暗号通貨ウォレットフィッシングとは何ですか?偽のウェブサイトを見分ける方法

世界金融の分散型プロトコルへの移行は、資産の自律性という前例のない恩恵を個人にもたらしました。しかし、それに伴い、洗練された形態のサイバー犯罪が急増しており、仮想通貨ウォレットを標的としたフィッシング攻撃が最も危険な脅威の 1 つとして浮上しています。 タンファットデジタルの現状分析によると、クリプトフィッシングは純粋な技術的な攻撃だけではなく、ソーシャルエンジニアリングや心理的操作、ブロックチェーンの動作メカニズムの無知などを通じて「人間の脆弱性」を悪用することにも焦点を当てているという。初歩的なフィッシングメールから、被害者の資産を数秒で消去できる完全に自動化された「ドレイナー」システムへの進化。これらの攻撃ベクトルを深く理解することは、Web3 分野で強固なセキュリティ戦略を構築する上で重要です。

フィッシングの起源と進化: Web2 から Web3 の詳細まで

「フィッシング」という用語は、「フィッシング」と「フリーキング」のかばん語として 1987 年に初めて記録されました。その動作原理はおとりをシミュレートします。攻撃者は、偽の、しかし一見評判の良い存在を作成して、被害者を誘惑して機密情報を自発的に提供させます。インターネットの初期段階では、主な目的は従来の銀行のログイン情報を収集することでした。しかし、ビットコインとイーサリアムの出現により、フィッシング キャンペーンの性質は完全に変わりました。

従来の金融環境では、不正な取引は、すぐに報告されれば取り消すことができることがよくあります。対照的に、ブロックチェーンの基本的な特性は不変性です。トランザクションが認証されると、いかなる主体も失われた資金を取り戻すことはできません。これにより、秘密キーとシード フレーズが主なターゲットになります。フィッシングの進化は、Web3 インターフェースの複雑さによっても促進されており、認証が混乱することが多く、「アイス フィッシング」手法が蔓延しています。

詳細: 暗号通貨ウォレット？知っておくべきビットコイン ウォレット トップ 9

現代の暗号フィッシング攻撃システムの分類

現在のフィッシング手法のシステムは、ユーザーが簡単に識別できるように、Tan Phat Digital が以下にまとめた多くの特殊な手法に分類されています。

ソーシャル ベースの偽造の形式エンジニアリング

• 電子メール フィッシング: 攻撃者は、Binance、MetaMask、Trust Wallet などの信頼できる組織になりすました電子メールを大量に送信します。識別子は、「セキュリティのアップグレード」、「KYC 検証」、「アカウントのロック」などの緊急のリクエストです。

• 捕鯨:特に経営幹部や多額の資産を持っている人をターゲットにします。収集した個人情報を使用して、偽の法的申し立てなど、高度にパーソナライズされたフィッシング シナリオを作成します。

• スミッシングとビッシング: SMS メッセージや電話を使用して詐欺を行うこと。異常なトランザクションについて通知し、「防止」するための OTP コードまたは回復フレーズを要求することがよくあります。

• ソーシャル メディア フィッシング: KOL または仮想通貨プロジェクトの偽のソーシャル ネットワーク アカウントを使用して、プレゼント プログラムや偽のエアドロップ リンクを宣伝します。投稿には、Web サイトのドレイナーへの短縮リンクが含まれることがよくあります。

ブロックチェーン固有の種類の技術的攻撃

• アイス フィッシング: 攻撃者がユーザーを騙して approve() または setApprovalForAll() 権限を盗む代わりに署名させる Web3 の亜種。秘密鍵。署名が完了すると、攻撃者はそれ以上の操作を行わずにすべてのトークンを引き出すことができます。

• アドレス ポイズニング: 最初と最後の文字が被害者のアドレスと同一であるウォレット アドレスを使用して、少量のトークンを送信します。目的は、被害者をだまして、後続の送金注文の取引履歴からこのアドレスを誤ってコピーさせることです。

