最後更新日期:2024 年 3 月 18 日
加密貨幣詐騙行為可以概括分成兩大類,分別是「網路釣魚」和「社交工程」。
- 網路釣魚(Phishing)
仿冒某個具有公信力的單位(專家、名人、交易所),短時間廣撒以假亂真的消息,坐等受害者上鉤點擊某個惡意連結,謀取你的機敏資訊。 - 社交工程(Social Engineering)
捏造各種人設和背景故事,主動接近你,和你博感情,漸進式地贏得你的信任;等到你放鬆戒心以後,要從你身上撈一筆大的。
| 網路釣魚 | 社交工程 | |
|---|---|---|
| 為什麼得逞? | 公信力 | 搏感情 |
| 模式 | 坐等魚兒上鉤 | 主動噓寒問暖 |
| 收割期 | 短 | 長 |
| 詐騙金額 | 不一定 | 大 |
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
加密貨幣詐騙:網路釣魚類
網路釣魚的行為模式可概括如下:
≣ 第一步:冒充
詐騙者冒充具有公信力的個人或機構,一種方式是扮演「仿冒品」帳號,甚至有直接駭走「本尊」帳號的情況。
≣ 第二步:散布虛假消息
詐騙者散播假的官方公告,勾起受害者的關注或好奇心。
≣ 第三步:夾帶惡意連結
在虛假訊息中夾帶惡意連結,誘使受害者點擊這些餌,坐等魚兒上鉤。
≣ 第四步:竊取機敏資訊
一旦受害者點擊了惡意連結,詐騙者就可以竊取受害者的機敏資訊,比方說:
- 監控受害者的「剪貼簿」歷史紀錄,來掌握他們的平台密碼或錢包私鑰(助記詞)。
- 詐騙者將惡意規則以程式碼的方式嵌入到智能合約裡,讓那些不懂/懶得查看簽署內容的受害者中鏢。
- 詐騙者建立一個山寨地址(開頭五碼及結尾四碼相同,但中間不同),然後用這個地址空投代幣給被害人。這個手法叫做地址中毒(Address poisoning),向受害者「投毒」要魚目混珠「感染」他們的交易紀錄。未來受害者在做錢包內地址之間的資金劃轉時,萬一不小心複製到了詐騙者的山寨地址,就有可能將資金誤轉。
≣ 加密貨幣詐騙(網路釣魚)真實案例
例如,我們在 FB/IG 上看到打著台灣加密貨幣交易所名號的「公會」廣告,這些都是加密貨幣詐騙群。因為投放廣告的帳號,頭像看起來都怪怪的。試問,一間正派的交易所,怎麼可能會用「小姐姐」頭像來發送官方訊息呢?
又如,下方的社交媒體 X(前 Twitter)上 ,正牌的官方 Grass @getgrass_io 發布了一則貼文,但留言串出現一個詐騙者 Grass @HoursGames 見縫插針,趁機置入釣魚連結,這個山寨帳號有著一樣的暱稱、圖像甚至還有黃勾勾認證,不仔細看就會中招了。
≣ 加密貨幣詐騙(網路釣魚)研討復盤
透過以上講解,希望大家可以更清楚地了解網路釣魚的行為模式。
因為即使是「本尊」也有可能被駭而發布虛假訊息、惡意連結,所以關鍵點是,你在點擊任何超連結之前務必做好查證:
- 你可以同時比對多個官方渠道(網站、FB、IG、X、Discord⋯⋯)的消息,畢竟同時間所有官方渠道都被駭入的機率是低的。
- 向官方客服求證。
- 在加密貨幣群組向其他群友打聽,發揮集體智慧的力量。
歡迎加入〈鏈習生 Line 社群〉,和鏈習生研究員、讀者們一起探索 Web3 宇宙!
