警惕常见的假 APP 与假 APK 包钓鱼
假 APP 被盗案例
小A 换了新手机,看到某个微信群有显示为某钱包工作人员的用户发布了一张快讯图片,还附有 APP 下载链接,正好新手机还没有下载该钱包,随即扫码下载其 APP,输入私钥并导入钱包,但小A 很快发现其地址的所有资产被转出,损失近 2 万元。
因为私钥与助记词意味着对钱包资产的绝对控制权,所以很多骗局都在设法套取用户私钥,假冒官方 APP 则是其中最常见的手法。这种假 APP 会伪造为官方快讯诱导用户下载,或在向搜索引擎付费后将假冒网站排名置前,或在苹果/安卓官方应用商店上线重名的假APP,它们会高度模仿官方网站与图片信息,一旦用户下载 APP 并导入助记词/私钥,钱包内的资产立即会被转走。
因此,大家在下载钱包、交易所类 APP 时,切记要从官方渠道下载,并仔细检查网站域名等信息是否正确。一般这类官方网站也都会提供“官方链接/联系方式的验证”功能。
如何验证是否为官方网址/邮箱?
Bitget Wallet (原 BitKeep) 提供了官方验证渠道,进入页面后,您输入其他人提供给您的网址或邮箱,点击“验证”即可出现验证结果。
当我们验证一个非 Bitget Wallet (原 BitKeep) 官方的网站链接时,验证结果如下:
一旦验证提示为“非官方渠道”,建议您不要访问该网站。如已经访问了这类钓鱼网站,请及时检查钱包、交易所等平台的资产是否有被转移,并尽快安全转移至新创建的地址中,防止旧钱包的助记词/私钥或交易所密码等隐私泄露导致的资产被盗损失。
假 APK 包案例
鉴于下载途径众多,小B认为没有必要一定得从钱包/交易所的官网下载 APP,有一些知名的第三方应用市场也是很靠谱的。于是小B在一个影响力和流量都很大的网站 APKCombo 下载了某钱包的 APK 包。APKCombo 提供的应用据官方说大部分来源于其他正规应用商店。
但小B 下载某钱包后还没一周时间就发现自己被盗了!这时小B 找该钱包官方客服进行反馈,通过客服联合第三方安全机构调查后发现,APKCombo 提供的 APK 包版本为是一个根本不存在的版本,官方压根没有发布过该版本的 APK 包!而且后来证实这是目前市面上该钱包流传最广的一个假冒版本,此款钱包的版本号很高,显然是骗子为了伪装成一个最新版本而设置的。
一旦用户下载了这类假冒的 APK 包,在开始界面创建钱包或导入钱包助记词时,假冒钱包就会将助记词等信息发送到钓鱼网站的服务端,而被盗就只是早晚的问题了。
此外,安全机构还通过调查发现,类似的下载站还有 Uptodown,Uptodown 任意注册即可发布 App,这使得钓鱼的成本变得极低。
因此,Bitget Wallet (原 BitKeep) 官方提醒广大用户,当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证,在 Bitget Wallet (原 BitKeep) 官方下载页面下载 APP;如果你的钱包从非 Google Play 的第三方应用平台下载,可能会存在下载假冒 APK 包的风险。一旦发现风险,请第一时间转移资产并卸载假冒软件,必要时可通过官方验证通道核实。