• クリップボード ハイジャック:悪意のあるコードがキャッシュを監視し、ユーザーがコピー コマンドを実行するとウォレット アドレスを自動的に置き換えます。

• イービル ツイン フィッシング:大規模なイベントで偽の WiFi ネットワークをセットアップし、ユーザーがアクセスしたときにフィッシング Web サイトにリダイレクトします。接続します。

詳細: ラグ プルとは何ですか?暗号通貨詐欺を防ぐためのガイド

技術分析: 偽の Web サイトとアプリケーションの仕組み

Web サイトのスプーフィング技術は、最も効果的な攻撃ベクトルの 1 つです。攻撃者は、metamask-support.io などのタイポスクワッティング ドメインを登録したり、ラテン文字とまったく同じように見える同形異義語文字を使用したりすることがよくあります。 Tan Phat Digital は、攻撃者が無料の SSL 証明書を簡単に登録してプロフェッショナルな外観を作り出すことができるため、現在の SSL ロック アイコンはもはや安全を保証するものではないと述べています。

ウォレット ドレイナーの構造には以下が含まれます。

1. フロントエンド: デザインは元の Web サイトと 99% 似ており、すべてのボタンで接続ウィンドウがアクティブになります。

2. C2 (コマンド アンド コントロール) サーバー: ブロックチェーン API 経由でウォレット アドレスを収集し、残高をスキャンします。

3. 自動トランザクション生成システム: 表示するトランザクションの種類 (ETH 送金またはトークンの承認) をフロントエンドにフィードバックします。

4. シミュレーション回避テクニック: 高度なドレイナーは、シミュレートされたフィールドの環境を検出して「安全な」結果を表示できますが、実際にマルウェアをアクティブにするのは、実際のトランザクションがネットワークに投稿された場合のみです。

フィッシング エアドロップ: 貪欲の心理を悪用する

エアドロップはマーケティング ツールであるだけでなく、人気のある餌でもあります。一般的な詐欺シナリオは次のとおりです。

• ウォレット内の奇妙なトークン: ユーザーは、説明に Web サイトのアドレスが含まれる大量の奇妙なトークンを目にします。 「販売」するためにアクセスする場合、ウェブサイトはアクセス許可に署名し、ウォレットを空にする必要があります。

• 偽の広告: 12/24 のリカバリ ワードでグリーン アカウントを使用。

• 前払いが必要: 本物の特典は常に無料です。 「確認料」を要求するのは詐欺です。

• 非現実的な利益の約束: 寄付なしで数千米ドルを受け取ることができます。

• 緊急性が高い: 時間的プレッシャーが生じ、被害者が慎重に考える時間がなくなります。

米国におけるクリプト フィッシング犯罪の現状を分析するベトナム

ベトナムは詐欺師のホットスポットとなっている Tan Phat Digital が更新した警報番号:

• 2019 年から 2024 年までの被害総額: 12 兆 VND (約 4 億 9,200 万米ドルに相当) 以上を記録。

• オンライン詐欺件数: 20,000 件近くの事件が報告されました。

• 2024 年だけでの被害額: 4 兆 2,000 億 VND (約 1 億 7,200 万米ドル) を超えました。

• ピップス氏の事件の犠牲者の数: 2,661 人が特定されています。

• ピップス氏の事件で封鎖された資産: 以上5 兆 2,000 億 VND。

「Mr Pips」ネットワークや「Toptrade1」フロアなどの典型的なケースは、犯罪者がフィッシングとマルチレベル モデルを組み合わせ、投資家を惹きつけるために数千人の従業員による偽のエコシステムを構築する巧妙さを示しています。

大手ウォレット プロバイダーからのセキュリティに関する指示

概要によるとTan Phat Digital では、ユーザーは次のコア ルールに従う必要があります。

• メタマスク: 公式形式はブラウザ拡張機能とモバイル アプリの 2 つだけです。ウォレットを積極的に復元しない限り、MetaMask はリカバリ フレーズを要求することはありません。サポート チームは、最初に Telegram や Discord 経由でメッセージを送信することはありません。

• トラスト ウォレット: セキュリティ スキャナー機能を使用して、取引前にリスクをスキャンします。分散型ウォレットは電話番号に関連付けられていないため、SMS 経由の確認リンクは絶対にクリックしないでください。

