臨近年底,火幣等數字資產交易所的業務調整日期將近,加上年底資金流動相較平時本就頻繁,騙子也在近期異常活躍,對用戶廣撒網,詐騙手法層出不窮。
為了避免更多用戶受騙,imToken 安全團隊重新整理了近期常見騙局,希望能夠幫助大家提高安全意識,捂緊自己的錢包。
短信電話詐騙
為遵守中國境內的監管政策,火幣等數字資產交易所正在逐步清退中國大陸用戶,不少投資者紛紛選擇將數字資產從交易所提至錢包。
但與此同時,騙子們趁機以「交易所服務調整」「錢包關停」等為由,通過短信、電話等方式冒充官方人員誘導用戶進入假錢包官網下載假應用,由此導致用戶助記詞洩漏,資產被盜。
以 imToken 錢包為例,近期不少用戶反饋接收到短信前來諮詢,短信內容如下:
請注意,「imToken 因地區關係將關停」是虛假信息。 imToken 錢包的轉賬、收款以及資產管理功能均可正常使用,用戶無需擔心。
此外 imToken 是一個去中心化錢包,不存儲用戶的錢包助記詞,也不收集用戶的任何個人信息,如電話號碼、身份信息等。 imToken 安全團隊認為騙子是通過非法渠道獲取用戶在交易所填寫的個人信息,然後通過廣撒網的方式,假冒 imToken 官方人員發送短信給用戶實施詐騙。
如何避免此類騙局?
imToken 不會通過短信或電話聯繫用戶,遇到聲稱來自 imToken 的短信或者電話時,對方一定是騙子!
下載時請務必認准 imToken 官網:https://token.im
如有任何問題,認准官方聯繫郵箱:[email protected],切勿輕信其他第三方渠道
假 App 騙局
我們常會通過應用商店或者百度搜索的方式下載淘寶、微信等 App。但如果在數字資產的世界裡仍用同樣的方式下載錢包或交易所 App 則會帶來巨大的安全隱患。因為錢包和交易所是用戶存放資產的地方,在巨大的利益誘惑下,這些 App 成為了騙子們紛紛仿製的對象並在各個渠道擴散其製作的假 App。
事實上,以下 4 種下載渠道或方式都存在風險,稍有疏忽就可能下載到假冒的 App,導致資產被騙子盜取。
一、從所謂的「客服」發送的鏈接、海報中下載
騙子潛伏在各微信群、電報群中,冒充官方人員,為了博取用戶信任還給用戶提供虛假工作證,向用戶發送海報或鏈接,誘導用戶下載假 App。
二、從百度等搜索引擎下載
騙子通過在搜索網站購買廣告位和競價排名,誘導用戶訪問其仿製的假官網。在今年 6 月份,我們發現無論搜索 imToken、MathWallet、TokenPocket 或者是 MetaMask,搜索結果第一頁中騙子網站為數不少,用戶在這些假官網上,會下載到假的錢包應用。
三、從非小號等第三方網站下載
騙子曾試圖假冒錢包官方人員聯繫非小號等網站,將下載地址篡改為騙子網站,因此從非小號等第三方網站下載也存在一定風險。
四、從 App Store、小米、華為等應用商城下載
由於政策限制,錢包、交易所等官方 App 無法在中國大陸地區的應用商城上架。騙子趁虛而入,將假 App 上架至蘋果、小米和華為等在中國大陸地區的應用商店。
如何避免此類騙局?
imToken 在此提供 3 個小技巧:
- 將常用的錢包官網添加至瀏覽器收藏夾,下載更新時直接從收藏夾內打開
- imToken 官網:https://token.im
- MathWallet官網:https://mathwallet.org
- TokenPocket 官網:https://www.tokenpocket.pro
- MetaMask 官網:https://metamask.io
- 多渠道了解比對信息:在下載 App 時,可以先在公眾號、微博或 Twitter 等渠道搜索信息進行對比。真官方在各渠道展示的官網鏈接都是一致的,而騙子由於只為短期利益(維護多渠道比只做一個假網站成本更高),往往只會在單一或有限的渠道上誤導用戶;
- 請教身邊可信的人:在了解錢包的時候,一定要找對行業有基礎認知,且現實生活中熟悉的人,最好當面請教。注意:不要在微信群或者 Telegram 等即時通訊應用裡詢問。
轉賬授權騙局
相比假 App 騙局,轉賬授權騙局的手法更為隱蔽,且普通用戶不理解何為「轉賬授權」,因此在解析此類騙局之前,需要先了解轉賬授權的含義。
什麼是轉賬權限?舉個例子。
支付寶裡有個親密付功能,當我對家人開通這個功能後,他們購買物品時就會直接通過我的賬戶進行扣款。即便家人不知道我的支付寶密碼,也能使用我賬戶裡的錢。
類似的,當你把代幣轉賬權限給了「朋友」後,對方即便不知道你的助記詞和支付密碼,也能轉走你錢包裡的代幣。而很多用戶由於不了解代幣轉賬權限的含義,在給出這個權限時,往往不自知,所以這類騙局發生得很隱蔽,且越來越多人上當。
騙子通常會以以下三種方式騙走你的轉賬權限。
一、二維碼授權騙局
騙子以 OTC 交易為由,給用戶發送一個鏈接或假冒錢包收款的二維碼,用戶掃碼後會進入假冒的轉賬頁。用戶在該頁麵點擊「確認」時,則授予了騙子轉賬權限。
左:騙子仿冒 Tokenlon 的授權頁面;右:真轉賬頁面
請注意,掃碼後你可以通過查看頁面右上角的圖標,區分真假轉賬頁面和二維碼。騙子製作的轉賬頁面右上角為「···」和「X」的圖標,imToken 錢包內的正常轉賬頁面右上角是掃描二維碼的圖標。
二、空投代幣授權騙局
骗子在波场(TRON)链上空騙子在波場(TRON)鏈上空投 OZBT、AAMT、FIL 等代幣至用戶地址,代幣信息中包含「空投幣兌換等量 TRX」等虛假內容。在騙子的誘導下,用戶進入第三方網站誤以為是在進行幣幣兌換,實則是給予騙子轉賬權限。
空投代币授权骗局
三、資金盤授權騙局
骗子假借「挖矿騙子假借「挖礦」、「穩定收益」等名義誘導用戶參與所謂的「投資」,並宣稱與行業內知名公司達成了合成。當用戶被高額收益吸引,通過錢包的 DApp 瀏覽器打開第三方網站參與其中時,則授予了騙子轉賬權限。
資金盤 CB-Titan 授權騙局
如何避免此類騙局?
imToken 在此提供 2 個小技巧:
在你進行交易但無法確定收款方是否可信時,請讓對方直接提供收款錢包地址,而不是二維碼;
天下沒有免費的午餐,不要被「穩定收益」、「免費獲取價值代幣」等字眼迷惑。
另外,imToken 還發布了授權查詢與取消的教程,如果你想檢查自己的轉賬權限是否有外洩的情況,可點此查看 👉 安全提醒|请警惕代币授权骗局
最後
區塊鏈作為一個新興行業,具備發展潛力,但也潛伏著居心叵測的人;它給了人們自主掌控資產的權利,但也要求人們承擔起對應的責任。
imToken 作為錢包服務商,努力打造最為安全可靠、簡單易用的數字錢包,同時也持續進行著用戶教育,提升錢包新人對區塊鏈的理解和安全意識。對於用戶資產安全這條底線,我們保持著一絲不苟的安全追求。
最後,再次提醒,近期騙子活躍,請捂緊自己的錢包!