โฆษณา Google แบบฟิชชิงของ Uniswap รายงานว่าดูดเงินไปอย่างน้อย $400,000

ผู้ใช้คริปโตที่ค้นหา Uniswap บน Google กำลังเผชิญกับกับดักที่คุ้นเคยอีกครั้ง ในกรณี Uniswap phishing Google Ads ล่าสุด ลิงก์สนับสนุนปลอมช่วยให้มิจฉาชีพขโมยเงินไปอย่างน้อย 400,000 ดอลลาร์ โดยพาผู้ใช้ไปยังเว็บไซต์ลอกเลียนแบบที่ดูน่าเชื่อถือมากพอจะได้รับความไว้วางใจ

สิ่งที่ทำให้กรณีนี้โดดเด่นคือรูปแบบที่ดูธรรมดามาก ผู้ใช้ค้นหาแบรนด์ DeFi ชั้นนำ เห็นผลลัพธ์ที่จ่ายเงินปรากฏเหนือลิงก์ที่ถูกต้อง คลิก เชื่อมต่อกระเป๋าเงิน และอนุมัติธุรกรรม ไม่นานหลังจากนั้น สินทรัพย์ก็หายไป

รูปแบบดังกล่าวกลายเป็นเรื่องที่น่าเป็นห่วงอย่างมากในวงการคริปโต ขณะเดียวกัน นักวิจัยด้านความปลอดภัยระบุว่าแคมเปญที่ใช้ธีม Uniswap นี้เป็นส่วนหนึ่งของกระแสที่กว้างขึ้นของ โฆษณาคริปโตปลอม และเว็บไซต์ Google search phishing ที่แพร่กระจายผ่านผลการค้นหา

โฆษณา Uniswap ปลอมบน Google รายงานว่าดูดเงินไปอย่างน้อย 400,000 ดอลลาร์

ความสูญเสียที่รายงานเกี่ยวข้องกับแคมเปญ Uniswap ปลอมมีมูลค่าถึงอย่างน้อย 400,000 ดอลลาร์ ตามรายงานบนเชนที่นักวิจัยด้านความปลอดภัยอ้างอิง

นักวิเคราะห์บนเชน b-block เชื่อมโยงปฏิบัติการนี้กับที่อยู่กระเป๋าเงินสองแห่งที่ถือครอง 146 ETH บทความระบุว่ากระเป๋าเงินเหล่านั้นรวมกันถือครองประมาณ 306,000 ดอลลาร์ในขณะนั้น โดยอ้างอิงข้อมูลจาก Etherscan

Stacy Muur ผู้ก่อตั้ง Green Dots กล่าวว่าโฆษณา phishing ถูกวางไว้เหนือลิงก์ Uniswap ที่ถูกต้องในการค้นหา Google เธอยังแชร์ภาพหน้าจอที่แสดงผลลัพธ์สนับสนุนปลอม ซึ่งเน้นย้ำปัญหาหลักในการตั้งค่า Google search phishing ประเภทนี้: ลิงก์อันตรายสามารถปรากฏก่อนลิงก์จริง

สิ่งนี้มีความสำคัญเพราะตำแหน่งการค้นหาเปลี่ยนพฤติกรรมผู้ใช้ได้อย่างรวดเร็ว ในวงการคริปโต ที่ผู้ใช้มักดำเนินการอย่างรวดเร็วในการเชื่อมต่อกระเป๋าเงิน แลกเปลี่ยนโทเค็น หรือติดตามความเคลื่อนไหวของตลาด การคลิกผิดเพียงครั้งเดียวอาจเปลี่ยนการเยี่ยมชมตามปกติให้กลายเป็นการบุกรุกกระเป๋าเงินอย่างสมบูรณ์

แคมเปญ phishing ทำงานอย่างไร

กลไกนั้นเรียบง่ายแต่มีประสิทธิภาพ รายงานด้านความปลอดภัยเชื่อมโยงแคมเปญกับโฆษณาการค้นหา Google แบบสนับสนุนที่เลียนแบบรายการ Uniswap อย่างเป็นทางการ หลังจากผู้ใช้คลิกผ่าน พวกเขาลงเอยที่หน้า phishing ที่คัดลอกอินเทอร์เฟซของ Uniswap อย่างใกล้ชิด

