
騙子通過購買搜索引擎的廣告位及自然流量,誘騙用戶訪問虛假官網;
騙子獲取受害者信任後,向受害者發送鏈接下載App,並鼓勵受害者購買加密貨幣並轉入他們的錢包,騙子不斷找藉口要求受害者存入更多資金以提取資金。
最後這些受害者始終沒有拿回他們的錢。
▲ 受害者案例
據某個受害者反映,騙子一開始通過群聊添加為好友,接著與受害者成為朋友,獲得信任後,向受害者發送了所謂的官網下載鏈接。我們來對比下官方與釣魚網站之間的區別。
以該受害者提供的信息來看,假官網雖然看起來很逼真,但總有一些破綻。比如假官網名稱居然叫“im 錢包”、假官網隨處可見的下載二維碼。當受害者決定下載App 時,掃描二維碼後會將他們帶到模仿應用商店的網頁,該頁面甚至有虛假評論,使受害者相信這個錢包App 是合法的。
追踪研究
慢霧AML 團隊對找到我們的受害者提供的信息進行分析研究,據不完全統計,目前因下載假App 導致資產被盜的受害者規模已有上萬人,被盜金額高達十三億美元,這還只是針對找到我們的受害者的統計,而且只包括ETH、BTC、ERC20-USDT、TRX、TRC20-USDT。
下圖是11 月份找到我們並希望我們能提供幫助的受害者錢包被盜的相關信息。
其中一名受害者分享了他被盜的資金轉移到的波場地址(TDH...wrn),該騙子地址目前已接收超過258,571 TRC20-USDT。
慢霧MistTrack 對該騙子地址進行追踪分析,結果顯示共有14 人將資金轉入該地址,可以認為14 人都是受害者,同時,資金流入的每一層地址交易量都很大,資金被拆分後都流入了不同的Binance 用戶地址。
其中一個Binance 用戶地址(TXJ...G8u) 目前已接收超609,969.299 枚TRC20-USDT,價值超61 萬美元。
這只是其中一個地址而已,可想而知這種騙局的規模以及騙子從受害者那裡賺了多少錢。
還有一個有趣的點,當我們在分析某些騙子地址(如BTC 地址32q...fia)的時候,竟發現該地址的資金被轉移到了與勒索活動相關聯的惡意地址,通過一些渠道的查詢結果顯示,此類騙局似乎不僅是團伙作案,甚至表現出跨省跨國的特徵。
此外,我們的分析還顯示出,騙子得手後通常會將一部分資金轉移到交易平台,將另一小撮資金轉入某個交易量特別大的黑客地址,以混淆分析。
總結
目前這種騙局活動不僅活躍,甚至有擴大範圍的趨勢,每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節,應時刻保持懷疑之心,增強安全意識與風險意識,必要時可通過官方驗證通道核實。
同時,如需使用錢包,請務必認准以下主流錢包App 官方網址:
imToken 錢包:
https://token.im/
TokenPocket 錢包:
https://www.tokenpocket.pro/
TronLink 錢包:
https://www.tronlink.org/
比特派錢包:
https://bitpie.com/
MetaMask 錢包:
https://metamask.io/
火幣錢包:
https://www.huobiwallet.io/