在Google搜尋幣安,排行第一的搜尋結果「幣安YouTube頻道」居然是假的!頻道裡刻意放置錯誤的連結誘導民眾進到釣魚網站輸入帳號密碼,甚至是已經植入病毒的虛假APP,竊取受害者的個資、以及登入憑證。
釣魚網站是十分常見、歷史悠久的網路詐騙型態,通常會偽裝成銀行網站或是線上購物,除了網站整體長得與真正的十分相像,有些連網址都難以辨識,這種網站主要目的通常是騙取民眾的登入帳號密碼
以往釣魚網站常常透過簡訊、電子郵件、虛假活動等方式主動私訊受害者,用一些威脅或是利誘的話術誘導民眾點擊網站登入。舉例來說,
幣安是交易量最大的加密貨幣交易所,因此經常受到詐騙集團假冒,發布夾帶釣魚網站的訊息,我們也曾多次發文教大家如何預防:
然而近期有幣安用戶舉報另一種新型的釣魚網站模式,幸好用戶警覺性夠高才沒有落入詐騙圈套。今天幣安再次與防詐達人合作,一起來警告大家這種新型的網路釣魚如何進行,以及該怎麼防範。
真實案例-假幣安YouTube頻道真竊財
詐騙集團利用購買Google廣告,引導用戶進入詐騙集團在YouTube設置的假頻道,並在簡介置入假的網站,誘騙用戶進入進行假的交易。或是在頻道內放入虛假安裝程式的連結,實際上安裝檔案裡面含有能夠竊取用戶手機、電腦內所有個資、交易帳號和密碼的木馬病毒。
無論最終你是進入釣魚網站還是不慎安裝惡意軟體,你的個資都將外流,交易帳戶也會因此被盜用,造成龐大的財物損失。
假幣安YouTube頻道釣魚流程
Step1. 搜尋結果排第一
詐騙集團利用Google搜尋引擎的關鍵字廣告,瞄準特定品牌的關鍵字,只要用戶搜尋,這個網站就可以出現在搜尋結果的前兩名,而很多民眾都以為搜尋結果越靠前的資訊越可靠,甚至以為只要排名第一就是官網,其實這反而讓自己落入詐騙集團圈套
例如在Google搜尋「幣安」時,在搜尋結果第二個出現一個叫做「binanceapp – 幣 安下載」的YouTube網站
雖然每次搜尋出來的結果不太一樣,但他們皆試圖用YouTube假冒幣安,不像以往的網路釣魚是使用自架網站,或是簡訊、電子郵件等可以讓用戶透過網址或寄件者就心生懷疑
不過這裡大家有發現一個小疑點嗎?這些假冒幣安的搜尋結果,文字排序上都有一點奇怪,中間總是會出現莫名的空格或是標點符號,如「幣 安」或是「币-安官 网」
Step2. 假Youtube頻道
透過Google搜尋結果,我們已經發現好幾個假冒幣安的YouTube頻道,分別是:
- Binance wallet
- Binancewallet—币安交易所
- 币
- 币安交易所官方下载
他們不止名稱做的與幣安相關,甚至會使用幣安的Logo作為頭像,在簡介處寫的也是介紹幣安這家公司,並在底下附上許多「安裝連結」
大家可以發現跟真正的幣安YouTube比起來,假冒的通常有幾點特徵:
- 近期才創立的帳號(不到一年)
- 訂閱人數極少
- 除了簡介以外,沒有上傳任何影片或推薦其他頻道
- 連結全部只有導向安裝檔案,真正的幣安YouTube還有放其他社群頻道連結
就如同我們以往教大家辨識釣魚網站一樣的概念,創立時間太短以及意圖太過明顯(只要你下載、登入)都是詐騙的明顯指標!
Step3. 網路釣魚/植入病毒
這些假冒的YouTube頻道空空如也,雖然是YouTube卻沒有任何影片,反而是放了許多的超連結,聲稱可以到幣安官網以及下載幣安軟體,實際上這些安裝檔都是
惡意軟體,透過
趨勢科技的掃毒結果發現(如下),這裡面都夾帶了
木馬程式。
TrendMicro - TROJ_GEN.R002C0PGN22
TrendMicro-HouseCall - TROJ_GEN.R002H07H222
不同木馬程式帶來的危害不同,有些讓駭客可以遠端操縱受害者的電腦,有些是竊取個人資料,或透過側錄鍵盤去抓取你的登入帳號密碼,甚至可能讓自己的電腦成為歹徒的魁儡網路,用來做了一些惡意行為,但你卻不知道。
另外還有一些YouTube假頻道是先將民眾帶到假官網,讓你意外在這些釣魚網站輸入幣安的帳號密碼,而導致帳戶被盜用,同時也會在網站放入假的載點,讓民眾不小心下載到惡意軟體。
例如,我們發現不只是幣安,YouTube上還有假Telegram頻道「Telegram-中文频道」,裡面的連結先是帶到釣魚網站「hxxps[:]//www[.]t-telegram[.]org/」,真正的Telegram官網應該是
https://telegram.org/
使用這些小工具,不再擔心幣安釣魚
網路釣魚手法總是不斷更新,有時還會用「帳戶即將被凍結」「限時好康」等話術暗示民眾趕快行動。想要謹慎檢查卻又擔心花太多時間或是不知從何開始嗎?放心!
幣安一向很積極處理用戶的資安問題,因此致力提供維護用戶安全的小服務,只要你會用,就不怕遇到假幣安!
以下跟大家介紹三個小工具,幫助你一下就能辨識釣魚網站
1. 設置幣安防釣魚碼一眼看穿假幣安的電子郵件
防釣魚碼是幣安提供專門可以用來防止
電子郵件釣魚的一項安全功能,不知道你有沒有注意過,在每一封幣安郵件的底下都有一句:“
To stay secure, setup your phishing code here”
點擊連結啟用之後,幣安會在所有給你發送的郵件中加入你設置的防釣魚碼,這樣一來,如果郵件中沒有看到這組防釣魚碼,就代表這不是官方發送的郵件!
2. 幣安驗證一秒檢查是不是「真」幣安
任何聲稱與幣安有關的電子郵件地址、電話、微信ID、推特ID或是Telegram ID,你都可以輸入
幣安驗證中,這可以告訴你它是否來自幣安官方
3. 防詐達人檢查所有可疑連結跟LineID
防詐達人提供免費的Line聊天機器人服務,只需要把任何你覺得可疑的連結傳給防詐達人,不管是假冒哪個品牌的釣魚網站,都能被一秒揪出來
如果你有遇到可疑的人自稱客服要你加賴,只要你有他的LineID也可以直接傳到防詐達人查詢喔,查詢方式請看
此
全方位防詐騙工具包: