诈骗邮件实录
收到一个有意思的诈骗邮件📧,发出来给大家提醒避坑⚠️:
早上看到一个带有 coinbase logo 的 email 提醒我密码泄露了,附带了一个链接让我改密码。我第一眼就发现了域名不对,抱着研究下的心态,把 Check passwords 的 link 复制到了一个空白的安全浏览器里,点进去后,一翻跳转,惊讶的发现是 coinbase 的登录域名,但定睛一看是一个 oauth 认证(拥有对你资产操作权限的第三方 app 授权登录),至此大概推断出了这个盗取资产的思路。
诈骗流程分析
- 群发邮件 ->
- 用户点击钓鱼链接 ->
- 跳转到 coinbase oauth登录(相当于问你是否同意把交易,提币等操作授权给另外一个非官方程序)->
- 应用拥有对你账户的所有操作权限(交易,提币等)->
- 有权限后卖掉或者转移你所有 token。
风险揭示与防范建议
- 很多用户可能看到是 coinbase 的登录链接可能就认为是安全的,没想到其实是个认证授权链接,一旦登录授权就会造成跟助记词泄露一样的不可逆的损失。
- 看到邮件一定要看来信方域名。
- 遇到需要入站操作的,建议直接自己在浏览器输入域名地址(防止邮件服务方被劫持),因为邮件只是通知,所有操作通知在网站内部会再次提醒。
切勿点击邮件内的可疑链接,务必核查域名来源。