加密貨幣詐騙:社交工程類
社交工程的行為模式可概括如下:
≣ 第一步:人設
詐騙者扮演各種帥哥、美女、創業維艱、孝感動天、逆境掙扎⋯⋯各種「有故事的人」,他們會主動親近你,和你博感情,漸進式地贏得你的信任;他們願意花時間「放長線釣大魚」,等到你把他們當成自己人以後,通常是男女之間的情感關係,就準備要從你身上撈一筆大的。
≣ 第二步:要你投資加密貨幣
此時,詐騙者會搭配話術(例如:千載難逢的投資名額、穩賺不賠的獲利機會)要你投資加密貨幣。
其實在這個階段,詐騙者已經建立起足夠的「情感帳戶/信任帳戶」,所以他們的說詞不是重點,因為你已經「當局者迷」了,他們說什麼你就信什麼,於是你就拿出了你的資金。
≣ 第三步:指向不明錢包/假平台
但不是每個人,一開始就知道如何購買加密貨幣呀!所以詐騙者會教導你購買加密貨幣,而且他們還要讓你「看得見」帳上的金額,分為兩種情況討論:
- 先讓你在台灣合法合規的加密貨幣交易所(例如 BitoPro、MAX)註冊、入金、買幣,等到時機成熟後,要你把幣轉帳至某個不明錢包/假平台。
- 直接讓你在假平台註冊、入金、買幣。
≣ 第四步:各種拖延出金
通常,一開始會讓你吃一些甜頭,你能夠正常出金(落袋為安)。
這是為了要強化你的信心,讓你不再只是「試水溫」,詐騙者要你食髓知味,投入更多資金(他都經營這麼久了,一定要撈一波大的才夠本)。
等到他覺得你在假平台存放的資金夠多了,這時你會遇到各種拖延出金的理由,比方說觸發風控,暫時凍結你的帳戶,要你「再存入」一筆資金,才能解鎖。
最後,不管你有沒有「再存入」這筆錢,你的資金都拿不回來了。
≣ 第五步:二次傷害
這是番外篇。
詐騙者利用受害者心有不甘,急於想要抓住救命稻草的心理,假稱自己有專業技術或人脈(例如:國際駭客組織、律師事務所),可以協助你把詐騙者繩之以法或取回資金——事實上卻是要來騙取你的「手續費/委託費」,最後他們根本不會辦事,你只是再一次把個資和錢給了他們而已。
≣ 加密貨幣詐騙(社交工程)真實案例
略過先前一大段「培養感情」的階段,快速跳轉到詐騙者要求受害者使用名不見經傳的加密貨幣交易所,例如這間名為 CoinGrew 的假平台。
群友是怎麼辨識這間 CoinGrew 是假貨呢?以下是一些疑點:
第一,在 CoinMarketCap、CoinGecko 等加密貨幣數據追蹤網站,查詢不到收錄 CoinGrew 交易所的資訊建檔。
第二,這間 CoinGrew 交易所竟然沒有網頁版,只有 App 版本。
第三,簡陋的 App 介面,還「參考」了 Bitget 交易所的視覺設計,謊稱足球員「法國小跑車」姆巴佩(Kylian Mbappé)是交易所代言人,但網路上根本查不到相關新聞稿。
第四,這間 CoinGrew 交易所直接照抄〈鏈習生〉的科普文章,直接「換皮」變成自己的介紹文。如果是一間正規的交易所,絕對不會如此草率地、偷懶地產製內容。
然後下方是 CoinGrew 交易所寄給用戶一份很粗糙的「帳戶凍結」告知函,有多拙劣呢?美國證券交易所的縮寫明明就是 SEC,怎麼文中以 BCH 來稱呼了?
最後受害者發現自己受騙上當,可能會在 Google 上自救搜尋,要小心網路上有這種農場文章(同一種發文格式,大量套用在免洗部落格上),他們「要受害者加賴」佯稱有救回資金的機會,但往往是要再次從受害者身上剝一層皮。
≣ 加密貨幣詐騙(社交工程)研討復盤
透過以上分析,希望大家可以更清楚地了解社交工程最後是怎麼收割的,引以為鑒。
總之,網路上交友「可談心別談錢」,萬一有陌生人叫你掏出真金白銀,甚至還叫你去貸款,聲稱要拿去創業、投資,這些都是危險訊號!
- 要小心這些利用人們情感上弱點的手段——如果你不投資,對方可能會情緒勒索你,甚至威脅你要結束這段關係——都是套路。
- 要小心猶如電影《楚門的世界》全部人都在演戲的局,整個群組「除了你」以外,其他所有的群友、老師都是同一批詐騙集團所扮演的。
- 善用 CoinMarketCap、CoinGecko 事前查詢,絕對不要使用來路不明的加密貨幣交易所。
- 在加密貨幣群組向其他群友徵詢意見,發揮集體智慧的力量。
加入〈鏈習生 LiNE 社群〉,和鏈習生研究員、讀者們一起探索 Web3 宇宙!
小結
我們對加密貨幣詐騙行為進行了深入分析,分為「網路釣魚」和「社交工程」兩大類。
前者是利用仿冒公信力單位散布惡意連結來吸引獵物上鉤,後者則是培養情感基礎以後收割一波,更要小心這兩種手法是可以組成 combo 技的(混合使用);也分析行為特徵,並檢附真實案例。
願這些分享能提高大家的警戒心,建立好妥妥的反詐騙防範意識。
