案例 1:面试钓鱼——“请提前安装我们内部视频软件”
小刘投递实习后收到 技术面试助手.zip,被要求提前安装。木马运行后立刻弹出面试界面并录制屏幕,后台却上传浏览器 Cookie 与桌面文件。面试结束第三天,他的校招邮箱被用来群发垃圾,校园统一身份认证也被盗登。
教训: 正规企业面试基本使用 Web 会议;若必须安装客户端,先在虚拟机测试;安装前查询 SHA256 摘要、阅读权限提示。
安全与合规
一、 Web3 合规性要求与常见法律风险
TODO 这里主要想给学生们分析一下常见的法律风险,比如哪些行为是不能碰的,哪些是没有问题的,消除一些模糊的认知,建立正确的行业底线。避免未来触碰。所以最好是常见的问题(比如 cx、发币等) + 典型实际案例的分析。可能需要专业法律人士来写。
法律风险概述
- Web3 项目涉及的常见法律领域:如数据隐私(GDPR)、反洗钱(AML)、反恐怖融资(CFT)、证券法等
- 全球不同地区的法律差异:美国、欧盟、中国等的合规要求
- Web3 项目的合法性问题:如去中心化项目是否涉及证券发行、代币是否属于证券等
合规性操作
- 保持透明与合规的运营:如何确保项目符合相关法规要求
- 合规性学习资料推荐
二、 常见网络安全风险与防护措施
TODO 这里主要想给学生们分析一下常见的网络安全风险,比如常见的攻击方式、攻击手段、攻击后果等,最好配上一些典型案例。可以以钓鱼攻击、虚假面试安装软件为例,给出实际的场景,增加学生的警惕性。很多学生会安装不明的软件或者面试会议,然后被钓鱼。受限于篇幅,可以推荐继续阅读黑手册。最好联系一些安全专家来写。
随着区块链、Web3等新兴技术的普及,越来越多的学生开始接触加密货币、数字钱包、远程实习和线上面试。然而,网络空间的“黑暗森林”法则同样适用于每一位新手:只要你暴露在网络世界,就有可能成为攻击者的目标。尤其是学生群体,因经验不足、警惕性不高,极易成为网络攻击的受害者。
本节将结合真实案例,系统梳理常见的网络安全风险、攻击方式、攻击手段与后果,帮助大家建立基本的安全防范意识。
1. 常见网络安全风险与攻击方式
钓鱼攻击(Phishing)
钓鱼攻击是最常见、最有效的网络攻击手段之一。攻击者通过伪造官方网站、社交账号、邮件、短信等,诱导受害者点击恶意链接、输入敏感信息(如助记词、私钥、账号密码),或下载恶意软件。- 伪造邮件/网站: 攻击者会仿冒知名企业、学校、项目方的邮箱或网站,发送“面试通知”“奖学金发放”“账号异常”等紧急信息,诱导你点击钓鱼链接。
- 社交平台钓鱼: 在微信群、QQ群、Telegram、Discord等社群中,冒充官方人员、HR、学长学姐,发布虚假招聘、空投、福利活动。
- 假冒客服/好友: 通过盗号、伪造头像昵称等方式,冒充你信任的人,诱导你转账或泄露信息。
典型案例
案例 2:奖学金钓鱼——“填写信息领取 200 USDT”
在某学习交流群,有人冒充学校合作方,发布“奖学金空投”表单和网页。网页要求连接钱包并签名“验证学生身份”。实际上,签名内容被攻击者利用,直接盗走了钱包内的全部资产。
攻击后果
- 钱包资产被盗,无法追回
- 个人信息、账号密码泄露,导致二次受害
- 电脑被植入后门,长期处于被监控、被操控状态
恶意软件/木马(Malware & Trojan)
攻击方式与手段
- 伪装成面试/学习软件: 攻击者将木马程序伪装成“面试专用软件”“学习资料”“破解工具”等,诱导学生下载安装。
- 剪贴板劫持: 木马常驻后台,监控剪贴板内容,一旦检测到钱包地址,自动替换为攻击者地址。
- 浏览器扩展/插件后门: 通过伪装成热门插件,窃取浏览器中的敏感数据。
- 远程控制: 木马获取系统权限后,可远程操控电脑,窃取文件、录屏、键盘记录等。
典型案例
案例 3:虚假面试软件投毒
某学生在 BOSS 直聘上收到“区块链公司”面试邀请,对方发来“公司专用视频会议软件”。安装后,电脑被植入木马,所有钱包文件、浏览器 Cookie、密码管理器数据被上传到攻击者服务器。几天后,学生发现自己的 Telegram、邮箱、交易所账号全部被盗,资产损失惨重。
案例 4:剪贴板木马
学生在网上下载了“免费论文查重工具”,实际为木马。之后每次复制钱包地址准备转账时,地址都会被悄悄替换为攻击者的地址,导致多次转账失败或资产被盗。
攻击后果
- 钱包助记词/私钥泄露,资产被盗
- 账号密码、隐私文件被窃取
- 电脑被远程操控,成为“肉鸡”或被勒索
