2024-03-22|閱讀時間 ‧ 約 28 分鐘

墨耘|加密貨幣詐騙真實案例分析,如何避免成為受害者?

加密貨幣詐騙行為可以概括分成兩大類,分別是「網路釣魚」和「社交工程」。

  • 網路釣魚(Phishing)仿冒某個具有公信力的單位(專家、名人、交易所),短時間廣撒以假亂真的消息,坐等受害者上鉤點擊某個惡意連結,謀取你的機敏資訊。
  • 社交工程(Social Engineering)捏造各種人設和背景故事,主動接近你,和你博感情,漸進式地贏得你的信任;等到你放鬆戒心以後,要從你身上撈一筆大的。

網路釣魚社交工程為什麼得逞?公信力搏感情模式坐等魚兒上鉤主動噓寒問暖收割期短長詐騙金額不一定大

我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。


加密貨幣詐騙:網路釣魚類

網路釣魚的行為模式可概括如下:

≣ 第一步:冒充

詐騙者冒充具有公信力的個人或機構,一種方式是扮演「仿冒品」帳號,甚至有直接駭走「本尊」帳號的情況。

≣ 第二步:散布虛假消息

詐騙者散播假的官方公告,勾起受害者的關注或好奇心。

≣ 第三步:夾帶惡意連結

在虛假訊息中夾帶惡意連結,誘使受害者點擊這些餌,坐等魚兒上鉤。

≣ 第四步:竊取機敏資訊

一旦受害者點擊了惡意連結,詐騙者就可以竊取受害者的機敏資訊,比方說:

  • 監控受害者的「剪貼簿」歷史紀錄,來掌握他們的平台密碼或錢包私鑰(助記詞)。
  • 詐騙者將惡意規則以程式碼的方式嵌入到智能合約裡,讓那些不懂/懶得查看簽署內容的受害者中鏢。
  • 詐騙者建立一個山寨地址(開頭五碼及結尾四碼相同,但中間不同),然後用這個地址空投代幣給被害人。這個手法叫做地址中毒(Address poisoning),向受害者「投毒」要魚目混珠「感染」他們的交易紀錄。未來受害者在做錢包內地址之間的資金劃轉時,萬一不小心複製到了詐騙者的山寨地址,就有可能將資金誤轉。


≣ 加密貨幣詐騙(網路釣魚)真實案例

例如,我們在 FB/IG 上看到打著台灣加密貨幣交易所名號的「公會」廣告,這些都是加密貨幣詐騙群。因為投放廣告的帳號,頭像看起來都怪怪的。試問,一間正派的交易所,怎麼可能會用「小姐姐」頭像來發送官方訊息呢?

又如,下方的社交媒體 X(前 Twitter)上 ,正牌的官方 Grass @getgrass_io 發布了一則貼文,但留言串出現一個詐騙者 Grass @HoursGames 見縫插針,趁機置入釣魚連結,這個山寨帳號有著一樣的暱稱、圖像甚至還有黃勾勾認證,不仔細看就會中招了。

≣ 加密貨幣詐騙(網路釣魚)研討復盤

透過以上講解,希望大家可以更清楚地了解網路釣魚的行為模式。

因為即使是「本尊」也有可能被駭而發布虛假訊息、惡意連結,所以關鍵點是,你在點擊任何超連結之前務必做好查證:

  1. 你可以同時比對多個官方渠道(網站、FB、IG、X、Discord⋯⋯)的消息,畢竟同時間所有官方渠道都被駭入的機率是低的。
  2. 向官方客服求證。
  3. 在加密貨幣群組向其他群友打聽,發揮集體智慧的力量。

加密貨幣詐騙:社交工程類

社交工程的行為模式可概括如下:

≣ 第一步:人設

詐騙者扮演各種帥哥、美女、創業維艱、孝感動天、逆境掙扎⋯⋯各種「有故事的人」,他們會主動親近你,和你博感情,漸進式地贏得你的信任;他們願意花時間「放長線釣大魚」,等到你把他們當成自己人以後,通常是男女之間的情感關係,就準備要從你身上撈一筆大的。

≣ 第二步:要你投資加密貨幣

此時,詐騙者會搭配話術(例如:千載難逢的投資名額、穩賺不賠的獲利機會)要你投資加密貨幣。

其實在這個階段,詐騙者已經建立起足夠的「情感帳戶/信任帳戶」,所以他們的說詞不是重點,因為你已經「當局者迷」了,他們說什麼你就信什麼,於是你就拿出了你的資金。

≣ 第三步:指向不明錢包/假平台

但不是每個人,一開始就知道如何購買加密貨幣呀!所以詐騙者會教導你購買加密貨幣,而且他們還要讓你「看得見」帳上的金額,分為兩種情況討論:

