最後更新日期:2024 年 3 月 18 日

加密貨幣詐騙行為可以概括分成兩大類,分別是「網路釣魚」和「社交工程」。

  • 網路釣魚(Phishing)
    仿冒某個具有公信力的單位(專家、名人、交易所),短時間廣撒以假亂真的消息,坐等受害者上鉤點擊某個惡意連結,謀取你的機敏資訊。
  • 社交工程(Social Engineering)
    捏造各種人設和背景故事,主動接近你,和你博感情,漸進式地贏得你的信任;等到你放鬆戒心以後,要從你身上撈一筆大的。
網路釣魚 社交工程
為什麼得逞? 公信力 搏感情
模式 坐等魚兒上鉤 主動噓寒問暖
收割期
詐騙金額 不一定

我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。


加密貨幣詐騙:網路釣魚類

網路釣魚的行為模式可概括如下:

≣ 第一步:冒充

詐騙者冒充具有公信力的個人或機構,一種方式是扮演「仿冒品」帳號,甚至有直接駭走「本尊」帳號的情況。

≣ 第二步:散布虛假消息

詐騙者散播假的官方公告,勾起受害者的關注或好奇心。

≣ 第三步:夾帶惡意連結

在虛假訊息中夾帶惡意連結,誘使受害者點擊這些餌,坐等魚兒上鉤。

≣ 第四步:竊取機敏資訊

一旦受害者點擊了惡意連結,詐騙者就可以竊取受害者的機敏資訊,比方說:

Chainee_course
  • 監控受害者的「剪貼簿」歷史紀錄,來掌握他們的平台密碼或錢包私鑰(助記詞)。
  • 詐騙者將惡意規則以程式碼的方式嵌入到智能合約裡,讓那些不懂/懶得查看簽署內容的受害者中鏢。
  • 詐騙者建立一個山寨地址(開頭五碼及結尾四碼相同,但中間不同),然後用這個地址空投代幣給被害人。這個手法叫做地址中毒(Address poisoning),向受害者「投毒」要魚目混珠「感染」他們的交易紀錄。未來受害者在做錢包內地址之間的資金劃轉時,萬一不小心複製到了詐騙者的山寨地址,就有可能將資金誤轉。

≣ 加密貨幣詐騙(網路釣魚)真實案例

例如,我們在 FB/IG 上看到打著台灣加密貨幣交易所名號的「公會」廣告,這些都是加密貨幣詐騙群。因為投放廣告的帳號,頭像看起來都怪怪的。試問,一間正派的交易所,怎麼可能會用「小姐姐」頭像來發送官方訊息呢?

又如,下方的社交媒體 X(前 Twitter)上 ,正牌的官方 Grass @getgrass_io 發布了一則貼文,但留言串出現一個詐騙者 Grass @HoursGames 見縫插針,趁機置入釣魚連結,這個山寨帳號有著一樣的暱稱、圖像甚至還有黃勾勾認證,不仔細看就會中招了。

≣ 加密貨幣詐騙(網路釣魚)研討復盤

透過以上講解,希望大家可以更清楚地了解網路釣魚的行為模式。

因為即使是「本尊」也有可能被駭而發布虛假訊息、惡意連結,所以關鍵點是,你在點擊任何超連結之前務必做好查證:

  1. 你可以同時比對多個官方渠道(網站、FB、IG、X、Discord⋯⋯)的消息,畢竟同時間所有官方渠道都被駭入的機率是低的。
  2. 向官方客服求證。
  3. 在加密貨幣群組向其他群友打聽,發揮集體智慧的力量。

歡迎加入〈鏈習生 Line 社群〉,和鏈習生研究員、讀者們一起探索 Web3 宇宙!

鏈習生 LINE 社群


加密貨幣詐騙:社交工程類

社交工程的行為模式可概括如下:

≣ 第一步:人設

詐騙者扮演各種帥哥、美女、創業維艱、孝感動天、逆境掙扎⋯⋯各種「有故事的人」,他們會主動親近你,和你博感情,漸進式地贏得你的信任;他們願意花時間「放長線釣大魚」,等到你把他們當成自己人以後,通常是男女之間的情感關係,就準備要從你身上撈一筆大的。

≣ 第二步:要你投資加密貨幣

此時,詐騙者會搭配話術(例如:千載難逢的投資名額、穩賺不賠的獲利機會)要你投資加密貨幣。

其實在這個階段,詐騙者已經建立起足夠的「情感帳戶/信任帳戶」,所以他們的說詞不是重點,因為你已經「當局者迷」了,他們說什麼你就信什麼,於是你就拿出了你的資金。

≣ 第三步:指向不明錢包/假平台

但不是每個人,一開始就知道如何購買加密貨幣呀!所以詐騙者會教導你購買加密貨幣,而且他們還要讓你「看得見」帳上的金額,分為兩種情況討論:

