ในบรรดาการฉ้อโกงหลายประเภท การโจมตีด้วยฟิชชิงเป็นหนึ่งในวิธีการที่ผู้ฉ้อโกงใช้กันมากที่สุด
อย่างไรก็ตาม ในด้านของ Web3.0 นั้นไม่ได้มีเพียงการโจมตีแบบฟิชชิ่งเท่านั้น แต่ยังมีการโจมตีแบบ ไอซ์ฟิชชิ่ง ที่จะก่อให้เกิดภัยคุกคามที่สำคัญต่อชุมชนอีกด้วย
ก่อนหน้านี้ในปี 2022 Microsoft ได้อธิบายรูปแบบเฉพาะของการโจมตีประเภทนี้ในบล็อกเป็นครั้งแรก โดยสแกมเมอร์ไม่จำเป็นต้องหลอกลวงรหัสส่วนตัวและช่วยจำของผู้ใช้ แต่จะชักจูงผู้ใช้โดยตรงให้อนุมัติการดำเนินการโอนสินทรัพย์ไปยังกระเป๋าเงินของสแกมเมอร์
จนถึงตอนนี้ ไอซ์ฟิชชิ่งได้สร้างความเสียหายต่อทรัพย์สินนับล้านดอลลาร์ในฟิลด์ Web3.0
ไอซ์ฟิชชิ่ง คืออะไร?
Ice Phishing เป็นการโจมตีประเภทหนึ่งที่มีเฉพาะในโลกของ Web3.0 โดยผู้ใช้จะถูกหลอกให้ลงชื่ออนุญาต ทำให้ผู้โจมตีสามารถใช้ทรัพย์สินภายในบัญชีของผู้ใช้ได้โดยตรง
ซึ่งแตกต่างจากการโจมตีแบบฟิชชิงแบบดั้งเดิม ซึ่งเป็นประเภทของการโจมตีแบบวิศวกรรมสังคม และมักใช้เพื่อขโมยข้อมูลผู้ใช้ รวมถึงข้อมูลรับรองการเข้าสู่ระบบและกระเป๋าเงินหรือข้อมูลสินทรัพย์ เช่น คีย์ส่วนตัวหรือรหัสผ่าน
เมื่อเทียบกับสิ่งนี้ ฟิชชิงน้ำแข็งเป็นภัยคุกคามต่อผู้ใช้ Web3.0 มากกว่า การโต้ตอบกับโปรโตคอล DeFi นั้นกำหนดให้ผู้ใช้ต้องให้สิทธิ์ และผู้โจมตีจะต้องโน้มน้าวผู้ใช้ว่าที่อยู่ที่เป็นอันตรายที่พวกเขาอนุมัตินั้นถูกต้องตามกฎหมาย เมื่อผู้ใช้ยินยอมให้มิจฉาชีพใช้ทรัพย์สินของพวกเขา มีความเสี่ยงที่บัญชีจะถูกขโมย
เครือข่ายไอซ์ฟิชชิ่ง
ขั้นตอนแรกของการโจมตีแบบฟิชชิ่งด้วยน้ำแข็งมักจะเกิดขึ้น: เหยื่อถูกหลอกให้อนุมัติ EOA หรือสัญญาที่เป็นอันตรายเพื่อใช้จ่ายสินทรัพย์ในกระเป๋าเงินของเหยื่อ
คำอธิบายภาพ
ที่มา: Etherescan
คำอธิบายภาพ
ที่มา: Etherescan
คำอธิบายภาพ
ที่มา: อย
คำอธิบายภาพ
ที่มา: Etherescan
หากคุณเห็นที่อยู่ที่คุณไม่รู้จัก หรือที่อยู่ที่เริ่มต้นธุรกรรมโดยไม่ได้รับการอนุมัติจากคุณ ให้เพิกถอนการอนุญาตทันที (โดยการเยี่ยมชมเว็บไซต์อย่าง revoke.cash หรือการเชื่อมต่อกระเป๋าเงินของคุณกับระบบสแกน)
จะเพิกถอนการอนุญาตโดยการสแกนเว็บไซต์เช่น Etherscan ได้อย่างไร
2. เชื่อมต่อกระเป๋าเงิน
2. เชื่อมต่อกระเป๋าเงิน
3. คลิกที่แท็บ ERC-20, ERC-721 หรือ ERC-1155 เพื่อค้นหาที่อยู่ที่คุณต้องการถอน
4. คลิกปุ่มยกเลิก
จะระบุฟิชชิ่งน้ำแข็งได้อย่างไร?
