社会工程攻击主宰 Web3、元宇宙

作者：Charlie Osborne

研究人员预测，社会工程攻击的激增将主导 web3 和元宇宙。 

Web3 是为可能成为互联网的下一个面孔而创造的术语。网络已经从包含内容的页面转变为社交媒体的增长，现在，去中心化互联网的概念正在 Web3 的旗帜下进行讨论。 

这种转变的一部分可能包括“元宇宙”——一个 3D 环境和虚拟世界，用于促进社交联系，无论是个人的还是工作的。您在元宇宙中的 ID 也可能最终与加密货币钱包、不可替代代币 (NFT) 和各种智能合约相关联。 

随着技术供应商致力于这些概念，来自 Cisco Talos 的网络安全研究人员提出了他们对 Web3 和元宇宙将面临的潜在威胁的看法。 

OpenSea 用户最近经历的网络钓鱼浪潮中，受害者被欺骗签署恶意合约交易并交出他们的 NFT，这可能凸显了我们未来可能会更常见的攻击形式。 

团队讨论的第一个问题是使用以太坊名称服务 (ENS) 和可能即将推出的类似服务，这些服务用于将钱包地址压缩成易于记忆的格式。 

正如我们中的一些人推测 ENS 域的潜在未来价值并注册它们——例如“businessname.eth”——这些地址可以用作网络钓鱼攻击的杠杆，特别是因为 ENS 域记录在区块链上并且不能被很容易通过商标纠纷删除。 

“毫无疑问，诸如 cisco.eth、wellsfargo.eth、foxnews.eth 等 ENS 域名实际上并不归拥有这些商标的相应公司所有，而是归注册这些商标的第三方所有。早期以未知的意图命名，”塔洛斯说。“这里的风险是显而易见的。”

此外，那些注册 ENS 域的人可能会使用他们的名字，对地址进行去匿名化并向其他人发出个人在其加密货币钱包中拥有哪些资金的信号，这可能会增加他们被攻击者有选择地瞄准的风险。 

Cisco Talos 对公布地址的 .ENS 域名持有人进行了简短搜索，发现一些“鲸鱼”持有大量加密货币和一些相当有利可图的 NFT。

许多持有者还透露了他们的家乡、全名和社交媒体资料——让攻击者更广泛地了解个人在社会工程攻击中的目标。 

研究人员说：“对于许多人来说，从 ENS 域和 Twitter 帐户开始识别他们的真实身份和物理位置几乎是微不足道的。” 

由于 Web3 将是一个用户需要时间来了解的新概念，因此普遍缺乏教育也可能使个人更容易受到诈骗和欺诈的影响。 

“不熟悉的技术通常会导致用户做出错误的决定，”Cisco Talos 说。“Web3 也不例外。绝大多数影响 Web3 用户的安全事件都源于社会工程攻击。”

此外，钱包克隆——在实践中已经是一种威胁——可能会成为未来更流行的攻击方法。这要求受害者放弃他们的助记词，即用于找回丢失钱包的密钥，并且可以通过社会工程、作为客户支持或在虚假验证过程中欺骗钱包持有人来请求。 

虽然 Web3 仍处于开发阶段，但值得花时间熟悉这项技术——尤其是如果您计划在未来探索去中心化的世界。 

Cisco Talos 还建议实施基本的安全措施、密码管理器、多重身份验证 (MFA)，最重要的是，记住永远不要交出助记词。