【NFT安全風險】「馬騮NFT」項目損失逾一千萬元 專家:預覽超連結防入侵

科技 09:00 2022/01/05

分享:

分享:

早前有黑客駭入《Monkey Kingdom》Dicord群組的管理員帳號,得手價值逾千萬港元的SOL幣,專家教路以下幾招提防NFT安全風險。

近期就連男團Mirror成員Ian陳卓賢也入手的《Monkey Kingdom》NFT項目,成為亞洲大熱,惟不少黑客已開始瞄準有關平台用戶發動攻擊,詐騙頻傳。其中《Monkey Kingdom》在上年底發售以女版孫悟空為題的NFT項目,新系列「Baepes」時,就有黑客駭入Dicord群組的管理員帳號,並發布了一個釣魚鏈接。當NFT項目交易確認後,大量用戶的加密貨幣錢包遭入侵,據官方說明,黑客一共得手近7,056枚Solana(SOL)幣,即估計損失接近130萬美元(約1,013萬港元)。

【保安漏洞】Uber疑有保安漏洞 資安網站揭駭客可盜取用戶個人資料

【網絡安全】密碼管理工具疑遭黑客入侵 LastPass:未有成功入侵跡象

雖然官方隨後提醒用戶,曾經授權加密貨幣錢包權限的用戶,盡快取消授權並將所有加密貨幣從錢包移走,免遭損失。另有在Twitter上公布補償申請表格。但用戶未來又有何對策,提防這些NFT安全風險?

本地電郵網絡安全公司Green Radar安全業務策略執行副總裁林德齡表示,在網絡釣魚詐騙案中,其中一個最常見的手法是誘騙用戶點擊超連結登錄虛假網站。他以今次Monkey Kingdom的個案為例,指出:

在交易過程中太匆忙及緊張,用戶沒有重複核對網站的真偽,也可能是導致今次損失的原因。

沒有重複核對網站真偽 將導致損失

事實上,黑客事為求達目的,多以掩人耳目的手法行騙,加上假網站已普遍利用SSL證書和reCAPTCHA,讓人誤信以為它是一個正當的網站,所以林指出,用戶必須要謹慎識別。

要提防黑客所發布的釣魚網站,他認為用戶可以:

  • 先將滑鼠游標於超連結之上以預覽該超連結真正連去甚麼網站
  • 亦可以利用網絡搜尋器,搜尋該可疑超連結的網域,若果無任何搜尋結果,那相關網域是惡意網站的機會便十分高,最好不要登錄
  • 安裝全方位電郵防護系統
  • 透過電郵進入網站時要先確認登入的網站或電子郵件的真偽,不要白白將自己的帳戶及資料送到黑客手上

【Spider-Man】假冒提供《蜘蛛俠:不戰無歸》電影免費下載 黑客挾帶惡意軟件入侵挖礦

網絡釣魚風險水平高 藉假網站欺騙

根據Green Radar本地安全監控中心 (SOC) 的數據顯示,網絡釣魚為最常見的攻擊手法,當中釣魚電郵在去年第三季的風險級別水平為「高」。網絡釣魚通常用於竊取用戶數據,包括登入憑據和信用卡號碼。當黑客偽裝成值得信任,發布假的網站,欺騙用戶打開鏈接、電子郵件、或即時訊息時,便從中盜去用戶的各種帳戶、銀行帳戶或信用卡資料。這一次便入侵了參加者的加密錢包,盜取貨幣。

責任編輯:張寶燕

開啟hket App,閱讀全文
緊貼財經時事新聞分析,讚好hket Facebook 專版
訂閱《香港經濟日報》電郵通訊
收取第一手財經新聞資訊 了解更多投資理財知識 提交代表本人同意收取香港經濟日報集團所發出的推廣訊息,你也可以查閱本網站的私隱政策使用條款