สัญญาณแรกที่บ่งบอกว่าผู้ใช้กำลังตกหลุมพรางของ Ice Phishing คือการดูที่ URL หรือ DApp ที่พวกเขาใช้อยู่
เว็บไซต์ที่เป็นอันตรายคัดลอกหน้าเว็บจากโครงการที่ถูกต้องตามกฎหมาย หรือแสร้งทำเป็นพันธมิตรกับองค์กรที่ถูกต้องตามกฎหมาย
ตัวอย่างเช่น เรามักจะเห็นเว็บไซต์ฉ้อฉลบางแห่งเชื่อมโยงกับ CertiK หรืออัปโหลดรายงานการตรวจสอบ CertiK ปลอม
คำอธิบายภาพ
ที่มา: ทีมสอบสวน CertiK
คำอธิบายภาพ
ที่มา: MetaMask
คำอธิบายภาพ
ผู้ใช้สามารถส่งรายงานเกี่ยวกับสัญญาที่เป็นอันตรายได้ที่ certik.com
ผู้ใช้สามารถทำการตรวจสอบออนไลน์บางอย่างได้ผ่าน DYOR (Do Your Own Research) ของพวกเขาเอง เช่น การสแกนที่อยู่ที่แสดงใน DApp หรือ URL โดยการสแกนเว็บไซต์ (เช่น Etherscan) เพื่อดูว่ามีกิจกรรมที่น่าสงสัยหรือไม่
คำอธิบายภาพ
ที่มา: Etherescan
ที่มา: ทวิตเตอร์
ที่มา: ทวิตเตอร์
จากการตรวจสอบกระเป๋าเงินของเหยื่อบางรายและโพสต์ข้อร้องเรียนบนโซเชียลมีเดีย เราพบหน้า Twitter ปลอมของ Maximus DAO ซึ่งน่าจะเกี่ยวข้องกับกระเป๋าเงิน Ice Phishing
วิธีป้องกันตัวเอง?
วิธีที่ง่ายที่สุดในการป้องกันไม่ให้ตัวเองตกเป็นเหยื่อของ Ice Phishing คือการเยี่ยมชมเว็บไซต์ที่เชื่อถือได้เพื่อตรวจสอบความถูกต้องของข้อมูล เช่น Coinmarketcap.com, coinecko.com และ certik.com
กลโกง Ice Phishing จำนวนมากสามารถพบได้ในสื่อสังคมออนไลน์ เช่น Twitter ซึ่งโครงการฉ้อฉลปลอมตัวเป็นโครงการที่ถูกต้องตามกฎหมายและส่งเสริมกิจกรรมปลอมเช่น airdrops
คำอธิบายภาพ
ที่มา: @CertiKAlert
เขียนในตอนท้าย
เขียนในตอนท้าย
ไซต์ฟิชชิงเป็นหนึ่งในประเภทของการหลอกลวงที่พบได้บ่อยที่สุดที่เราเห็นในโลกของเว็บ 3.0 และบางครั้งผู้ใช้ก็ไม่รู้ด้วยซ้ำว่าตนตกหลุมพรางเพราะพวกเขาไม่ได้ให้ข้อมูลที่ละเอียดอ่อนใดๆ
ดังนั้น นอกเหนือจากการตรวจสอบออนไลน์ด้วยตัวเองแล้ว คุณยังต้องใช้เวลาในการตรวจสอบซ้ำอีกครั้งว่า URL ของการโต้ตอบนั้นได้รับการยืนยันโดยแหล่งที่เชื่อถือได้ ซึ่งเวลาที่ใช้ไปจะคุ้มค่าคุณในวันหนึ่ง
