Google Ads上出现了大量加密钱包钓鱼网站的广告，大量用户被攻击

Check Point Research (CPR)最近发现了多个加密钱包用户的资金被盗的事件，仅仅几天里受害者总共损失了数十万美元。本次攻击呈现出以下特点：

1.由针对加密钱包用户的搜索引擎广告触发的诈骗活动；

2.该活动在搜索引擎广告中使用虚假 URL 来引诱受害者，攻击者进而窃取钱包密码并转走其中的资金；

3.建议加密钱包用户不要点击广告，只使用直接、已知的 URL；

最近几周，出现了多起关于加密货币诈骗的事件，有关新闻报道把重点放在了关注投资者需要如何保持谨慎，以避免其资金被盗。

上周末，Check Point Research (CPR) 遇到了数百起事件，其中加密投资者在尝试下载和安装知名加密钱包或在 PancakeSwap 或 Uniswap 等加密交换平台上更改货币时出现资金被盗。

在 Reddit 和 Twitter 等各种在线平台上，用户反映只要点击一个钓鱼钱包网站的链接被会被黑客攻击。

Phantom 和 MetaMask 钱包是 Solana 和以太坊生态系统中最受欢迎的钱包，为投资者提供了一种与生态系统中多个区块链网络进行交互的简单而安全的方式。

钱包附带一个易于访问的扩展，允许用户发送和接收加密货币和令牌，收集 NFT (非同质代币) ，甚至在钱包内交换代币。 Phantom 已经从知名企业筹集了数百万美元，拥有超过一百万的用户。据业内人士称，MetaMask 在 2020 年 7 月每月有 545,000 名活跃用户，但到 2021 年 8 月达到峰值，达到 1035 万，这些钱包的流行使它们成为攻击者的绝佳目标。

上周末，CPR 的研究人员发现了多个看起来像原始网站的网络钓鱼网站，因为诈骗者复制了其设计。对于 Phantom 钱包官方网站“phantom.app”域，研究人员发现了 phanton.app 或 phantonn.app 等网络钓鱼变体，甚至是“.pw”等不同的扩展名。

这种网络钓鱼活动的独特之处在于，诈骗者不会像“传统”网络钓鱼诈骗那样通过电子邮件发送网络钓鱼链接。相反，当有人搜索关键字 Phantom 时，他们就会使用 Google 广告活动使他们的网络钓鱼网站出现在官方网站之前。

通过点击广告，受害者被重定向到一个网络钓鱼网站，该钓鱼网站与官方 Phantom 钱包网站非常相似：

当用户点击“创建新钱包”按钮时，钓鱼网站会生成以下有关secret recovery phrase（私钥助记词）的消息：

虽然用户认为这是他们新钱包的短语，但它实际上是攻击者钱包的secret recovery phrase。

下一步，攻击者还会窃取用户的密码：

当用户点击“保存并继续”按钮时，他们看到的是：

然后将用户重定向到最初的Phantom 网站：

现在，如果用户将chrome钱包标签添加到浏览器中，并插入攻击者新创建的恢复短语，他们实际上是登录到攻击者的钱包中，而不是创建一个新的钱包。这意味着如果受害者向其中转移任何资金，都会被攻击者窃取。

下面的截图显示，每隔几个小时就会有一次转账：

攻击者甚至在同一个账户下创建了多个钱包：

在每个钱包中，攻击者都会窃取数千美元：

这种攻击也发生在 MetaMask 钱包上，但在这种情况下，攻击者还试图窃取用户的私钥以窃取他们的钱包（如果他们有的话），或者给他们一个短语，使他们能够在转账时窃取资金。攻击再次从谷歌广告活动开始：

与 Phantom 一样，有一个伪造的 MetaMask 网站，看起来与官方网站非常相似。当创建钱包时，用户实际上可以导入他们的钱包，这之后，攻击者就将获得攻击者的私钥，并窃取他们所有的加密货币。

如果用户创建了一个新钱包，攻击者会告诉用户已知的短语：

使用与 Phantom 钱包相同的方法。

诈骗者选择模仿加密货币交换平台，因为它们很受欢迎，每月有超过 500 万活跃用户。根据 PancakeSwap 和 Uniswap 的说法：

还有多个黑客组织在 Google Ads 的网络钓鱼活动中相互竞争：

由于用户不会在这些平台上创建新钱包，而只需连接他们的钱包，攻击者使用他们创建的虚假 MetMask 钱包来窃取资金。

钱包看起来像原始的 MetaMask，甚至使用 MetaMask CSS 和 HTML 文件来欺骗用户：

请注意，原始 MetaMask 是一个扩展程序，而不是该屏幕截图中的一个 chrome 标签，并且看起来如下图，没有浏览器标题和 URL：

视频请点此：

加密用户需要保持警惕：

研究人员知道这对于刚刚接触加密钱包来说非常令人困惑，他们经常陷入此类骗局，因为他们不熟悉他们正在安装的应用程序。但此类用户必须牢记一些重要规则：

1.只有扩展程序才能创建密码，要了解这是扩展程序还是网站，请查看浏览器 URL；

2.扩展程序将在其附近包含一个扩展程序图标和一个 chrome 扩展程序 URL：

3.用户不应该泄露他们的密码，从来没有人会这样要求。并且只有在用户安装新钱包时才会再次使用；

4.在加密空间中寻找钱包或加密交易和交换平台时，请务必查看搜索中的第一个结果是不是广告的网站，因为这些广告可能会误导使用者；

5.一定仔细检查URL。