จากนั้น กับดักก็เคลื่อนไปสู่บนเชน

ผู้โจมตีใช้สมาร์ทคอนแทรคอันตรายเพื่อหลอกเหยื่อให้อนุมัติการโอนสินทรัพย์แบบไม่จำกัด เมื่อได้รับการอนุมัตินั้นแล้ว มิจฉาชีพไม่จำเป็นต้องมีไพรเวตคีย์ในการโอนเงิน การอนุมัตินั้นเองคือการเปิดประตู

ในทางปฏิบัติ กลโกงดูดกระเป๋าเงิน เป็นไปตามลำดับที่คุ้นเคย:

• โฆษณาสนับสนุนปลอมปรากฏเหนือผลลัพธ์ Uniswap ที่ถูกต้อง
• เหยื่อเชื่อมต่อกระเป๋าเงินบนอินเทอร์เฟซที่โคลนมาและลงนามการอนุมัติ
• คอนแทรคอันตรายได้รับสิทธิ์การโอนและดูดสินทรัพย์

นี่คือเหตุผลหนึ่งที่ภัยคุกคาม Uniswap phishing Google Ads มีประสิทธิภาพมาก มันไม่ได้อาศัยการบุกรุกกระเป๋าเงินในแบบดั้งเดิม แต่ใช้ประโยชน์จากความไว้วางใจของผู้ใช้และขั้นตอนการอนุมัติปกติที่สร้างไว้ในแอปกระจายศูนย์

เหตุใดกลุ่มความปลอดภัยจึงกล่าวว่าภัยคุกคามกำลังเติบโต

กลุ่มความปลอดภัยเตือนมาหลายเดือนแล้วว่าโฆษณาคริปโตปลอมไม่ใช่เหตุการณ์ที่แยกจากกัน แต่เป็นช่องทางการโจมตีที่เกิดซ้ำ

SEAL กล่าวก่อนหน้านี้ว่า phishing ที่เชื่อมโยงกับโฆษณา Google Search ขโมยเงินไปมากกว่า 1.27 ล้านดอลลาร์ระหว่างวันที่ 13 มีนาคมถึง 30 มีนาคมเพียงอย่างเดียว องค์กรยังกล่าวว่าได้บล็อกลิงก์โฆษณาอันตรายมากกว่า 356 รายการในช่วงปีที่ผ่านมา

ขนาดดังกล่าวบ่งชี้ว่าปัญหาไม่ได้เป็นเพียงปัญหาการปลอมแปลงแบรนด์สำหรับโปรโตคอลเดียวอีกต่อไป แต่กำลังกลายเป็นปัญหาโครงสร้างพื้นฐานสำหรับการค้นพบคริปโตเอง หากบริการ DeFi ชั้นนำถูกปลอมแปลงในที่ที่ผู้ใช้ค้นหาครั้งแรกบนเครื่องมือค้นหา พื้นที่การโจมตีก็เริ่มต้นก่อนที่ใครจะเข้าถึงแอป

SEAL กล่าวว่าผู้โจมตีซื้อโฆษณา Google โดยตรงหรือบุกรุกบัญชีผู้โฆษณาที่ถูกต้องเพื่อแจกจ่ายลิงก์ปลอมที่ปลอมแปลงเป็นโปรโตคอลและการแลกเปลี่ยนชั้นนำ กลุ่มยังกล่าวว่าผู้ไม่หวังดีมักเสนอราคาสูงกว่าบริษัทที่ถูกต้อง ช่วยให้หน้า phishing ขึ้นสู่อันดับต้นของผลการค้นหาแบบสนับสนุน

เหตุใดโมเดล Google Ads จึงมีประโยชน์ต่อมิจฉาชีพมาก

โมเดล Google Ads ทำงานได้สำหรับผู้โจมตีเพราะยืมความน่าเชื่อถือจากเครื่องมือค้นหาเอง ด้วยเหตุนี้ ผู้ใช้อาจสันนิษฐานว่าผลลัพธ์สนับสนุนนั้นปลอดภัย โดยเฉพาะเมื่อใช้ชื่อที่คุ้นเคยอย่าง Uniswap

ในวงการคริปโต ช่องว่างความน่าเชื่อถือนั้นอันตรายเป็นพิเศษ ผู้ใช้มักดำเนินการอย่างรวดเร็ว และการอนุมัติเพียงครั้งเดียวอาจให้สิทธิ์คอนแทรคอันตรายในการดูดเงิน

