思科Talos网络安全团队发现出自乌克兰的大规模网络钓鱼行动，称犯罪团伙购买谷歌Adwords伪装成著名合法比特币钱包网站blockchain.info诱骗投资人，诱骗比特币投资者拱手交出在线钱包登录凭证，席卷价值约5000万美元的比特币。

 

Talos团队将这伙网络罪犯称为“Coinhoarder(比特币囤积者)”，并在报告中描述了该团伙的行骗方法：通过购买谷歌广告，将网络钓鱼链接植入到谷歌搜索结果前列：

　　> “输入‘blockchain(区块链)’或‘bitcoin wallet(比特币钱包)’之类加密货币相关的关键词，假冒的链接就会出现在搜索结果前列。只要点击这些链接，用户就会被重定向到根据自身IP地址所属地理位置确定所用语言的网络钓鱼页面。

　　> “通过分析DNS查询数据，可以获悉这些带毒广告的影响范围。2017年2月，思科观测到虚假加密货币网站DNS查询请求暴涨：在这些广告上线的时间段内，对它们的DNS查询请求超过了20万次/小时。

 

诚然，这种诱骗方式非常初级，但却丝毫不影响其有效性。据研究人员估测，过去3年里，该网络犯罪团伙已通过这种低级的方式攫取了价值5000万美元的比特币。

研究人员还与乌克兰司法机构合作，识别出该团伙所用比特币钱包的地址，追踪到了他们的犯罪活动。仅2017年最后4个月里，就有价值1000万美元的比特币被盗。而在一波为期3周半的网络钓鱼行动中，该团伙大肆搜刮了200万美元。

有意思的是，该团伙似乎特别偏爱非洲国家和发展中国家，可能是因为这些国家银行设施不完善，或者本国货币还没有比特币稳定。

而且，为诱骗更多毫无戒心的比特币投资人，该团伙还以国际域名创建钓鱼网站。此类域名可被用于所谓的同形异义词攻击，基本上很难分辨出虚假网站和真实网站的差别。

众所周知，比特币价格在2017年年末暴涨。或许有人会觉得这对Coinhoarder这样的网络犯罪团伙而言是好消息，但其实他们是有苦说不出——如此巨量的金钱想要悄无声息地洗出来实在太难了。

不过，截至目前，尽管乌克兰警方成功关停了一些网络钓鱼网站，但Coinhoarder依然在逃，并未被逮捕归案。

普通用户可以采取以下措施来加强对此类攻击的防御：

– 用硬件钱包而非在线网站来存储加密货币私钥。

　　– 随时保持对所点链接的警惕性——因为你无法确定这些链接会不会把你重定向到网络钓鱼站点。

　　– 使用广告过滤软件——不仅能提高浏览速度，还能降低在线风险暴露面。

(责任编辑：安博涛)