隨著加密貨幣的普及和應用范圍的擴大，熱錢包（Hot Wallet）是一種連接互聯網的錢包，可以方便快捷地進行交易。最常見的熱錢包是交易所內部的錢包，當用戶在交易所開通賬戶時，會自動獲得一個錢包地址。此外，還有一些第三方熱錢包，如MetaMask和Trust Wallet等，可作為瀏覽器插件或移動應用程序使用。熱錢包的優點是操作簡單、方便快捷，適合頻繁交易和使用去中心化應用（dApp）。

冷錢包（Cold Wallet）是一種離線存儲私鑰的錢包，用于儲存長期持有、不經常交易的加密資產。冷錢包可以分為硬件錢包和紙錢包兩種形式。硬件錢包是一種物理設備，如Ledger、Trezor和Coolwallet等，通過與電腦或移動設備連接來進行交互。紙錢包是將私鑰和地址以紙質形式打印或手寫保存。冷錢包的優點是安全性極高，由于私鑰離線存儲，攻擊者攻擊的風險大大降低。無論你是交易頻繁還是長期持有加密資產，合理選擇熱錢包和冷錢包都能提供更好的資產管理和安全保護。

但隨著加密貨幣在全球的受歡迎程度越來越高，存儲它們的新方式越多，試圖盜取數字貨幣的攻擊者使用的工具庫就越廣泛。攻擊者根據目標使用的錢包技術的復雜性來調整其攻擊策略，比如通過釣魚攻擊模仿合法網站的來攻擊目標，如果成功，他們可以竊取其中全部的金額。熱錢包和冷錢包采用了兩種截然不同的電子郵件攻擊方法，熱錢包和冷錢包這兩種方法是最流行的加密貨幣存儲方式。

盜取熱錢包的方法簡單而粗暴

熱錢包是一種可以永久訪問互聯網的加密貨幣錢包，是一種在線服務，從加密貨幣交易所到專門的應用程序都要用到。熱錢包是一種非常流行的加密存儲選項。這可以通過創建一個錢包的簡單性（只需注冊錢包服務）以及提取和轉換資金的便利性來解釋。熱錢包的普及性和簡單性使其成為攻擊者的主要目標。然而，由于這個原因，以及熱錢包總是在線的事實，它們很少用于存儲大額資金。因此，攻擊者幾乎沒有動力在網絡釣魚活動中投入大量資金，因此，用于熱錢包電子郵件攻擊的技術幾乎從來都不復雜或是沒有攻擊者為此專門開發一種技術的。事實上，它們看起來相當原始，目標大多是初級用戶。

針對熱錢包用戶的典型網絡釣魚騙局如下：攻擊者發送來自知名加密貨幣交易所的電子郵件，要求用戶確認交易或再次驗證其錢包。

針對Coinbase用戶的釣魚電子郵件示例

用戶點擊鏈接后，他們會被重定向到一個頁面，在那里他們會被要求輸入他們的種子短語。種子短語（恢復短語）是一個由12個(不太常見的是24個)單詞組成的序列，用于恢復對加密錢包的訪問。這實際上是錢包的主密碼。種子短語可用于獲得或恢復對用戶帳戶的訪問權限并進行任何交易。種子短語無法更改或恢復：如果放錯位置，用戶就有可能永遠無法訪問他們的錢包，并將其交給攻擊者，從而永久破壞他們的賬戶。

種子短語輸入頁面

如果用戶在一個虛假的網頁上輸入種子短語，攻擊者就可以完全訪問錢包，并能夠將所有資金轉移到自己的地址。

這類騙局相當簡單，沒有軟件或社會工程技巧，通常針對技術小白用戶。種子短語輸入表單通常有一個精簡的外觀，即只有一個輸入字段和一個加密交易標志。

針對冷錢包的網絡釣魚騙局

冷錢包是一種沒有永久連接到互聯網的錢包，就像一個專用設備，甚至只是寫在紙條上的私鑰。硬件存儲是最常見的冷錢包類型。由于這些設備大部分時間都處于離線狀態，而且無法進行遠程訪問，因此用戶傾向于在這些設備上存儲大量數據。也就是說，如果不竊取硬件錢包，或者至少不獲得物理訪問權限，就認為硬件錢包無法被攻破，這種觀點錯誤的。與熱錢包的情況一樣，詐騙者使用社會工程技術來獲取用戶的資金。研究人員最近就發現了一個專門針對硬件冷錢包所有者的電子郵件活動。

這種類型的攻擊始于加密電子郵件活動：用戶收到一封來自Ripple加密貨幣交易所的電子郵件，并提供加入XRP代幣(該平臺的內部加密貨幣)的贈品。

偽裝成Ripple加密貨幣交易所的釣魚郵件

如果用戶點擊鏈接，他們會看到一個博客頁面，其中有一篇文章解釋了“贈品”的規則。該帖子包含一個“注冊”的直接鏈接。

虛假Ripple博客

此時，可以看出該騙局已經顯示出與攻擊熱錢包的一些不同之處：攻擊者沒有向用戶發送網絡釣魚頁面的鏈接，而是利用博客開發了一種更復雜的沉浸式技巧。他們甚至一絲不茍地復制了Ripple網站的設計，并注冊了一個與該交易所官方域名幾乎相同的域名。這被稱為Punycode網絡釣魚攻擊。乍一看，二級域名與原始域名相同，但仔細觀察會發現字母“r”已被使用cedilla的Unicode字符替換：

