2025-12-25 18:23:45

最近看到不少关于USDD的安全预警，仔细研究了一下2025年出现的钓鱼事件数据和恶意域名注册情况，发现一个很明显的趋势——钓鱼网站的伪装手段变得越来越高级，针对性也越来越强。

这些攻击主要有几个特点：一是利用AI技术生成高度仿真的页面，几乎能骗过大多数人；二是通过社媒空投、治理投票等新的诱饵方式精准狙击；三是从简单粗糙逐步演进到隐蔽多元的攻击模式。

基于这些现象，我总结了一套"多层级钓鱼识别框架"，其实就是从多个维度给资产上"保险"。这个框架结合了传统网络安全的纵深防御思想，但专门针对Web3和区块链做了调整，特别考虑了DApp的交互逻辑和链上资产转移的特殊性。

**框架的四个核心层级是这样的：**

**第一层：域名与证书**（技术基础）
Ini adalah garis pertahanan yang paling langsung. Fokus utama pada tiga aspek: apakah kemiripan domain menunjukkan perbedaan kecil (misalnya huruf yang membingungkan, penambahan karakter), apakah domain resmi dan domain DApp utama telah dipalsukan, dan apakah situs berbahaya menyalahgunakan subdomain. Lapisan ini sangat penting karena sebagian besar orang masih mengakses situs phishing melalui URL.

**第二层：内容与交互逻辑**（内容维度）
Beberapa situs phishing membuat halaman yang sangat realistis, jadi perlu mengamati apakah alur interaksi di halaman tersebut aneh. Misalnya, apakah proses transfer normal dan proses di situs ini tidak konsisten, apakah penempatan tombol sesuai gaya resmi, dan apakah teks peringatan mengandung kesalahan bahasa atau kata-kata aneh.

**第三层：行为模式识别**（用户行为）
Perhatikan permintaan yang tidak biasa. Jika sebuah situs meminta Anda mengimpor kunci pribadi atau frase pemulihan, memberi izin ke kontrak tanpa penjelasan yang jelas, atau mengklaim bisa mengklaim token tata kelola dengan satu klik, itu adalah sinyal bahaya tinggi. Interaksi DApp yang normal tidak akan seceroboh itu.

**第四层：链上验证**（区块链层）
Garis pertahanan terakhir adalah verifikasi di blockchain. Sebelum transaksi dikirim, pastikan alamat penerima benar-benar milik pihak resmi atau terpercaya, gunakan explorer blockchain untuk memeriksa riwayat transaksi, dan periksa reputasi serta pola aktivitas alamat tersebut.

Keuntungan dari kerangka ini adalah membangun sistem pertahanan lengkap dari pintu masuk, pengenalan konten, penilaian perilaku, hingga verifikasi di blockchain. Bukan hanya mengandalkan satu alat keamanan, tetapi meningkatkan kesadaran keamanan aset melalui observasi multidimensi.

Disarankan agar semua orang melakukan pemeriksaan keempat lapisan ini saat berinteraksi dengan USDD. Terutama saat melihat airdrop, voting, atau janji hasil tinggi yang menggoda, harus lebih berhati-hati. Halaman yang dihasilkan AI memang bisa menipu, tetapi jika Anda membiasakan diri melakukan pemeriksaan bertahap, peluang tertipu akan jauh berkurang.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

9 Suka

Hadiah
9
5
Posting ulang
Bagikan

Komentar

0/400

WhaleMinion

· 12jam yang lalu

Sial AI menghasilkan halaman phishing begitu absurd kah, aku hampir klik terakhir kali... --- Pemeriksaan empat lapis terdengar meyakinkan, tapi terlalu bikin pusing haha --- Sekarang paham kenapa begitu banyak orang tertipu, halaman benar-benar dibuat seperti resmi --- Private key dan seed phrase benar-benar jangan sembarangan input, kalimat ini harus kapital dan tebal --- Aku cuma mau tanya, ada nggak sih alat yang bisa otomatis cek, manual terlalu capek --- Verifikasi di blockchain memang menyelamatkanku beberapa kali, aku rekomendasikan semua untuk membiasakan ini --- Jebakan airdrop benar-benar terus bermunculan, terutama yang berkaitan dengan voting governance --- Tapi jujur saja, kebanyakan orang bahkan belum melihat lapis pertama sudah masuk --- AI ini terlalu hebat, bahkan detailnya dibuat seperti nyata

Lihat AsliBalas0

DAOdreamer

· 12jam yang lalu

话说AI生成的钓鱼页面确实恐怖，我就差点上当过四层检查框架是真的干货，特别是那个私钥导入环节，一看就是红旗啊不过说实话，大多数人根本养不成这习惯吧...简单粗暴直接用硬件钱包不香么当初被空投骗过一次之后我就再也不信"一键领取"了链上验证这一步我之前没重视，得补功课了

Balas0

SigmaBrain

· 12jam yang lalu

Kerangka kerja ini tidak ada masalah, tapi sejujurnya kebanyakan orang sama sekali tidak akan memeriksa berdasarkan empat lapisan ini, mereka langsung menyerbu saat melihat airdrop Halaman phishing AI memang luar biasa, saya hampir tertipu sebelumnya, untungnya reaksi cepat Intinya adalah harus membiasakan diri, kalau tidak, sebanyak apapun kerangka kerja juga sia-sia

Lihat AsliBalas0

BearMarketSurvivor

· 13jam yang lalu

Hmm... Kerangka kerja ini memang dapat diandalkan, akhir-akhir ini saya juga pernah ketakutan satu kali, domain name hampir kena tipu karena satu huruf yang salah Masalah AI phishing ini benar-benar tidak boleh dianggap remeh, situs web yang hanya satu klik untuk klaim koin saya langsung laporkan, tidak peduli siapa pun yang datang Metode pemeriksaan empat lapis saya harus catat, agar tidak suatu hari nanti tergoda untuk klik tautan palsu Sejujurnya, ini adalah sikap keamanan yang benar, lebih dapat diandalkan daripada alat keamanan apa pun, yang paling penting adalah kita harus berpikir sendiri USDD saat ini memang sangat dalam, harus lebih banyak berpikir satu detik lagi Airdrop dan hal-hal dengan keuntungan tinggi benar-benar harus waspada, pada dasarnya itu hanyalah umpan yang tidak bisa dihindari Teman ini menganalisis dengan sangat detail, jauh lebih berguna daripada banyak saran keamanan dari para V besar

Lihat AsliBalas0

StakeTillRetire

· 13jam yang lalu

Eh, tapi ngomong-ngomong, sekarang cara phishing begitu canggih, benar-benar harus waspada. Saya sudah tidak percaya lagi dengan fitur klaim koin satu klik.

Lihat AsliBalas0