รูปแบบที่ขยายออกไปเกินกว่า Uniswap

เหตุการณ์ล่าสุดสอดคล้องกับแนวโน้มที่กว้างขึ้น

Scam Sniffer รายงานก่อนหน้านี้ว่าผู้ใช้สูญเสีย Uniswap NFTs มูลค่ากว่า 1.23 ล้านดอลลาร์ผ่านเว็บไซต์ปลอม ในกรณีนั้นเช่นกัน หน้า phishing รายงานว่าคัดลอกอินเทอร์เฟซจริงและใช้ขั้นตอนธุรกรรมอันตรายเพื่อดูดเงินหลังการอนุมัติ

PeckShield Alert ยังเตือนเกี่ยวกับโฆษณา Aave ปลอมที่ปรากฏในผลการค้นหา Google นั่นหมายความว่าปัญหาไม่ได้จำกัดอยู่ที่โทเค็นเดียว การแลกเปลี่ยนเดียว หรือแคมเปญเดียว แต่กระทบหลายแบรนด์ DeFi ที่เป็นที่รู้จัก

นักวิจัยด้านความปลอดภัยยังชี้ให้เห็นถึงอินเทอร์เฟซที่โคลนมาและโดเมน Punycode ว่าเป็นกลยุทธ์ที่เกิดซ้ำ เว็บไซต์ปลอมเหล่านี้อาจดูเกือบจะเหมือนกับของจริง โดยเฉพาะเมื่อจับคู่กับโฆษณาที่จ่ายเงินและชื่อแบรนด์ที่คุ้นเคย สำหรับผู้ใช้ที่ดำเนินการอย่างรวดเร็ว ความแตกต่างอาจสังเกตได้ยาก

เหตุใดสิ่งนี้จึงสำคัญสำหรับผู้ใช้คริปโตและแพลตฟอร์ม DeFi

เรื่องนี้ไม่ได้เกี่ยวกับวงแหวน phishing เพียงวงเดียว

ปัญหาที่ใหญ่กว่าคือการโฆษณาในการค้นหายังคงเป็นช่องทางตรงไปสู่กลโกงดูดกระเป๋าเงิน สำหรับแพลตฟอร์มคริปโต สิ่งนี้สร้างปัญหาด้านแบรนด์และความน่าเชื่อถือแม้ว่าระบบของตนเองจะไม่ถูกละเมิด สำหรับผู้ใช้ หมายความว่าการดำเนินการพื้นฐานอย่างการค้นหาหน้าแรกของโปรโตคอลอาจมีความเสี่ยงที่ซ่อนอยู่

มันยังช่วยอธิบายว่าทำไมทีมความปลอดภัยจึงมุ่งเน้นไปที่การอนุมัติมากกว่าแค่รหัสผ่านหรือ seed phrases ในการโจมตีเหล่านี้หลายครั้ง เหยื่อไม่ได้มอบไพรเวตคีย์ให้ แต่กำลังอนุญาตการโอนอันตรายผ่านอินเทอร์เฟซที่ออกแบบมาให้ดูถูกต้อง

ความแตกต่างนั้นมีความสำคัญเพราะมันเปลี่ยนวิธีที่การขโมยคริปโตเกิดขึ้น จุดอ่อนมักไม่ใช่ซอฟต์แวร์กระเป๋าเงินเอง แต่เป็นเส้นทางที่ผู้ใช้ใช้เพื่อเข้าถึงแอปพลิเคชัน

การต่อสู้ด้านการค้นหากำลังกลายเป็นส่วนหนึ่งของความปลอดภัยคริปโต

แคมเปญ Uniswap phishing Google Ads ล่าสุดแสดงให้เห็นว่าความปลอดภัยคริปโตขณะนี้ทับซ้อนกับการมองเห็นในการค้นหา การวางตำแหน่งโฆษณา และการปลอมแปลงแบรนด์อย่างใกล้ชิดเพียงใด

การเชื่อมโยงของ b-block กับกระเป๋าเงินสองแห่งที่ถือครอง 146 ETH ให้จุดยึดบนเชนแก่กรณีนี้ ในขณะที่ตัวเลขที่กว้างขึ้นจาก SEAL ชี้ให้เห็นถึงแนวโน้มที่ใหญ่กว่าซึ่งยังคงกระทบผู้ใช้ทั่วทั้งภาคส่วน เพิ่มคำเตือนที่เกี่ยวข้องกับ Aave และความสูญเสียที่เกี่ยวข้องกับ Uniswap ก่อนหน้านี้ และข้อความนั้นยากที่จะมองข้าม: สำหรับผู้โจมตีหลายคน การล่าเหยื่อเริ่มต้นนานก่อนที่กระเป๋าเงินจะเชื่อมต่อ