効果的な暗号フィッシング対策ツールおよびソリューション システム

セキュリティとの戦いには最新テクノロジーのサポートが必要です:

• Pocket Universe: 署名前にどの資産がウォレットから流出するかを正確に示すトランザクション シミュレーション。最大 2,000 米ドルまでの保険が利用可能。

• Revoke.cash: レガシー トークンの承認を管理および取り消すための必須ツール。

• ウォレット ガード: URL をスキャンし、Stormwatcher でリアルタイムにドレインを検出します。

• Scam Sniffer: 不正な署名や新たに投稿されたフィッシング Web サイトの署名の検出に特化します。

• Kerberus: 偽のアカウントを識別するソーシャル シールド機能を備えた多層保護システム。

• Anti-Fraud (chongluadao.vn): 悪意のある Web サイト ブロック ユーティリティと AI を提供する国内プロジェクトベトナム ユーザー専用のコンサルティング。

複数のリスク管理戦略フロア

最も安全な状態を達成するために、Tan Phat Digital は次のプロセスを推奨します。

1. 分離されたストレージ:

   • コールド ウォレット (Ledger、Trezor): 大規模な資産に使用され、長期保管 (非常に低リスク)。

   • ホット ウォレット (メタマスク、トラスト ウォレット): 頻繁な取引、ステーキングに使用されます (中リスク)。

   • バーナー ウォレット: 危険な NFT の鋳造や奇妙なエアドロップの受信に使用されます (高リスク)。

2. トリプル チェック ルール: チェックCoinMarketCap から正確なドメイン名を取得し、トランザクション シミュレーションを観察して、受信側ウォレット アドレスの各文字を比較します。

3. ウォレット期間のクリーンアップ: 毎月 revoke.cash にアクセスして、未使用の承認権をキャンセルします。

典型的なケーススタディ

1. ミスター ピップスのケース（ベトナム） ： TikToker Pho Duc Nam とその共犯者は、証券取引所モデルと偽の仮想通貨を通じて、2,661 人の被害者から 5 兆 2,000 億 VND 以上を不正に流用し、1,000 人以上の従業員を使って投資家を仮想残高の「マトリックス」に誘い込みました。  

2. Toptrade1 取引所事件 (フン・イェン): グエン・ズイ・トアイ率いる組織は、匿名グループを雇って USDT を使用した偽の取引所を設計することにより、2 兆 6,000 億ドン以上を充当し、信頼を生み出すために贅沢なライフスタイルを自慢しました。  

3. 「クジラ」事件で 6,800 万ドルが損失 (2024 年 5 月): 大規模投資家が「アドレス ポイズニング」攻撃により 1,155 WBTC を失いました。攻撃者は、被害者のセカンダリ ウォレット アドレスと同じアドレスを作成して取引履歴を汚染し、被害者をだまして間違ったアドレスをコピーさせます。  

4. Ledger Connect Kit インシデント (2023 年 12 月): Ledger のソフトウェア ライブラリをターゲットとしたサプライ チェーン攻撃。これにより、攻撃者は一連の大規模な dApp に悪意のある「排出」コードを挿入でき、Web3 インターフェースを操作するユーザーに直接影響を及ぼします。  

5. Trezor データ漏洩 (2024 年 1 月): Trezor のサポート ポータルが侵害され、66,000 人のユーザーの情報が流出しました。その直後、偽の「クラウド回復」のための回復フレーズの入力を求めるフィッシングメールが被害者に大量に送られてきます。  

6. 14 個の Bored Ape NFT が盗まれた事件 (2021 年 12 月): 投資家がだまされて「映画契約」を装った取引リクエストに署名させられました。これは実際には「承認」命令であり、攻撃者は数百万ドル相当の 14 個の NFT を引き出すことができました (アイス フィッシング)。  

7. Badger DAO 攻撃 (2021 年 11 月):攻撃者は、プロトコルのフロントエンド インターフェイスに悪意のあるコードを挿入し、ユーザーをだまして悪意のある承認権限に署名させ、最大 1 億 2,000 万ドルの損失をもたらしました。  

