多家数字货币交易所反映收到勒索信息

近日，多家数字货币交易所反映收到勒索信息。

勒索者向交易所发送邮件或Telegram消息，称交易所存在漏洞，一旦被攻击，平台将无法开通。 获取漏洞报告需要向指定地址支付BTC。 但多家交易所表示，在支付BTC后，对方只是发送了初步的漏洞报告或没有回应。

目前已有5家交易所反映了这一情况。 勒索者使用不同的邮箱或Telegram ID向交易所相关负责人发送勒索邮件。 勒索金额从0.1BTC到2BTC不等，使用不同的BTC地址。

截至发稿，据不完全统计，已有约43.45 BTC（约合40.41万美元）计入勒索者地址。

诈骗邮件原文，邮件称，“交易所存在‘Web Service Integer Overflow’漏洞敲诈邮件 有你的视频 比特币，一旦受到攻击，将导致Web服务器崩溃，最终无法访问....我们可以解决此类问题vulnerability....... .要获得漏洞报告，您需要向指定地址支付2 BTC。”

值得注意的是，该邮件还指出，“截至2019年3月1日，已获得约10万美元的赏金，包括KuCoin、CoinSwitch、Phantasma、PlatonFinance、Vulnerability Analysis、STEX Exchange、XCOYNZ Project等。”

负责人表示敲诈邮件 有你的视频 比特币，确实有部分Telegram用户反馈了该漏洞（如下图），但KuCoin并没有支付2BTC的赏金，提醒大家不要轻信骗子。

截图由库币负责人提供

还有一类与Linkedin相关的钓鱼邮件，大致内容如下：

嘿，我们在 => 上发现了一个巧妙的整数溢出漏洞

攻击者可以改变网络服务器。 我有为xxx之类的大型交易所升级安全性的经验，并想就此提出建议。

我们可以继续演示这个漏洞吗？

您可以通过以下方式在 LinkedIn 上验证我是安全研究员：=>

邮件中包含Linkedin链接，因为在Linkedin平台上，需要登录个人账户才能查看个人信息，所以交易所工作人员在登录自己的Linkedin账户时，才能查看收件人的Linkedin账户信息提交漏洞（可能是钓鱼攻击者），攻击者还可以查看交易所工作人员的信息，攻击者可以通过社交平台获取其他信息。

近年来，数字货币市场资金量呈爆炸式增长，交易市场操纵风险、交易平台风险、欺诈风险、钱包风险等安全风险屡见不鲜。

除上述电子邮件钓鱼攻击外，其他类型的钓鱼攻击包括域名钓鱼（使用类似于官网的 URL）、推特 1 送 10（支付 0.5-10ETH，返还 5-100ETH）、虚假应用程序和假员工等

所谓“钓鱼攻击”，是指攻击者冒充可信赖的个人或组织，通过电子邮件、通讯软件、社交媒体等方式获取收件人的用户名、密码、私钥等隐私信息。

在此次邮件钓鱼攻击中，部分交易所之所以上当受骗，主要是交易所缺乏专业的安全漏洞判断能力，信息的孤立性使其无法对交易所的整体情况做出准确判断。当前的漏洞。 他说，

“对于交易所来说，不管对方是否真的发现了漏洞，只要价格合适，他们都愿意花钱赌一把。如果赌对了，那交易所就可以省下一个公关了。”漏洞暴露的危机，或者平台被攻击一次的可能性较小；如果赌输了，损失也不算太大，可以承受。骗子就是利用了交易所的这种心理。

对于初次遭遇钓鱼攻击的交易所，建议首先不要仓促打开攻击者发送的内容中的任何链接或文件，可能存在木马病毒； 其次，不要转发给攻击者BTC； 最后，如果交易所单独无法准确判断和处理，可以联系安全公司协助处理。

附（钓鱼邮件原文）：

识别钓鱼网站的方法有以下几种：

1.比较网站内容

虚假网站上的字体样式可能不一致且模糊。 假冒网站上没有链接。 用户可以点击栏目或图片中的每个链接，看看是否可以打开。 如果大部分链接都打不开，那很有可能是钓鱼网站。

2.检查安全证书

大型电子商务网站已应用可信证书产品。 此类网站的网址以“https”开头，尤其是涉及到密码输入等相关接口时。 如果您发现它不是以“https”开头的，您应该谨慎对待。

3、查看网站域名

假冒网站通常与真实网站略有不同。 如有疑问，您应该仔细识别差异。 例如，在域名方面，假冒网站通常将英文字母I替换为数字1，如10086被替换为I0086等假冒域名。 或者更改域名后缀等。

4.检查“受信任的站点”

通过第三方网站身份完整性认证鉴别网站真伪。 很多网站在网站首页安装了第三方网站身份完整性认证——“可信网站”，可以帮助判断网站的真伪。 我们应该养成在进行网上交易时核对网站身份信息的习惯。