  • 先讓你在台灣合法合規的加密貨幣交易所(例如 BitoPro、MAX)註冊、入金、買幣,等到時機成熟後,要你把幣轉帳至某個不明錢包/假平台。
  • 直接讓你在假平台註冊、入金、買幣。

≣ 第四步:各種拖延出金

通常,一開始會讓你吃一些甜頭,你能夠正常出金(落袋為安)。

這是為了要強化你的信心,讓你不再只是「試水溫」,詐騙者要你食髓知味,投入更多資金(他都經營這麼久了,一定要撈一波大的才夠本)。

等到他覺得你在假平台存放的資金夠多了,這時你會遇到各種拖延出金的理由,比方說觸發風控,暫時凍結你的帳戶,要你「再存入」一筆資金,才能解鎖。

最後,不管你有沒有「再存入」這筆錢,你的資金都拿不回來了。

≣ 第五步:二次傷害

這是番外篇。

詐騙者利用受害者心有不甘,急於想要抓住救命稻草的心理,假稱自己有專業技術或人脈(例如:國際駭客組織、律師事務所),可以協助你把詐騙者繩之以法或取回資金——事實上卻是要來騙取你的「手續費/委託費」,最後他們根本不會辦事,你只是再一次把個資和錢給了他們而已。

資料來源:刑事警察局
資料來源:刑事警察局

≣ 加密貨幣詐騙(社交工程)真實案例

略過先前一大段「培養感情」的階段,快速跳轉到詐騙者要求受害者使用名不見經傳的加密貨幣交易所,例如這間名為 CoinGrew 的假平台。

群友是怎麼辨識這間 CoinGrew 是假貨呢?以下是一些疑點:

第一,在 CoinMarketCap、CoinGecko 等加密貨幣數據追蹤網站,查詢不到收錄 CoinGrew 交易所的資訊建檔。

第二,這間 CoinGrew 交易所竟然沒有網頁版,只有 App 版本。

第三,簡陋的 App 介面,還「參考」了 Bitget 交易所的視覺設計,謊稱足球員「法國小跑車」姆巴佩(Kylian Mbappé)是交易所代言人,但網路上根本查不到相關新聞稿。

第四,這間 CoinGrew 交易所直接照抄〈鏈習生〉的科普文章,直接「換皮」變成自己的介紹文。如果是一間正規的交易所,絕對不會如此草率地、偷懶地產製內容。

然後下方是 CoinGrew 交易所寄給用戶一份很粗糙的「帳戶凍結」告知函,有多拙劣呢?美國證券交易所的縮寫明明就是 SEC,怎麼文中以 BCH 來稱呼了?

最後受害者發現自己受騙上當,可能會在 Google 上自救搜尋,要小心網路上有這種農場文章(同一種發文格式,大量套用在免洗部落格上),他們「要受害者加賴」佯稱有救回資金的機會,但往往是要再次從受害者身上剝一層皮。

≣ 加密貨幣詐騙(社交工程)研討復盤

透過以上分析,希望大家可以更清楚地了解社交工程最後是怎麼收割的,引以為鑒。

總之,網路上交友「可談心別談錢」,萬一有陌生人叫你掏出真金白銀,甚至還叫你去貸款,聲稱要拿去創業、投資,這些都是危險訊號!

  1. 要小心這些利用人們情感上弱點的手段——如果你不投資,對方可能會情緒勒索你,甚至威脅你要結束這段關係——都是套路。
  2. 要小心猶如電影《楚門的世界》全部人都在演戲的局,整個群組「除了你」以外,其他所有的群友、老師都是同一批詐騙集團所扮演的。
  3. 善用 CoinMarketCap、CoinGecko 事前查詢,絕對不要使用來路不明的加密貨幣交易所。
  4. 在加密貨幣群組向其他群友徵詢意見,發揮集體智慧的力量。

加入〈鏈習生 LiNE 社群〉,和鏈習生研究員、讀者們一起探索 Web3 宇宙!

鏈習生 LINE 社群


小結

我們對加密貨幣詐騙行為進行了深入分析,分為「網路釣魚」和「社交工程」兩大類。

前者是利用仿冒公信力單位散布惡意連結來吸引獵物上鉤,後者則是培養情感基礎以後收割一波,更要小心這兩種手法是可以組成 combo 技的(混合使用);也分析行為特徵,並檢附真實案例。

願這些分享能提高大家的警戒心,建立好妥妥的反詐騙防範意識。

Chainee_course