8. MPX および XFI プロジェクト (ベトナム): 「未来のエネルギー」プロジェクトへの信頼を利用して、被験者らは 2,000 人の被害者を誘惑し、実質価値のないトークンに 2 兆 VND を投資させ、その後逃走しました。  

9. Speeding.vip アプリケーション (ハノイ): 仮想通貨投資アプリケーションの影に隠れていたポンジ モデルは、1 日あたり 0.5% の利益を約束し、崩壊して数千万ドルを流用するまでに数十万のアカウントを集めました。  

10. Uniswap 流動性フィッシング (800 万ドル): 流動性プロバイダーが偽の Airdrop プログラムによってだまされ、その結果、ウォレットへのアクセスがハッカーにサインオーバーされ、数分で資産が消去されました。  

クリプト ウォレット フィッシングに関する 10 のよくある質問

1. クリプト ウォレット フィッシングとは正確には何ですか? これは、評判の良い組織 (取引所、電子ウォレット) になりすまして、ユーザーをだまして回復フレーズなどの機密情報を自発的に提供したり、適切な資産への悪意のあるトランザクションに署名したりする行為です。  

2. シード フレーズが最も重要なのはなぜですか? このフレーズは、ウォレット内のアカウント全体へのアクセスを許可する「マスター キー」です。誰がそれを手に入れても、あなたの資産を永久に完全にコントロールできるようになります。  

3. MetaMask Web サイトが偽物かどうかを確認するにはどうすればよいですか? 公式 MetaMask はブラウザ拡張機能とモバイル アプリとしてのみ存在します。 「同期」または「アップグレード」するために回復フレーズの入力を求めるサイトはすべて詐欺です。  

4. アイス フィッシングは従来のフィッシングとどう違うのですか? 従来のフィッシングはログイン情報/秘密キーを盗みます。 Ice Phishing は、ユーザーを騙して承認命令に署名させ、攻撃者が秘密キーを知らなくてもユーザーに代わって資金を引き出すことができるようにします。  

5. ウォレットに奇妙なトークンが入っていますが、売った方がよいでしょうか? 絶対にダメです。こちらは「ストレンジトークン」というルアーです。販売用に添付された Web サイトを操作したりアクセスしようとすると、ウォレットへのアクセスに署名するよう求められ、その結果、他の貴重な資産が消去されてしまいます。  

6. 誤って疑わしいリンクをクリックした場合はどうなりますか? 資産を新しい安全なウォレットに直ちに転送します。次に、Revoke.cash などのツールを使用して、疑わしいトークンの承認を確認し、キャンセルします。  

7. コールド ウォレット (ハードウェア ウォレット) は本当にフィッシングに強いのでしょうか? コールド ウォレットは秘密鍵がオフラインで保存されるため、サイバー攻撃から保護します。ただし、だまされて物理デバイス上で悪意のあるトランザクションに署名させられた場合、資産が失われる可能性があります。  

8. Pocket Universe ウィジェットは何をしますか? 署名する前に取引をシミュレートし、何を失うか、何を得るかを正確に示します。シミュレーションで残高がクリアされていることが確認できたら、時間内に停止できます。  

9. なぜ詐欺師は私に少量のトークンを送信したのですか (アドレスポイズニング)? その偽のアドレスが取引履歴に表示されるようにするためです。彼らは、次回あなたが不注意で、実際の住所ではなくその住所をコピーすることを望んでいます。  

10. ベトナムで詐欺ウェブサイトを報告するにはどうすればよいですか? chongluadao.vn プロジェクトに直接報告するか、警察の公式ルートを通じてコミュニティに警告することができます。  

ベトナムにおける暗号フィッシング攻撃はますます激化しています。 タンファットデジタルは、分散型金融システムでは自由には常に絶対的な責任が伴うと信じています。セキュリティ ツールを完全に装備し、健全な懐疑心を維持し、知識を最新の状態に保つことが、デジタル時代に財務パフォーマンスを保護する唯一の方法です。