  • 先讓你在台灣合法合規的加密貨幣交易所(例如 BitoPro、MAX)註冊、入金、買幣,等到時機成熟後,要你把幣轉帳至某個不明錢包/假平台。
  • 直接讓你在假平台註冊、入金、買幣。

≣ 第四步:各種拖延出金

通常,一開始會讓你吃一些甜頭,你能夠正常出金(落袋為安)。

這是為了要強化你的信心,讓你不再只是「試水溫」,詐騙者要你食髓知味,投入更多資金(他都經營這麼久了,一定要撈一波大的才夠本)。

等到他覺得你在假平台存放的資金夠多了,這時你會遇到各種拖延出金的理由,比方說觸發風控,暫時凍結你的帳戶,要你「再存入」一筆資金,才能解鎖。

最後,不管你有沒有「再存入」這筆錢,你的資金都拿不回來了。

≣ 第五步:二次傷害

這是番外篇。

詐騙者利用受害者心有不甘,急於想要抓住救命稻草的心理,假稱自己有專業技術或人脈(例如:國際駭客組織、律師事務所),可以協助你把詐騙者繩之以法或取回資金——事實上卻是要來騙取你的「手續費/委託費」,最後他們根本不會辦事,你只是再一次把個資和錢給了他們而已。


資料來源:刑事警察局

≣ 加密貨幣詐騙(社交工程)真實案例

略過先前一大段「培養感情」的階段,快速跳轉到詐騙者要求受害者使用名不見經傳的加密貨幣交易所,例如這間名為 CoinGrew 的假平台。

群友是怎麼辨識這間 CoinGrew 是假貨呢?以下是一些疑點:

第一,在 CoinMarketCap、CoinGecko 等加密貨幣數據追蹤網站,查詢不到收錄 CoinGrew 交易所的資訊建檔。

第二,這間 CoinGrew 交易所竟然沒有網頁版,只有 App 版本。

第三,簡陋的 App 介面,還「參考」了 Bitget 交易所的視覺設計,謊稱足球員「法國小跑車」姆巴佩(Kylian Mbappé)是交易所代言人,但網路上根本查不到相關新聞稿。

第四,這間 CoinGrew 交易所直接照抄〈鏈習生〉的科普文章,直接「換皮」變成自己的介紹文。如果是一間正規的交易所,絕對不會如此草率地、偷懶地產製內容。

然後下方是 CoinGrew 交易所寄給用戶一份很粗糙的「帳戶凍結」告知函,有多拙劣呢?美國證券交易所的縮寫明明就是 SEC,怎麼文中以 BCH 來稱呼了?

最後受害者發現自己受騙上當,可能會在 Google 上自救搜尋,要小心網路上有這種農場文章(同一種發文格式,大量套用在免洗部落格上),他們「要受害者加賴」佯稱有救回資金的機會,但往往是要再次從受害者身上剝一層皮。

≣ 加密貨幣詐騙(社交工程)研討復盤

透過以上分析,希望大家可以更清楚地了解社交工程最後是怎麼收割的,引以為鑒。

總之,網路上交友「可談心別談錢」,萬一有陌生人叫你掏出真金白銀,甚至還叫你去貸款,聲稱要拿去創業、投資,這些都是危險訊號!

  1. 要小心這些利用人們情感上弱點的手段——如果你不投資,對方可能會情緒勒索你,甚至威脅你要結束這段關係——都是套路。
  2. 要小心猶如電影《楚門的世界》全部人都在演戲的局,整個群組「除了你」以外,其他所有的群友、老師都是同一批詐騙集團所扮演的。
  3. 善用 CoinMarketCap、CoinGecko 事前查詢,絕對不要使用來路不明的加密貨幣交易所。
  4. 在加密貨幣群組向其他群友徵詢意見,發揮集體智慧的力量。

加入〈鏈習生 LiNE 社群〉,和鏈習生研究員、讀者們一起探索 Web3 宇宙!


小結

我們對加密貨幣詐騙行為進行了深入分析,分為「網路釣魚」和「社交工程」兩大類。

前者是利用仿冒公信力單位散布惡意連結來吸引獵物上鉤,後者則是培養情感基礎以後收割一波,更要小心這兩種手法是可以組成 combo 技的(混合使用);也分析行為特徵,並檢附真實案例。

願這些分享能提高大家的警戒心,建立好妥妥的反詐騙防範意識。

分享至
成為作者繼續創作的動力吧!
從 Google News 追蹤更多 vocus 的最新精選內容從 Google News 追蹤更多 vocus 的最新精選內容

創作者經濟 IMO 的其他內容

你可能也想看

發表回應

成為會員 後即可發表留言
© 2024 vocus All rights reserved.