NFT 藝術家 Princess Hypio 此前在 X 上發文表示,她因一起「玩遊戲」詐騙而慘失價值 17 萬美元的加密貨幣與 NFT。詐騙者以 Steam 遊戲為誘餌,實則透過惡意伺服器竊取她的錢包資金與 Discord 帳號。據 Princess Hypio 的説法 ,他有至少三名友人也中了同樣的招。
幫我玩看看這款遊戲!
這種「玩看看這款遊戲」 的詐騙手法,其實已存在多時。駭客會潛伏於 Discord 等社群,先建立信任,再發送附帶木馬的「遊戲伺服器連結」,藉此獲取裝置權限,進一步轉移受害者的加密資產。根據 Kraken 首席安全長 Nick Percoco 的說法,這類攻擊已成為越來越流行的詐騙手段。
該攻擊的具體手法是,駭客會潛入 Discord 群組一段時間,長時間觀察並學習社群成員的互動模式,藉此建立信任。接著,他們會探問受害者是否擁有加密貨幣或 NFT,假裝有興趣了解,並鎖定有價值資產的目標。
當對方覺得時機成熟,就會丟出誘餌——「我做了一個遊戲,想請你幫忙試玩。」有時候,他們會送你一個 Steam 遊戲,甚至幫你付費,讓你完全放下戒心。遊戲本身可能沒有問題,真正的陷阱藏在遊戲背後的「伺服器」、「反外掛程式」或「模組補丁」裡。當你安裝並執行這些檔案時,惡意程式就悄悄進駐你的電腦。
一旦中招,後果往往很嚴重。這些惡意程式通常會竊取你的瀏覽器密碼、Discord 登入憑證、甚至錢包的助記詞或私鑰。有的會竊取你的剪貼簿,把你要轉帳的錢包地址替換成駭客的地址;有的會攔截你在鏈上操作時的簽章,藉由「盲簽」騙取你授權,直接掌控你的資產。更糟的是,駭客拿到你的 Discord 帳號後,會假扮你去釣更多朋友,讓詐騙像病毒一樣蔓延。
社交工程結合惡意軟體
Nick Percoco 表示:
「這些詐騙不是利用程式漏洞,而是利用信任。攻擊者偽裝成朋友,逼迫受害者做出平時不會做的事。」
他強調,加密貨幣最大的弱點不是程式碼,而是人心。詐騙者善於融入社群、模仿朋友口吻,然後伺機出手。來自 Halborn 的資訊安全長 Gabi Urrutia 補充說,這種詐騙結合了社交工程與惡意軟體,雖然不算「技術複雜」,卻隱蔽且危險,因為它利用了社群成員之間的信任感。
假招聘仍是主流手法
不過,雖然 Discord 詐騙案例愈來愈多,但「假招聘或假應聘」才是加密領域目前最普遍的詐騙手法。今年 6 月就有一起案例是北韓駭客假扮招聘方,誘騙加密開發者下載惡意測驗檔案,以竊取錢包與密碼管理器的密碼。
Gabi Urrutia 指出,當前最多的詐騙手法仍是盲簽(blind signing) 與授權釣魚(approval phishing)。其核心概念相同:不是強行奪走金鑰,而是誘使用戶自己交出去。此前發生的 Bybit 攻擊事件就是典型案例,攻擊者利用盲簽與錯誤的權限管理,成功洗走用戶資金。
