
新型手法|Telegram 假 Safeguard 骗局
近期,我们收到很多受害者的求助信息,均与 Telegram 上的“假 Safeguard”骗局有关。由于许多用户对这类攻击方式不了解,往往在遇到这种骗局时警惕性不够,无论是新手,还是经验丰富的玩家都很可能上当,本文将深入剖析这一骗局的攻击方式,并提供有效的防范建议,帮助用户保护资产免受损失。
骗局分析
此类骗局主要分为两种,一种是盗取 Telegram 账号,骗子通过诱导用户输入手机号、验证码,甚至 Two-Step Verification 密码来窃取其 Telegram 账号,另一种是往用户电脑植入木马,也是近期出现较多的手法,本文将重点讨论第二种方式。
在某些热度较高的代币空投活动中,用户的 FOMO 情绪正上头时,在 Telegram 上看到下图 Channel 界面,肯定就去点击 Tap to verify 了:
点击 Tap to verify 后会打开一个假冒的 Safeguard bot,表面上显示正在进行验证,这个验证窗口极短,给人一种紧迫感,迫使用户继续操作。
继续点击,结果“假装”显示验证不通过,最终让用户手动验证的提示界面出现了:
骗子很贴心的配置了 Step1, Step2, Step3,此时用户的剪贴板里已经有恶意代码了,只要用户没真的按照这几个 Step 去操作就不会有问题:
但如果用户乖乖地按照这几个 Step 去操作,电脑就会中病毒。
再举一个例子 —— 攻击者冒充 KOL 并使用恶意机器人进行验证引导运行 Powershell 恶意代码。诈骗者创建假冒 KOL 的 X 账号,然后他们在评论区附上 Telegram 链接,邀请用户加入“独家” Telegram 群组以获得投资信息。例如 @BTW0205 的评论区出现的 Scam account,许多用户会在评论区看到“令人兴奋的消息”:
然后进入了对应的 Telegram Channel,引导用户验证。
当用户点击验证时,出现了一个假的 Safeguard,跟上述过程类似,出现了 Step1, Step2, Step3 引导做验证操作。
此时用户的剪切板已经偷偷地被植入了恶意代码内容。如果用户真的按指南打开了运行框,并 Ctrl + V 把恶意代码内容粘贴进运行框里,此时的状态就如下图,在运行框里并看不到全部内容,一大片空白的前面是 Telegram 字样及恶意代码。
这些恶意代码通常是 Powershell 指令,执行后会悄无声息地下载更复杂的恶意代码,最终使电脑感染远程控制木马(如 Remcos)。一旦电脑被木马控制,黑客便能远程窃取电脑中的钱包文件、助记词、私钥、密码等敏感信息,甚至进行资产盗窃。(PS. 关于“假 Safeguard” 木马行为可以参考慢雾区白帽 Jose 的分析,指路:https://jose.wang/2025/01/17/%E4%BC%AASafeguard%E7%97%85%E6%AF%92%E5%88%86%E6%9E%90/)
以太坊基金会账号 @ethereumfndn 评论区也曾被这种骗局污染,这种骗局呈现出大范围撒网收割模式。
最新的如 Trump 的 X 评论区也被这种骗局污染:
如果你是手机上打开的,骗局会一步步拿到你的 Telegram 权限,发现及时的话,需要尽快在 Telegram 设置里的 Privacy and Security -> Active sessions -> Terminate all other sessions,然后加上或修改 Two-Step Verification。
如果你不是 Windows 电脑,而是 Mac 电脑,也一样有类似的方式来诱导你电脑中毒。套路类似,当在 Telegram 里出现下图时,你的剪切板已经被偷偷地植入了恶意代码内容。
此时还没出现风险,但如果你按照给出的步骤去做,就会出现下图的后果:
MistTrack 分析
我们选取几个黑客地址,使用链上追踪和反洗钱平台 MistTrack 进行分析。
Solana 黑客地址:
HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV
2v1DUcjyNBerUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W
D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R
根据 MistTrack 的分析,以上三个黑客地址目前共获利超 120 万美金,包括 SOL 和多个 SPL Token。
黑客首先会将大部分 SPL Token 兑换为 SOL:
再将 SOL 分散转移到多个地址,且黑客地址还与 Binance、Huobi、FixedFloat 平台存在交互:
另外,目前地址 HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV 仍有 1,169.73 SOL 和价值超 1 万美金的 Token 余额。
我们再分析其中一个 Ethereum 黑客地址 0x21b681c98ebc32a9c6696003fc4050f63bc8b2c6,该地址首笔交易时间为 2025 年 1 月,涉及多条链,目前余额约 13 万美元。
该地址将 ETH 转到多个平台如:ChangeNOW, eXch, Cryptomus.com:
如何防范
如果你的电脑中招了,需要立即这样做:
1. 这台电脑用过的钱包、资金都及时转移,不要认为扩展钱包带密码就没事;
2. 各个浏览器保存的密码或登陆过的账号,密码或 2FA 都尽可能进行修改;
3. 电脑上的其他账号,如 Telegram 等,能改都改。
