“属于骗子的胜利” ｜投资黑暗森林自救手册

date

type

password

slug

骗子的套路

其实这个套路属于非常低级的了。

询问你是否要开户，要不要做某种交易

引导你到境外的聊天软件（更难追踪身份），发送山寨的券商开户网址 / app

当你开户了山寨的券商后，引导你入金。软件或者网站会假惺惺的给出提示，正在生成入金账户等。然后发送你一个境外私人银行账户。让你转账。

如果你执行了转账，就结束了，对方会立马注销境外的聊天软件账号，微信也拉黑你。

黑暗森林自救手册

大部分的拙劣套路，如果熟悉一些基本的判断方法的话，很容易识别，这里列举几个：

1. 判断是否是山寨网站

首先看网址是否带有 https, 正经的涉及资金/个人信息的网站都会使用 https，即在 http 基础上，使用证书加密，防止通信过程中被篡改，被中间人攻击。

尤其是在公共的 Wifi 网络，如果不是 https，非常有可能被篡改，从而被窃取重要信息。

注意：https 仅保证你和网站服务器通信时候被篡改的概率降低。但仅有 https 并不能保证网站本身不是山寨的（https 证书可以使用 Let's Encrypt 等服务自行签署），也不能保证 100% 不被篡改。

其次，看网址的域名。如果域名很有迷惑性，那就得小心了，例如，请识别以下网址，哪个是正确的盈透链接：

1.https://www.interactivebrokers.com/referral/xionger666

2. https://www.interactivebrokers.ibkr.invite-broker.com/referral/xionger666

3.https://ibkr.interactivebrokers.invite.ibkr-broker-ref.com/referral/xionger666

识别技巧很简单，找到它的主要域名，即第一个 ‘/’ 前面数 2-3 节，就是它的域名，显然，上述的 invite-broker.com 和 ibkr-broker-ref.com 都是假的。

2. 只从官方下载 App 安装包

我一直都主张大家从官网下载安装包，或者在苹果 App Store 和安卓的 Google Play 下载官方的 app 。这俩个正规的 app 市场，你都能很容易找到发行者的信息。

如果是陌生人直接告诉你，你自己下不到，然后发给你一个安装包，99% 是篡改过的。

部分券商无法在国内的市场下载，我也写过如何注册一个其他地区的 apple id 教程（扫盲！Apple ID 美区/香港等非国区注册和改区教程 2024 最新版）。如果你实在需要券商客服人员发送给你，请一定要验证对方身份（可要求验证身份，如发名片、要求使用企业号发送、或者要求发送下载链接，然后验证链接的域名是否是官方的）

3. 请勿安装不知名的浏览器插件 / 或执行任何陌生代码

Chrome / Edge 等现代浏览器都支持安装插件。要注意的是，插件拥有较高等级的权限，甚至可以实现即时你在访问 https 加密的正规官方网站，插件依然有可能通过底层浏览器 api 来篡改请求，以窃取数据，或实现中间人攻击。

油猴脚本同理。

请不要听从任何陌生人的建议，在访问关键网站时候执行任何代码。

通常骗子会印有你说有段神奇代码，你打开浏览器的开发者工具，在控制台（Console）黏贴代码执行。

如果你看不懂那段代码，就不要照做了。

4. 任何转账前三思和分辨

如果你实在不小心中了几招，开了个山寨户，也还没事，守住最后一关：钱不要随意出去。

任何要求你通过私人账户入金的，100% 是非正经的。

任何要求你通过购买代币等方式的，也基本可以判定是有问题的。

安全法则和原则

这里引用慢雾安全团队的《区块链黑暗森林自救手册》（如果你有加密货币，强烈建议仔细阅读）中总结的：

两大安全法则：

零信任。简单来说就是保持怀疑，而且是始终保持怀疑。

持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

安全原则：

网络上的知识，凡事都参考至少两个来源的信息，彼此佐证，始终保持怀疑。

做好隔离，也就是鸡蛋不要放在一个篮子里。

对于存有重要资产的钱包，不做轻易更新，够用就好。

所见即所签。即你看到的内容就是你预期要签名的内容，当你签名发出去后，结果就应该是你预期的，绝不是事后拍断大腿的。

重视系统安全更新，有安全更新就立即行动。

不乱下程序其实已经杜绝了绝大多数风险了。

一挪迈的思考

有钱的地方一定有骗子，无论你做任何事情，请一定把安全放在第一位。