加密货币钱包 IOTA 近期因用户资金被盗遭到大量投诉 。据研究人员透露，黑客组织利用钓鱼网站收集 IOTA 钱包私钥，达到窃取用户资金的目的。目前初步估计，被盗金额高达 400 万美元。 使用 IOTA 钱包需要用户独立生成私钥 ，而许多用户都依赖于在线密钥生成器来实现这一点，于是黑客组织为此精心策划了一场钓鱼活动。 2017 年 8 月 ，黑客组织注册了 iotaseed.io 域名，并将其标榜为 IOTA 密钥在线生成器。由于大多数加密货币用户对随机站点持有怀疑态度，因此黑客将 iotaseed.io 网站链接到 GitHub 存储库，声称网站运行的代码 与 GitHub 相同。 但事实并非如此，Alex Studer 在周末发表的一篇分析文章揭示，虽然黑客运行的代码大部分来自 GitHub 存储库，但却对 Notifier.js 库加载了额外的代码，导致生成的 IOTA 钱包私钥总是相同的，也就意味着访问 iotaseed.io 网站的用户获取到的是黑客预知的私钥。 随后，黑客利用广告宣传该网站，为网站带来大量流量 。经过 6 个月的研究和收集，黑客于 2018 年 1 月 19 日开始访问 IOTA 账户，并将资金从用户的 IOTA 钱包中转出。至于网站 iotaseed.io 最后也只剩一句“ Taken down. Apologies. ”。 除了该起钓鱼网站事件之外，更糟糕的是，IOTA 钱包同时也受到了 DDoS 攻击。但 IOTA 创始人声称目前并没有确凿的证据可以表明 DDoS 攻击事件与钓鱼网站有任何关联。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

虽然 HTTPS 的使用有助于保障互联网用户在浏览器和网站之间的数据安全，但越来越多的网络钓鱼方案正在利用人们对绿色小挂锁的无知。网络钓鱼防范公司 PhishLabs 近期发布了一个新的报告，显示在 HTTPS 页面上托管钓鱼网站的速度明显快于整个 HTTPS 的采用速度。 根据发布超过 1 亿个加密证书的 Let’s Encrypt 表示，上个月 FireFox 加载的网页中有 65% 使用 HTTPS，2016 年底这个数字是 45%。与此同时，24% 的钓鱼网站使用网络加密。就在一年前，这些网站中只有不到 3% 使用了 HTTPS，2015 年这个数字还不到百分之一。针对 PayPal 和 Apple 这两个主要攻击目标的 Q3 HTTPS 钓鱼攻击分析表明，近四分之三的 HTTPS 钓鱼网站托管在恶意注册的域名上，而不是建立在被黑的网站上。 钓鱼者转向 HTTPS 的主要原因是许多人认为绿色的挂锁是网站可信度的标志。证书显示数据在传输中加密，这并不意味着该网站已经采取安全措施并且合法。正如 Wired 指出的，问题之一是证书颁发机构无法检查每个站点，以确保它不包含网络钓鱼或恶意软件攻击。而且，许多要求加密证书的网站当时没有任何内容。 稿源：cnBeta，封面源自网络；

PhishLabs 安全研究人员发现一种新型钓鱼方式，允许黑客利用手机端 URL 地址栏长度不足的劣势引导用户进入钓鱼网站。目前，这一手段已让大量在手机端使用 Facebook 的用户纷纷中招。 研究人员透露，新的攻击策略依赖于移动浏览器 URL 地址栏过窄，从而阻碍了用户查看全部链接内容的漏洞。据悉，黑客利用子域名和连字符等字符串填充 URL，让整个链接在移动设备中看起来极其真实，可一旦用户进入则会被引导至钓鱼网址。 此外，该公司还提供了一个例子，比如 -hxxp：//m.facebook.com，这里 http 已被 hxxp 替代。而多数时候用户并不能清楚分辨，但是他们访问的已经是一个钓鱼网址了。他们在该网址的所有动作都会把自身数据传输至黑客手中，而黑客会再利用这些数据通过垃圾邮件把钓鱼网址发送给用户周边的朋友，从而感染更多用户。 事实上，这一点曾在 PC 端出现过，但由于 PC 端的地址栏较长，一些钓鱼网址极易识破。而在手机端，URL 填充方法就非常有效地掩盖了网站的真实域名，移动用户很难发现这一问题。解决这一问题的办法在于确认并检查完整域名，而不仅是 HTTP 的部分，因为每一个字符的错误都可能进入钓鱼网站。此外，安全扫描，屏蔽多数钓鱼网站且不要点击短信和邮件里的链接，因为这些链接的危险度较高，如果有必要一定要仔细检查。 稿源：中关村在线，封面源自网络