此外，該詐騙網站位于.net頂級域，而不是Ripple官方網站所在的.com。不過，這可能不會給受害者帶來任何危險信號，因為這兩個領域都被合法組織廣泛使用。

在用戶按照從“博客”到虛假Ripple頁面的鏈接后，他們可以連接到WebSocket地址wss://s2.ripple.com。

連接到WebSocket地址

Supremo遠程桌面，Supremo遠程桌面是一個強大、簡單和完整的遠程桌面控制和支持解決方案。它允許在幾秒鐘內訪問遠程PC或加入會議。Supremo還與IT管理控制臺USilio兼容。

3Proxy，3Proxy是跨平臺的代理服務功能組件,支持HTTP,HTTPS,FTP,SOCKS(v4,4.5,5),TCP和UDP端口映射等。可以單獨使用某個功能,也可混合同時使用。Powerline，Powerline 是一個 vim 的狀態行插件，為包括 zsh、bash、tmux、IPython、Awesome 和 Qtile 在內的應用提供狀態信息與提示。

Putty，PuTTY是一個Telnet/SSH/rlogin/純TCP以及串行阜連線軟件。較早的版本僅支援Windows平臺，在最近的版本中開始支援各類Unix平臺，并打算移植至Mac OS X上。Dumpert，Dumpert是一個使用直接系統調用和API解除連接的LSASS內存轉儲器 最近的惡意軟件研究表明，使用直接系統調用來逃避安全產品使用的用戶模式API掛鉤的惡意軟件數量有所增加。NTDSDumpEx；ForkDump。我們首先在前面提到的Log4j示例中注意到EarlyRat的一個版本，并假設它是通過Log4j下載的。然而，當我們開始尋找更多樣本時，發現了最終釋放EarlyRat的網絡釣魚文檔。網絡釣魚文檔本身并不像下面所示的那樣高級。

接下來，用戶可以輸入其XRP帳戶的地址。

輸入XRP帳戶地址

然后，該網站提供選擇一種認證方法來接收獎勵令牌。

選擇身份驗證方法

正如你所看到的，硬件錢包是攻擊者建議的首選。選擇Trezor會將用戶重定向到官方網站Trezor.io，它允許通過Trezor connect API將設備連接到web應用程序。該API用于在硬件錢包的幫助下簡化交易。攻擊者希望受害者連接到他們的網站，這樣他們就可以從受害者的賬戶中提取資金。

當用戶試圖連接到第三方網站時，Trezor connect會要求他們同意匿名收集數據，并確認他們想連接到該網站。詐騙網站的地址在Punycode視圖中顯示為：https://app[.]xn--ipple-4bb[.]net。攻擊者希望受害者連接到他們的網站，這樣他們就可以從受害者的賬戶中提取資金。

Trezor Connect：確認連接到詐騙網站

通過Ledger進行連接很像Trezor，但它使用WebHID接口，其他步驟保持不變。

用戶連接硬件錢包后會發生什么？為了回答這個問題，有必要觀察一下網絡釣魚網站的代碼。該網站由一個用Node.js編寫的應用程序提供支持，它使用兩個API：

1.wss://s2.ripple.com，Ripple交易的官方WebSocket地址；

2.釣魚網站API，例如：app[.]xn--ipple-4bb[.]net/API/v1/action；

攻擊者使用這兩個API與受害者的XRP賬戶進行交互。釣魚網站API與WebSocket地址對話，驗證帳戶詳細信息并請求資金。為此，攻擊者們專門設計了一次性的中間錢包。

中間賬戶只用于兩件事：接收受害者的資金，并將這些資金轉入攻擊者的永久賬戶。這有助于隱藏最終目的地。

2023年3月，卡巴斯基反垃圾郵件解決方案檢測并屏蔽了85362封針對加密貨幣用戶的欺詐電子郵件。詐騙電子郵件活動在3月份達到頂峰，共收到34644條信息，在4月份屏蔽了19902封電子郵件，在5月份屏蔽了30816封。

2023年3月至5月檢測到的針對加密貨幣用戶的釣魚電子郵件數量

總結

攻擊者很清楚一件事，越難攻擊的對象，其利潤就越大。因此，硬件錢包看似無懈可擊，但只要成功，那收貨將無比豐厚，對硬件錢包的攻擊使用的策略遠比針對在線加密存儲服務用戶的策略復雜得多。盡管硬件錢包確實比熱錢包更安全，但用戶不應放松警惕。在允許任何網站訪問你的錢包之前，請仔細檢查每個細節，如果有任何可疑之處，請拒絕連接。