在Google搜尋幣安,排行第一的搜尋結果「幣安YouTube頻道」居然是假的!頻道裡刻意放置錯誤的連結誘導民眾進到釣魚網站輸入帳號密碼,甚至是已經植入病毒的虛假APP,竊取受害者的個資、以及登入憑證。
釣魚網站是十分常見、歷史悠久的網路詐騙型態,通常會偽裝成銀行網站或是線上購物,除了網站整體長得與真正的十分相像,有些連網址都難以辨識,這種網站主要目的通常是騙取民眾的登入帳號密碼
以往釣魚網站常常透過簡訊、電子郵件、虛假活動等方式主動私訊受害者,用一些威脅或是利誘的話術誘導民眾點擊網站登入。舉例來說,幣安是交易量最大的加密貨幣交易所,因此經常受到詐騙集團假冒,發布夾帶釣魚網站的訊息,我們也曾多次發文教大家如何預防:
- 【防詐達人X幣安】假客服真詐騙!假幣安客服私訊五週年限定回饋,用戶錢包秒被清空
- 開通Pexpay才能繼續使用幣安?詐騙警告!使用兩大工具破解幣安釣魚簡訊
- 假「幣安」領取比特幣通知,釣魚郵件盜帳號,小心虛擬貨幣被轉走
真實案例-假幣安YouTube頻道真竊財
詐騙集團利用購買Google廣告,引導用戶進入詐騙集團在YouTube設置的假頻道,並在簡介置入假的網站,誘騙用戶進入進行假的交易。或是在頻道內放入虛假安裝程式的連結,實際上安裝檔案裡面含有能夠竊取用戶手機、電腦內所有個資、交易帳號和密碼的木馬病毒。
無論最終你是進入釣魚網站還是不慎安裝惡意軟體,你的個資都將外流,交易帳戶也會因此被盜用,造成龐大的財物損失。
假幣安YouTube頻道釣魚流程
Step1. 搜尋結果排第一
詐騙集團利用Google搜尋引擎的關鍵字廣告,瞄準特定品牌的關鍵字,只要用戶搜尋,這個網站就可以出現在搜尋結果的前兩名,而很多民眾都以為搜尋結果越靠前的資訊越可靠,甚至以為只要排名第一就是官網,其實這反而讓自己落入詐騙集團圈套
例如在Google搜尋「幣安」時,在搜尋結果第二個出現一個叫做「binanceapp – 幣 安下載」的YouTube網站
雖然每次搜尋出來的結果不太一樣,但他們皆試圖用YouTube假冒幣安,不像以往的網路釣魚是使用自架網站,或是簡訊、電子郵件等可以讓用戶透過網址或寄件者就心生懷疑
不過這裡大家有發現一個小疑點嗎?這些假冒幣安的搜尋結果,文字排序上都有一點奇怪,中間總是會出現莫名的空格或是標點符號,如「幣 安」或是「币-安官 网」
Step2. 假Youtube頻道
透過Google搜尋結果,我們已經發現好幾個假冒幣安的YouTube頻道,分別是:
- Binance wallet
- Binancewallet—币安交易所
- 币
- 币安交易所官方下载
他們不止名稱做的與幣安相關,甚至會使用幣安的Logo作為頭像,在簡介處寫的也是介紹幣安這家公司,並在底下附上許多「安裝連結」
在此我們也附上真正的幣安YouTube頻道,供大家做比較
大家可以發現跟真正的幣安YouTube比起來,假冒的通常有幾點特徵:
- 近期才創立的帳號(不到一年)
- 訂閱人數極少
- 除了簡介以外,沒有上傳任何影片或推薦其他頻道
- 連結全部只有導向安裝檔案,真正的幣安YouTube還有放其他社群頻道連結
就如同我們以往教大家辨識釣魚網站一樣的概念,創立時間太短以及意圖太過明顯(只要你下載、登入)都是詐騙的明顯指標!
Step3. 網路釣魚/植入病毒
這些假冒的YouTube頻道空空如也,雖然是YouTube卻沒有任何影片,反而是放了許多的超連結,聲稱可以到幣安官網以及下載幣安軟體,實際上這些安裝檔都是惡意軟體,透過趨勢科技的掃毒結果發現(如下),這裡面都夾帶了木馬程式。
TrendMicro - TROJ_GEN.R002C0PGN22
TrendMicro-HouseCall - TROJ_GEN.R002H07H222
不同木馬程式帶來的危害不同,有些讓駭客可以遠端操縱受害者的電腦,有些是竊取個人資料,或透過側錄鍵盤去抓取你的登入帳號密碼,甚至可能讓自己的電腦成為歹徒的魁儡網路,用來做了一些惡意行為,但你卻不知道。
另外還有一些YouTube假頻道是先將民眾帶到假官網,讓你意外在這些釣魚網站輸入幣安的帳號密碼,而導致帳戶被盜用,同時也會在網站放入假的載點,讓民眾不小心下載到惡意軟體。
例如,我們發現不只是幣安,YouTube上還有假Telegram頻道「Telegram-中文频道」,裡面的連結先是帶到釣魚網站「hxxps[:]//www[.]t-telegram[.]org/」,真正的Telegram官網應該是https://telegram.org/
使用這些小工具,不再擔心幣安釣魚
網路釣魚手法總是不斷更新,有時還會用「帳戶即將被凍結」「限時好康」等話術暗示民眾趕快行動。想要謹慎檢查卻又擔心花太多時間或是不知從何開始嗎?放心!幣安一向很積極處理用戶的資安問題,因此致力提供維護用戶安全的小服務,只要你會用,就不怕遇到假幣安!
以下跟大家介紹三個小工具,幫助你一下就能辨識釣魚網站
1. 設置幣安防釣魚碼一眼看穿假幣安的電子郵件
防釣魚碼是幣安提供專門可以用來防止電子郵件釣魚的一項安全功能,不知道你有沒有注意過,在每一封幣安郵件的底下都有一句:“To stay secure, setup your phishing code here”
點擊連結啟用之後,幣安會在所有給你發送的郵件中加入你設置的防釣魚碼,這樣一來,如果郵件中沒有看到這組防釣魚碼,就代表這不是官方發送的郵件!
2. 幣安驗證一秒檢查是不是「真」幣安
任何聲稱與幣安有關的電子郵件地址、電話、微信ID、推特ID或是Telegram ID,你都可以輸入幣安驗證中,這可以告訴你它是否來自幣安官方
3. 防詐達人檢查所有可疑連結跟LineID
防詐達人提供免費的Line聊天機器人服務,只需要把任何你覺得可疑的連結傳給防詐達人,不管是假冒哪個品牌的釣魚網站,都能被一秒揪出來
如果你有遇到可疑的人自稱客服要你加賴,只要你有他的LineID也可以直接傳到防詐達人查詢喔,查詢方式請看此
全方位防詐騙工具包:
- 學習更多防詐小撇步:防詐達人部落格
- 了解防詐達人:防詐達人官方網站
- 一秒辨識詐騙網站:防詐達人聊天機器人
- 和大家一起討論詐騙:防詐達人-全民反詐騙通報中心