社交工程攻击(Social Engineering)
攻击方式与手段
- 冒充 HR/导师/同学: 通过社交平台、邮件、电话等方式,冒充你信任的人,获取信任后诱导你操作。
- 群聊钓鱼: 在微信群、QQ 群、Telegram、Discord 等群聊中,冒充管理员、官方人员,发布钓鱼链接或虚假活动。
- “好友”求助: 盗取你好友账号后,以“急需用钱”“帮忙测试”“转发链接”等理由诱导你转账或点击恶意链接。
典型案例
案例 5:社交平台假冒好友
小李在 Telegram 上收到“学长”发来的消息,称有一份区块链实习内推机会,需要他填写表单并连接钱包验证。小李信以为真,结果钱包被盗,损失惨重。
攻击后果
- 个人信息、账号密码泄露
- 钱包资产被盗
- 被利用为“跳板”,继续攻击他人
供应链/第三方依赖攻击
攻击方式与手段
- 恶意浏览器插件/扩展:攻击者在 Chrome 商店等平台上传带有后门的插件,诱导用户安装。
- 开源库后门:攻击者在常用开源库、依赖包中植入恶意代码,影响大量下游用户。
- 官方渠道被劫持:即使是“正规商店”下载的软件,也可能因被攻击而批量感染。
典型案例
案例 6:浏览器插件后门
某学生在 B 站看到“提高交易效率的插件”视频,随文案链接安装了假插件。该插件在每次发起转账时将“收款地址”替换为攻击者地址,造成 ETH 与 NFT 共计 0.8 万美元损失。
教训:浏览器只认官方商店;更新要核对开发者与下载量;转账前仔细校验地址前后 4 位。
攻击后果
- 大量用户同时中招,损失巨大
- 难以追查源头,防不胜防
地址污染与扫描木马(Clipper/Scanning Bots)
攻击方式与手段
- 剪贴板劫持:木马监控剪贴板,一旦检测到钱包地址,自动替换为攻击者地址。
- 输入框监听:恶意软件监听浏览器或输入法,实时获取输入内容。
典型案例
案例 7:转账地址被劫持
学生在转账学费时,复制粘贴钱包地址,实际被木马替换为攻击者地址,导致资金直接转入黑客账户,无法追回。
攻击后果
- 资金转入错误地址,无法找回
- 多次转账均被劫持,损失加剧
传统隐私与账号安全风险
攻击方式与手段
- 弱密码/密码复用:多个平台使用相同密码,一旦某个平台泄露,其他账号也被攻破。
- 邮箱/SIM 卡劫持:通过社工、运营商漏洞等手段,劫持你的邮箱或手机号,重置所有账号密码。
- 双因素认证缺失:未开启 2FA,账号易被盗。
典型案例
案例 8:邮箱被盗导致全盘失守
学生邮箱被钓鱼邮件攻破,攻击者通过“找回密码”功能,重置了其所有社交、交易所、钱包等账号密码,造成全部资产和隐私信息泄露。
攻击后果
- 所有账号被盗,资产损失
- 个人隐私、学习资料、证件等被泄露
2. 防护清单(学生版)
面试/实习相关
- 只用官方 Zoom/Teams/腾讯会议等公开工具,拒绝安装任何“专用面试软件”
- 核实面试邀请邮箱、域名、联系人,多渠道确认
- 遇到“提前安装软件”“下载资料包”等要求,务必警惕,先查官网/Google/知乎/Reddit 等是否有安全警告
奖学金/空投/福利活动
- 任何要求“连接钱包”“签名验证”“输入助记词/私钥”的网页,99% 是骗局
- 空投、福利只用专门测试钱包,主钱包冷存储,绝不轻易暴露
- 收到“缴费”“奖学金调整”类消息时,先拨打官网热线复核;校园通知留意域名是否官方主域。
社交平台/群聊
不轻信群内“官方人员”“管理员”“学长学姐”的私聊和链接 遇到“帮忙测试”“转发链接”“紧急转账”等请求,务必多方核实
软件/插件安装
- 所有软件、插件只从官网、官方应用商店下载
- 安装前先查口碑、用户数、是否有安全警告
- 浏览器插件控制在 3 个以内,且只用官方钱包、密码管理器、广告屏蔽器
- 面试/竞赛前索要安装包时,要求公开 MD5 与官网对比;核查数字签名颁发者和时间戳。
- 开启系统防火墙、浏览器插件权限管理;对摄像头与麦克风按需授权。
账号与密码安全
- 重要账户启用 2FA(短信易被劫持,优选谷歌验证或硬件密钥);不要在同一浏览器里保存助记词与日常 Cookie。
- 使用密码管理器(如 1Password、Bitwarden),每个平台设置独立强密码
- 邮箱、手机号安全重于一切,定期更换密码,防止被劫持
钱包与转账
- 转账前务必核对地址前 6 位和后 4 位,防止剪贴板被劫持
- 助记词/私钥只离线保存,绝不截图、上传网盘或发给任何人
