_

币网创始人赵昌鹏

3月7日，知名数字货币交易平台比安被黑，导致全球数字货币价格暴跌。

根据货币交易所的公告，已有31个账户被黑客入侵。黑客在掌握了用户的账户权限后，利用机器下单，进行程序化的高频交易，给用户带来巨大损失。

这几天关于这件事的新闻很多，但大部分都是基于事件本身，对数字货币的影响，以及交易平台。

没人提到关键点:钓鱼事件是怎么发生的？作为Binan的普通用户，应该如何防御这样的攻击？

一年前，华裔学生报告unicode钓鱼漏洞

货币交易所发布的公告中指出，在这次攻击中，黑客使用了“unicode钓鱼战术”。这是什么鬼东西？估计99%的记者都没看懂。

2017年4月14日，约翰·霍普金斯大学数学系学生郑旭东发表了一篇名为《用unicode域名钓鱼》的论文，中文意思是“用Unicode网址钓鱼”。本文给出了一种钓鱼方法，通过混合多语种字符来欺骗用户的眼睛。

安全专家告诉Hutchison，我们使用的浏览器是基于英文的，包括URL只能解析开头的英文，所谓的unicode编码。

为了让浏览器支持多种语言，有人开发了punycode，可以让世界上的其他语言被浏览器“理解”，比如汉语、俄语币安、韩语。

比如你想访问苹果的网站，最早必须在apple.com输入英文；后来，中国的cnnic、3721和其他公司开发了自己的插件，使浏览器支持Sina.com和Baidu.com等域名。Punycode相当于一个语言插件(编码标准)，内置在主流浏览器中。

但是puycode编码的URL会有一个问题，比如汉语拼音的U，看起来很像英文单词的U(一个头上有两个点，一个没有)，但是这个代码会被识别为两个字母。

这就导致了一种攻击:有人把各种语言的相似字母组合起来，冒充知名网站。

币安的这次钓鱼攻击就是有人把西里尔字母和英文字母结合起来，冒充币安的网站。

奇石采访的资深白帽m表示，即使是专业的安全人士，如果对web安全不熟悉，也很有可能上当这种钓鱼。

(看到N下面那两点了吗？它们不是英文字母。)

半月前赵长鹏已收到警报，但未做处理

所谓钓鱼攻击，本质上就是用户在一个“假冒网站”上输入自己的账号密码。

如果这个假冒网站要针对币安的用户，黑客会使用一些精准的投放方式，比如在搜索引擎中投放广告，向币安的用户发送钓鱼邮件，在电报群里点对点发送URL链接等。

这些行动不可能在短时间内生效。如果交易所在安全监控方面投入资金，就有可能及早发现和处理类似事件。

不幸的是，货币安全交易所没有这样做。

微信截图显示，早在2月20日，就有人向彼岸交易所创始人赵发出钓鱼警告，称问题已处理。从比安的后续措施来看，他并没有把这个警告当回事，至少他没有为了尽力挽回损失而对有风险的用户发出警告。

白帽M先生说，主流浏览器已经能够防御这种unicode钓鱼。在PC端，只要将浏览器升级到最新版本，就可以解决大部分威胁；在手机上，安装杀毒软件也可以解决很多问题。如果是苹果手机，安装了腾讯手机管家，iOS系统会调用其SDK，也可以拦截钓鱼网站。

奇石查了一下彼岸的网站。截至记者发稿时，网站首页没有任何安全提醒。

普通用户应该如何防范此类钓鱼攻击？

奇石提醒普通用户，可以采取以下措施降低数字货币交易的安全风险:

1.手机和PC都必须安装杀毒软件，并且必须安装软件包。单纯的“杀毒”解决不了钓鱼的问题。和记黄埔推荐卡巴斯基的杀毒套装(付费版)。在国内可以试试腾讯安全管家或者tinder杀毒软件(都是免费软件)。

2.浏览器必须实时升级。其实uniode被钓鱼已经一年了，所有主流浏览器都要打补丁，以不同的方式显示相似的字符。但国内一些换壳浏览器，核心升级不如原浏览器，可能存在安全问题。比如360浏览器、搜狗浏览器、猎豹浏览器都可能存在这样的问题。

奇石推荐在线安装chrome浏览器。国内网站下载的完整版chrome浏览器升级功能有限，可能导致安全性能受损。

3.对于普通白人用户，建议使用密码管理器。软件会自动识别网址，假网址上不会自动填写密码。但是需要指出的是，这种密码管理器一旦被入侵，所有的密码都会被窃取。如何平衡风险和便利，也需要用户自己把握尺度。

4.在手机上下载兑换软件的时候，不要怕麻烦。一定要从官网下载，不要从国内手机软件商店下载。那些软件可能存在仿冒、换皮肤等问题。

多个大交易所仍有漏洞

3月10日，有安全研究员在知乎表示，除了用户账号被盗，交易所的风控逻辑也存在漏洞，这也是本次攻击成功的关键。

知乎网友“二子乘舟”在文章中推测，货币兑换没有采用真正的OTP(一次性密码)逻辑。

有币安受害者在国外网站上表示，他们开通了币安最高级别的2FA认证。所谓2FA，就是你登录账号，除了正确的账号名称和密码，网站还会给你发一条手机验证短信。只有在验证成功后，才允许您登录。这在业内被称为二次验证。

Coin的逻辑缺陷在于，在30秒的有效期内，手机验证消息可以使用两次:用户先在Coin中使用，然后黑客用这条消息再次登录，验证码仍然有效。

实际上，真正的OTP只允许一次登录。即使在有效期内，一旦有人使用，也会及时作废，防止黑客和用户同时异地登录。

根据“二子乘舟”的测试，包括火币、Bigone在内的知名交易所仍然存在OTP验证漏洞，可能会被黑客攻击。

(来源:知乎网友，二儿子坐船)

鼎祥资深安全专家朱烨表示，如果采取适当的防范措施，当黑客窃取用户密码，试图登录比南的网站或app时，可以识别设备指纹、常用登录IP、交易行为等多维度的风险模型，并且一旦发现任何异常就可以停止它。

而且根据比南的公告，黑客利用机械化的高频交易程序控制了被盗账户日交易。这样的行为，在一个有着丰富传统金融安全经验的安全模型中，是很容易防御的，可以有效的安全策略有很多。

安全路正长，诸君当努力

在黑奇石看来，无论什么行业，对业务安全的需求都在增加。

以区块链为例，彼岸交易所对应的是传统的沪深交易所，在收入水平和业务规模上几乎可以与之匹敌。但每年沪深交易所的安全投入都是几十亿。安全投入多少钱？能说对安全足够重视吗？

昨天，比南发布公告，悬赏25万美元捉拿黑客。

我想说，这种节目有意思吗？你不能把这25万美元放在安全的地方吗？

还是那句话，如果你愿意丢面子，在2月20日收到警告的时候，官方会发布安全公告，提醒用户谨防钓鱼攻击。还会有后来的3.7恐慌吗？

一声叹息。

安全之路漫漫，从业者要努力。

更多精彩内容，关注钛媒体微信号(ID: taimeiti)，或下载钛媒体App。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。