堪称奇葩的BTC诈骗案例分析

一、事情经过

3月21日，登陆pastebin网站偶然发现”Public Pastes“里面有一个名为”SSH Wallet“的文件，打开后发现文件内容居然明文写着IP地址、SSH登录账号和密码。关键上面还标注”BTC Wallet“，难道是BTC钱包的账号密码？

具体如下图所示：

难道是真的？？天上掉馅饼了，一阵激动。

于是调用ssh命令直接连接该服务器，发现确实端口开放，而且账号密码正确，登录后的状态如下图所示：

用SSH成功登录后提示没有使用2FA验证方式，存在重大的安全风险，建议用户使用桌面客户端程序配置2FA并且之前不要使用任何操作”，感觉很专业、很为客户着想。

如果输入N后，直接退出。

不管它，继续输入“y”后，发现界面如下图所示：

哇，账户内显示竟然还有余2.5056302个BT币，虽说最近BT币走势一路下滑，但是截止3月21日，1个BT币差不多需要6119美元，折换成RMB也是4万多，账户总额接近约10万元RMB啊。

一阵窃喜，原谅本人没有见过这么多钱，呵呵。

系统提供了“Deposit（存款）、Withdraw（取款）、Refresh（更新）、History（历史）、Exit（退出） 5个菜单选项。

先来看History操作，键盘输入h确定后，显示界面如下：

如上图，系统会显示一段字符串”Refreshing balance…”，然后返回显示上面的余额界面。

键盘输入H查看账户历史记录，显示界面如下图所示：

系统提示，只显示交易额度超过0.001个BTC的交易记录。

看起来很真吧，里面显示了每笔交易的具体信息，包括日期、账户交易类型（存入还是取出）、交易账户、交易金额等。

如图中，最近一笔显示是2020年2月17日，存入一笔BTC，交易额度为0.00129562。键盘输入D，则一直返回到菜单界面，好像进行不了存款的操作。难怪系统登陆后的，红色字体一直提示“这是一个依然在测试的SSH系统，不是所有选项都可使用”。好吧，反正这个选项也不需要….

紧张时刻来了，键盘输入w后，提示输入取款额度：Withdrawal amount [0.001 - 2.5056302]:

当然是全额取出啦，呵呵，于是输入2.5056302，提示输入BTC钱包地址，输入BTC钱包地址后，还需要再次确认BTC钱包地址，如下图所示：

当然，图中的BT币钱包地址是乱写一气的（因为输入正确的钱包地址发现系统回显是一样的）。

图中英文提示说提供的转账BTC地址不是一个正确的钱包地址或者该钱包地址是该账户尚未确认过的取钱地址。

因此，如果想要确认该地址，必须先要存入0.001个BTC在该账户内。纳尼？想要取钱，竟然必需先存入钱。这手法，有没有一种熟悉的感觉…传统的诈骗手段中，告知你中大奖了，奖金是10万，等你去联系的时候，要你先交1000元税费和手续费，然后奖金可以直接到账…

好吧，就说馅饼不会掉在我头上…

我们来看以下83.165.27.4，该地址属于西班牙。

另外，登录的账户名：“bravotangocharlie”，发现其在TradingView平台（一个探索金融市场、可发表交易观点的全球化平台），还是一名较为知名的BTC分析人士，发布了好几篇的观点文章，如下图所示：

当然，不是说bravotangocharlie就是这个诈骗系统的所有者。

只能说，这个诈骗系统所有者很专业，不论是研发的系统平台，还是使用的BTC账户拥有者信息，都看起来很逼真…，尤其是圈内混的人员，如果“不小心以为”这是个意外之喜，bravotangocharlie的BTC账户遭泄，并且账户内还有余额…

此外，在pastebin网站上发现还有人发布类似的SSH Wallet信息，比如

SSH 134.122.117.136
Obisse9q:yNGMwJ

登录之后，这个显示的余额更多，竟然有5.5个左右的BTC，此外在BTC余额后面系统还用括号标注大概的美元价值，哇，好贴心的服务。

取钱的步骤，基本也是一样，就是需要先存入0.001个BTC。但是这个系统比上面的系统做的更好一点的是，如果输入错误BTC钱包，系统会一直提示你输入的钱包地址是无效的BTC钱包地址，要求重新输入。

此外，系统显示的交易历史记录如下图所示：

二、小结

1、在pastebin上发现的消息，并且pastebin网站上出现多个类似（系统提示信息和手法基本一模一样）的信息，说明该种类型的诈骗手法已经在网络上展开，众多BTC玩家需要加强警惕。
2、还是老话说的好：天上没有掉馅饼的好事！
3、具体行骗手法，尚未得知，比如恶意攻击者通过何种途径把这个所谓的BTC钱包登录信息传送给目标用户？如果大家收到此类信息，不要有太多惊喜。

*本文作者：cgf99，转载请注明来自FreeBuf.COM