临近年底,火币等数字资产交易所的业务调整日期将近,加上年底资金流动相较平时本就频繁,骗子也在近期异常活跃,对用户广撒网,诈骗手法层出不穷。
为了避免更多用户受骗,imToken 安全团队重新整理了近期常见骗局,希望能够帮助大家提高安全意识,捂紧自己的钱包。
短信电话诈骗
为遵守中国境内的监管政策,火币等数字资产交易所正在逐步清退中国大陆用户,不少投资者纷纷选择将数字资产从交易所提至钱包。
但与此同时,骗子们趁机以「交易所服务调整」「钱包关停」等为由,通过短信、电话等方式冒充官方人员诱导用户进入假钱包官网下载假应用,由此导致用户助记词泄漏,资产被盗。
以 imToken 钱包为例,近期不少用户反馈接收到短信前来咨询,短信内容如下:
诈骗短信
请注意,「imToken 因地区关系将关停」是虚假信息。imToken 钱包的转账、收款以及资产管理功能均可正常使用,用户无需担心。
此外 imToken 是一个去中心化钱包,不存储用户的钱包助记词,也不收集用户的任何个人信息,如电话号码、身份信息等。imToken 安全团队认为骗子是通过非法渠道获取用户在交易所填写的个人信息,然后通过广撒网的方式,假冒 imToken 官方人员发送短信给用户实施诈骗。
如何避免此类骗局?
- imToken 不会通过短信或电话联系用户,遇到声称来自 imToken 的短信或者电话时,对方一定是骗子!
- 下载时请务必认准 imToken 官网:https://token.im
- 如有任何问题,认准官方联系邮箱:support@token.im,切勿轻信其他第三方渠道
假 App 骗局
我们常会通过应用商店或者百度搜索的方式下载淘宝、微信等 App。但如果在数字资产的世界里仍用同样的方式下载钱包或交易所 App 则会带来巨大的安全隐患。因为钱包和交易所是用户存放资产的地方,在巨大的利益诱惑下,这些 App 成为了骗子们纷纷仿制的对象并在各个渠道扩散其制作的假 App。
事实上,以下 4 种下载渠道或方式都存在风险,稍有疏忽就可能下载到假冒的 App,导致资产被骗子盗取。
一、从所谓的「客服」发送的链接、海报中下载
骗子潜伏在各微信群、电报群中,冒充官方人员,为了博取用户信任还给用户提供虚假工作证,向用户发送海报或链接,诱导用户下载假 App。
二、从百度等搜索引擎下载
骗子通过在搜索网站购买广告位和竞价排名,诱导用户访问其仿制的假官网。在今年 6 月份,我们发现无论搜索 imToken、MathWallet、TokenPocket 或者是 MetaMask,搜索结果第一页中骗子网站为数不少,用户在这些假官网上,会下载到假的钱包应用。
三、从非小号等第三方网站下载
骗子曾试图假冒钱包官方人员联系非小号等网站,将下载地址篡改为骗子网站,因此从非小号等第三方网站下载也存在一定风险。
四、从 App Store、小米、华为等应用商城下载
由于政策限制,钱包、交易所等官方 App 无法在中国大陆地区的应用商城上架。骗子趁虚而入,将假 App 上架至苹果、小米和华为等在中国大陆地区的应用商店。
如何避免此类骗局?
imToken 在此提供 3 个小技巧:
- 将常用的钱包官网添加至浏览器收藏夹,下载更新时直接从收藏夹内打开
- imToken 官网:https://token.im
- MathWallet官网:https://mathwallet.org
- TokenPocket 官网:https://www.tokenpocket.pro
- MetaMask 官网:https://metamask.io
- 多渠道了解比对信息:在下载 App 时,可以先在公众号、微博或 Twitter 等渠道搜索信息进行对比。真官方在各渠道展示的官网链接都是一致的,而骗子由于只为短期利益(维护多渠道比只做一个假网站成本更高),往往只会在单一或有限的渠道上误导用户;
- 请教身边可信的人:在了解钱包的时候,一定要找对行业有基础认知,且现实生活中熟悉的人,最好当面请教。注意:不要在微信群或者 Telegram 等即时通讯应用里询问。
转账授权骗局
相比假 App 骗局,转账授权骗局的手法更为隐蔽,且普通用户不理解何为「转账授权」,因此在解析此类骗局之前,需要先了解转账授权的含义。
什么是转账权限?举个例子。
支付宝里有个亲密付功能,当我对家人开通这个功能后,他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码,也能使用我账户里的钱。
类似的,当你把代币转账权限给了「朋友」后,对方即便不知道你的助记词和支付密码,也能转走你钱包里的代币。而很多用户由于不了解代币转账权限的含义,在给出这个权限时,往往不自知,所以这类骗局发生得很隐蔽,且越来越多人上当。
骗子通常会以以下三种方式骗走你的转账权限。
一、二维码授权骗局
骗子以 OTC 交易为由,给用户发送一个链接或假冒钱包收款的二维码,用户扫码后会进入假冒的转账页。用户在该页面点击「确认」时,则授予了骗子转账权限。
左:骗子仿冒 Tokenlon 的授权页面;右:真转账页面
请注意,扫码后你可以通过查看页面右上角的图标,区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标,imToken 钱包内的正常转账页面右上角是扫描二维码的图标。
二、空投代币授权骗局
骗子在波场(TRON)链上空投 OZBT、AAMT、FIL 等代币至用户地址,代币信息中包含「空投币兑换等量 TRX」等虚假内容。在骗子的诱导下,用户进入第三方网站误以为是在进行币币兑换,实则是给予骗子转账权限。
空投代币授权骗局
三、资金盘授权骗局
骗子假借「挖矿」、「稳定收益」等名义诱导用户参与所谓的「投资」,并宣称与行业内知名公司达成了合成。当用户被高额收益吸引,通过钱包的 DApp 浏览器打开第三方网站参与其中时,则授予了骗子转账权限。
资金盘 CB-Titan 授权骗局
如何避免此类骗局?
imToken 在此提供 2 个小技巧:
- 在你进行交易但无法确定收款方是否可信时,请让对方直接提供收款钱包地址,而不是二维码;
- 天下没有免费的午餐,不要被「稳定收益」、「免费获取价值代币」等字眼迷惑。
另外,imToken 还发布了授权查询与取消的教程,如果你想检查自己的转账权限是否有外泄的情况,可点此查看 👉 安全提醒|请警惕代币授权骗局
最后
区块链作为一个新兴行业,具备发展潜力,但也潜伏着居心叵测的人;它给了人们自主掌控资产的权利,但也要求人们承担起对应的责任。
最后,再次提醒,近期骗子活跃,请捂紧自己的钱包!