你就做最极端假设就行,反正电脑中毒了,你的电脑对于骗子来说就是透明的。所以逆向思维,如果你是骗子,完全控制了一台在 Web3/Crypto 世界活跃的电脑,会做些什么。最后,电脑重要资料备份后,可以重装,但重装后最好安装国际知名的杀毒软件,如 AVG、Bitdefender、Kaspersky 等,全盘杀毒下,处理完毕就问题不大了。
总结
假 Safeguard 骗局已经发展成一种成熟的黑客攻击模式,从仿冒评论引流到植入木马病毒,再到窃取资产的全过程都隐蔽且高效。随着攻击手段的日益精细化,用户需要更加警惕网络上的各类诱导性链接和操作步骤,通过提高警觉、加强防护、及时发现并处理潜在威胁,才能有效防范这类骗局的侵害。
比推快讯
更多 >>- Tether 2 小时前在 Tron 上增发 10 亿美元 USDT,今年累计增发 30 亿美元 USDT
- 昨日 Bitwise BITB 净流出 1.127 亿美元
- Vivek Ramaswamy:比特币可能成为更常见的企业财库持仓
- 美法官拒绝下令暂时禁止“政府效率部”访问权限
- Tether Treasury 在Tron区块链上新增铸造 10 亿枚 USDT
- Semler Scientific Q4 净利润激增至 2920 万美元,因比特币持仓重估增值
- 白宫澄清马斯克身份,称其并非政府效率部雇员
- SEC 就批准 Grayscale 和 Bitwise 以太坊 ETF 期权交易征求公众反馈
- 挪威起诉四人涉 8700 万美元加密庞氏骗局
- 加密托管公司 BitGo 新增场外交易业务,并考虑进行 IPO
- 美国财政部连续第二周缩减国库券发行规模,以保留举债能力
- 欧洲央行执行理事会成员 Cipollone:降息应将量化紧缩考虑在内
- Starknet:STRK 质押二阶段拟于 Q2 开始,三阶段拟于 Q4 开始
- Strategy宣布拟发行20亿美元可转换优先票据,净收益用于购买比特币
- Libra代币联创声称曾花钱“买通”阿根廷总统米莱的亲属
- 渣打银行分析师:特朗普卸任时比特币将超过 50 万美元的预测仍然有效
- 观点:若获得批准,现货 XRP ETF 首周流入资金将高达 8 亿美元
- 美SEC正式受理Bitwise现货XRP ETF申请
- 比特币跌破94000美元,日内跌1.89%
- FTX 计划于 4 月 11 日进行下一轮还款分配,适用于余额超过 5 万美元的客户
- Curve 创始人推出新项目 Yield Basis 并以 5000 万美元估值募资 500 万美元
- 某鲸鱼将 564 万枚 ONDO 存入 Coinbase,约合 654 万美元
- 彭博社:Tether联创正在致力于开发收益型稳定币
- K33 Research:比特币处于低波动性状态,交易员应保持谨慎
- 阿根廷总统米莱将于周四与马斯克会面
- 阿根廷总统米莱发言人:政府目前不打算因加密货币丑闻解雇任何官员
- DEXX:目前赔付进程已经达到 30%,过程遇到一些问题
- FTX 开始支付小额债权,首批偿付金额达 8 亿美元
- 美联储戴利:加密货币是一个新兴产业,不希望因恐惧而抑制创新
- Arkham:FTX 已开始通过 Kraken 和 BitGo 向债权人发放资金
- FTX 债权人代表 Sunil:部分 FTX 债权人付款已成功完成
- 美联储戴利回应今年是否会进一步降息:世界充满不确定性
- CZ:BNB 在香港持牌交易所上市,意味获得监管机构认可
- Starknet:STRK 质押二阶段拟于 Q2 开始,三阶段拟于 Q4 开始
- 过去 24 小时鲸鱼累计买入超 110 万枚 LINK
- 比特币金融服务公司 Fold 拟于明日正式在纳斯达克上市
- 美国法官裁定马斯克团队可以访问美国教育部系统
- Bitwise 捐赠 15 万美元支持比特币开源开发人员
- Arthur Hayes:政治家背弃支持者在加密圈或无后果,但可能影响政治生涯
- 比特币矿企 MARA 已收购德克萨斯州一家风电场
- 市场消息:谷歌正在探索简化 BTC 采用的方法
- 灰度向 Coinbase Prime Deposit 地址转移约 686 枚 BTC
- 交易所的以太币储备量降至 9 年来最低水平
- 加密安全平台 Blockaid 完成 5000 万美元 B 轮融资,Ribbit Capital 领投
- Uniswap Labs 发文暗示将支持 Monad 网络
- 市场消息:已有部分用户在 Kraken 平台收到 FTX 付款
- 过去 7 日 Base 网络净流入 1.042 亿美元,排名第一
- Messari 发布 Cardano 2024 Q4 报告:ADA 市值环比增长 127%
- 美股开盘,Coinbase 涨幅超 1.5%,Strategy 下跌 0.11%
- 加密天使投资平台 Echo 或将推出 ICO 产品
比推专栏
更多 >>观点
项目
比推热门文章
- Vivek Ramaswamy:比特币可能成为更常见的企业财库持仓
- 美法官拒绝下令暂时禁止“政府效率部”访问权限
- Tether Treasury 在Tron区块链上新增铸造 10 亿枚 USDT
- Semler Scientific Q4 净利润激增至 2920 万美元,因比特币持仓重估增值
- 白宫澄清马斯克身份,称其并非政府效率部雇员
- SEC 就批准 Grayscale 和 Bitwise 以太坊 ETF 期权交易征求公众反馈
- 挪威起诉四人涉 8700 万美元加密庞氏骗局
- 加密托管公司 BitGo 新增场外交易业务,并考虑进行 IPO
- 美国财政部连续第二周缩减国库券发行规模,以保留举债能力
- 欧洲央行执行理事会成员 Cipollone:降息应将量化紧缩考虑在内