数世咨询-星云 - 新的攻击面浮出水面——来自NFT的威胁

最近,针对线上艺术家NFT(nonfungible token,非同质化通证)项目的恶意软件攻击表明犯罪份子也开始从数字货物日益增长的蛋糕中“获益”——这对那些越来越多的试图乘上NFT浪潮进行品牌推广的企业也有一定的警示作用。
根据Malwarebytes的研究人员观察,这一系列的攻击使用到了NFT项目Cyberpunk Ape Executives中的消息系统。这些消息被发送给在DeviantArt和Pixiv这类在线平台的数字艺术创作者,邀请收件人一起和Cyberpunk Ape项目幕后的人员协作,创建新的NFT内容。这些信息还保证每天能有350美元的酬劳。
消息中还有一条链接,表示能将收件人引向项目的详细信息。当用户点击这个链接的时候,他们会跳转到一个网站,下载多幅猩猩的图片,作为该项目NFT的例子。其中的一副图片是可执行文件,会在打开的时候感染用户的系统,并植入信息窃取脚本。
Malwarebytes表示,他们已经发现Pixiv和DeviantArt等平台上多名用户声称他们的账户被用于散布同样的Cyberpunk Ape Executive NFT项目欺诈信息。Malwarebytes表示他们无法确认信息窃取脚本本身是否会导致账号信息泄露,还是这又是其他钓鱼攻击的结果。

NFT相关的网络犯罪:一个快速增长的威胁

这次的攻击事件只是近来暴增的基于NFT的攻击事件之一。Malwarebytes的首席恶意软件情报分析师Chris Boyd表示,大部分的攻击事件,当前只是针对直接在NFT领域工作的人。Boyd预测:“然而,随着更多主流业务开始启用NFT项目,或者想进入区块链业务,NFT的安全问题会很快成为传统行业中不得不考虑的问题。”
像Gartner和Forrester这样的分析公司已经预测,在未来的几年时间,NFT会成为企业战略中的重要部分。Gartner在2021年的成熟度曲线中将NFT视为新兴技术,并且认为这类技术会在未来十年对商业和社会形成最大的影响。Gartner预计,NTF会在元宇宙中承担奠基层面的角色,帮助企业通过沉浸式的虚拟工作环境,为员工和其他人提供更好的联系、合作和沟通环境。
Forrester指出像保险公司State Farm也通过橄榄球主题的寻宝进入NFT领域,代表了越来越多的企业正在快速投入对NFT进行试水。
HBR(Harvard Business Review,哈佛商业评论)在今年早些时候将企业对NFT初始的推动描述为他们开始关注发起属于他们自己的数字收集品——比如Campbell的汤罐头艺术。HBR预测在未来几年,NFT会成为企业和他们顾客之间的“核心数字接触点”。

各种类型的攻击

Boyd提到,Malwarebytes每天都能观察到多种不同的NFT和加密货币威胁。
“最常见的攻击,是欺骗那些加密货币的狂热者交出他们钱包的助记词。”他说到。那些被欺骗成功的用户经常会永远失去他们的加密货币,他继续说到:“伪造的Airdrop也很常见,也会要求助记词或者让受害者将他们的钱包连接到恶意的Airdrop网站。这些虚假的Airdrop网站基本都是真实NFT项目网站的伪造品。由于有太多小而未被验证的项目,通常用户很难分辨孰真孰假。”
Check Point Software的漏洞相关产品总监Oded Vanunu表示,他的公司观察到多个基于NFT的攻击围绕挖掘NFT市场和应用中的脆弱性展开。
“我们需要理解所有NFT或者加密市场都在使用Web3协议。”Vanunu说到,直指基于区块链技术的一个新的互联网环境。攻击者正在试着发现新的攻击方式,以利用连接到像区块链这类分布式网络的应用中的漏洞。
在过去几个月,Check Point Research已经发现了多起攻击,试图骗用户提供NFT平台或者钱包的准入权限,针对NFT市场漏洞从而获取属于数字艺术家的NFT。
Check Point还发现利用恶意NFT挖掘平台漏洞的攻击。Vanunu表示,拥有NFT资产或者加密货币资产的组织需要注意这些威胁。用企业分发设备接入NFT市场的企业用户也可能会让他们的组织置于风险之中。
Lookout的安全解决方案高级经理Hank Schless也提到,越来越多基于NFT的诈骗同样表明攻击者在使用新的,并且相对未知的方式进行攻击。许多受害者在用加密货币购买NFT,却不完全理解其底层逻辑。比如,那些刚接触NFT的人可能根本不知道如何验证他们在关注的数字资产是否是真的。
攻击者能够利用这个信息差,欺骗攻击者投标假的NFT。在比较昂贵的NFT的资产的时候,这就会成为一个问题——比如一个主要的投标方会对一大批买家供应碎片化的NFT所有权。
“这些‘组团’购买的行为,通常会在想推特、Reddit和Discord这样的社交平台进行协调,这反而会给攻击者有机会接触一大批潜在的受害者。”Schless说到。尽管说大部分NTF诈骗当前依然是针对C端,但一个攻击者依然可能可以轻易地用NFT诱骗的方式,将恶意软件安装到一个企业设备中,然后获取企业数据。
Vanunu认为,现在是时候让组织提升用户对围绕NFT产生的威胁的安全意识了。拥有NFT平台或者加密钱包的组织应该推动多因子验证。他同样建议采取双钱包方案:一个冷钱包保存所有的数字资产,另一个钱包进行小额交易——这样,即使被攻击,攻击者也无法抢走太多的资产。