- 定期检查钱包授权,及时取消不必要的授权(可用 Revoke.cash、Etherscan 等工具)
重要
遇到疑似攻击第一时间断网、截屏、拍照、记录时间点并寻求校内信息中心或专业社群帮助。
区块链技术的出现诞生了我们现在所处的行业,无论你如何称呼这个行业,链圈、币圈、区块链、加密货币、虚拟货币、数字货币、Crypto、Web3 等等,一切的核心几乎都还是围绕区块链。最热闹的都与金融活动有关,比如币这个玩意,包括非同质化代币(NFT,也叫数字藏品)。
这个行业有超凡的活力与吸引力,但存在太多作恶方式。由于区块链的一些独特性,也出现了些比较独特的作恶方式。这些作恶方式大体包括:盗币、恶意挖矿、勒索病毒、暗网交易、木马的 C2 中转、洗钱、资金盘、博彩等等。
三、 骗局实际案例分享
高级攻击方式其实真很多,大多在大众视角下无非就是:我被钓鱼了。但这钓鱼可真高级了,比如:
https://twitter.com/Arthur_0x/status/1506167899437686784
黑客通过邮件发送钓鱼,邮件里附带的文档是:
A Huge Risk of Stablecoin(Protected).docx
这确实是一份很有吸引力的文档...
但这份文档打开后电脑就可能被植入木马(一般通过 Office 宏脚本方式或 0day/1day),这类木马一般都会包括如下常规功能:- 各种凭证采集,如浏览器的,SSH 有关的等,这样黑客就可以把触手伸向目标用户的其他服务。所以中毒后,一般都会建议用户不仅目标设备清理干净,相关账号权限该改的都需要及时更改。
- 键盘记录,尤其采集那些临时出现的敏感内容,如密码等。
- 相关截屏、敏感文件采集等。
- 如果是勒索病毒,进一步的就是将目标设备上的文件都高强度加密了,等待受害者来支付赎金,一般是支付比特币。但这里不是勒索病毒,毕竟勒索病毒的动作太大了,意图直接粗暴。
来自“官方”的钓鱼
坏人真的善于借势搞事,尤其是借官方的势。能仿冒就尽量仿冒得很像很像,如上面提过的假客服。还有如 2022.4 出头,Trezor 这款知名的硬件钱包的许多用户就收到来自 trezor.us 的钓鱼邮件,实际上 trezor.us 并不是 Trezor 官方域名。Trezor 官方域名只是 trezor.io。仅仅域名后缀不一样。另外钓鱼邮件里传播了如下域名:
https://suite.trẹzor.com
trezor.us 钓鱼网站页面 这个域名是有“亮点”的,仔细看那个
ẹ并不是英文字母e。非常的迷惑性,实际上这是 Punycode,标准说明是这样的:A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA) 也就是国际化域名编码,可以表示 Unicode 码和 ASCII 码的有限字符集。
如果把 trẹzor 解开后的样子是这样:xn--trzor-o51b,这才是真身!
Punycode 这种钓鱼方式,几年前就有真实利用了,比如 2018 年时,币安的一些用户就中招过。
这种域名看去很像的钓鱼就可以让许多人上当,更别提更高级的攻击方式,比如一些官方邮箱被控制,还有一种用户邮箱 SPF 配置问题导致的邮件伪造攻击。在用户眼里看到的邮件来源就是一模一样的官方特征。
如果是内部人作恶,那用户就自求多福了。项目方内部的安全风控一定要特别重视人员安全,这永远是最值得花成本、花精力去建设的。人是最大的那只特洛伊木马,但却最容易被忽视。有的人安全意识实在太差,在安全上又不思进取。这种人,谁招谁倒霉。
扩展阅读
- 区块链安全红手册(项目方):https://www.slowmist.com/redhandbook/
- 区块链黑暗森林自救手册:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
- Revoke.cash 授权管理:https://revoke.cash/
- Scam Sniffer 钓鱼检测:https://www.scamsniffer.io/
- 1Password 密码管理器:https://1password.com/
- Bitwarden 密码管理器:https://bitwarden.com/
- SlowMist Hacked 区块链被黑档案库,大量的案例索引:https://hacked.slowmist.io/
文章贡献者
更新日志
2025/7/18 08:06
查看所有更新日志