アグボン詐欺対策本部 #3
Comments
|
当方より一点提案です。アグボンの発生タイミングは以下だと想定しています よって、このハーベスト設定を手動で行う方法を完全に非推奨とし、コミュニティの誘導でハーベスト専用のサイトに全て誘導できないでしょうか この対策を実行する為に必要なアクションは以下の通りです ① ワンタッチでハーベストが出来るWebサイトの開発 or Arcana の推進 ② 各メディア媒体でアプリ版のハーベストフローの徹底周知(多言語要) 是非、ご意見 or 他のアイディアなど頂けないでしょうか... |
|
あひきさんのSymbol Node List からもワンクリック委任できますね! ここから各ノードに飛べば。
|
|
あぐぼんヤローの動向は |
|
アグボン詐欺防止の観点からすると、公式ウォレット(って呼び方はHatchetさんは否定してましたが)の使用は非推奨な方向にしたら良いんじゃないですかねぇ? |
|
疑い出すとキリがないし身動きが取れなくなりますが… #3 (comment)
すると今度は困ったことにフィッシングを意識しないといけなくなるんだよなぁ…。 という点を妥協するか、それ相応の対策を取るかという点も考えて欲しいかな、と思いました。 |
|
#3 (comment) 等々、言い訳はどうとでもできてしまうので、 |
|
あと現状のPC用ウォレットでアグリゲートボンデッドで何がどうなるのか、ってのがわかりにくいUIってのも問題かなぁ。 |
|
現在以下のアカウントでスキャム注意喚起を行ってます。 方法としては、アグボン詐欺と思われるアカウントからのハッシュロックTXアナウンスを検知して、注意喚起のハッシュロックTX&アグリゲートTXをかぶせて送信しています。受信者はパーシャルトランザクションを2通受け取ることになるので、少し身構える効果を生み出せていると思います。 最初は新規アカウントのみ対象にしていたのですが、古参の方がやられている率が高く、今は全ユーザ対象に実施しています。注意喚起するごとに10XYM消費する活動ですので、もし枯渇しているのを見かけた場合は以下のNameSpace宛に補充していただけると助かります。 [namespace: xembook.scam] |
|
デスクトップウォレットも、Arcanaと同じようにアドレスを登録する事でアグボンに署名が出来る仕様にすればいいのにと思っています🤔(知らないアドレスからのアグボンには署名が出来ないように) |
|
少し前に私がQuestに挑戦して、失敗してしまった案ですが、デスクトップウォレットに送金金額入力欄の追加やキャンセルボタンの追加は有効かと思うのですが、現状更新が難しいならば、ArcanaやNodeListによる設定を広めるしかないですかね?🤔 しかし、Symbolが使われれば使われるほど様々なタイミングに紛れ込んでくるかと思うと邪魔ですよね。 https://twitter.com/Yiddish816/status/1481993872553046016?t=yeBjnbYT4fsOnyAokNd2BQ&s=19 |
|
皆様ご意見ありがとうございます。フィッシング詐欺はその通りですね。後はXSSによって入力が抜き取られるリスクだってあるので、安易にWebで完結しようは確かに危険ですね。 で @44uk 記載の通り以下はまさしくその通りで、手法を変えても成立してしまう可能性は十分あるんですよね
ちなみに Arcana は現状この詐欺に引っかかったケースはないんですよね?その手法をわかりやすく、かつ体系的にドキュメント化して、各ウォレット開発者へ展開すれば解決したりするかな?(勿論しゅーさんに不満が無ければ) Arcanaを悪くいうつもりは全くないのですが、どうしてもアイコンはSymbolでなければ名前もArcanaなので、よく知らない人は 元祖ウォレットに流れてしまうので、そちらの改修が必要かと思いました。一旦は現状コミュニティとして成功した事例の体系化(を複数人で)と、各ウォレット開発PJへの共有、リソースがなければQuestで対応者募集の流れはどうかなぁと。 後はちょっと斜め上かもしれないけど、この「相手に自身への送金トランザクションを発行する」、ってどの程度使われているのかな。今後もし人が増えれば新参ホイホイになる可能性もあるので、直接的にはトランザクションの発行を要求できない、とするのはどうだろうか 改善後フロー案 これの場合、相手のアドレスと連絡先を知らなければ攻撃ができない |
提起GW期間中に事例が4件ありました。 提案Google検索 募集アグボン詐欺の記述を一から作成するのは時間がかかるので、対策や詳細説明について良い記事をご存知の方がいらっしゃいましたら私のTwitterへDM頂けないでしょうか |
|
Symbolのウィキ初心者さん見ないかな?ウィキペディアもアグボン警告と、モバイルウォレットのArcana推しができると良いですね。 私は何もわからない頃は、ねむたすさんのサイトとかも見てました。NPOで運営されている所だったので。 |
|
有益な情報
誤訳と判明 デスクトップアプリは現在もそのままでアグボンへの署名が可能 |
|
公式モバイルの方は、アグボンが届くと、デスクトップから署名してねっていう文言が出ると思います。 |
|
mikanです。 |
|
そもそもデスクトップウォレット廃止の流れっぽいかな |
|
は、まじかよ。 |
|
現状はデスクトップウォレットの開発はストップしてる感じですねぇ。。🤔うーむ。 |
|
UIがVueじゃなくてReactだったらブランチしてもいいかなと思いつつ 本格的にコミュニティ側でのウォレット運営を考えた方が良いかもしれない |
|
@ymuichiro ・ウォレット作成またはハーベスト方法を案内している既存記事(とくにSEO高いものから)について、アグボン対策の注意喚起及びArcanaウォレット推奨の旨を加筆修正依頼。 具体的にタスクに落として進捗管理・期限管理しないとフォーラムとしてもクロージングしづらいと思いますので、フォーラム内でタスクの仕様をオーソライズ後に基本はQUEST化して募集…という流れを標準にして良いかと思います。 タスク設計のタタキまで書いてみます。
※記事読まない人には伝わらない問題はありますが、Webで引っかかる主要な記事を全く読まずに自力でウォレット作成やハーベスティングが出来るリテラシの人はきっとアグボン詐欺にも引っかからない…はず…? |
これは私もそう思います。よく分からず画面に出たボタンを押してしまう人は、何かの記事に依存している人々だと思います
私も同じような流れが良いと思います。自分の開発と副業 * 2と主業とじむはぶの管理と家族の応対と、ちょっと私の進捗は遅めですが... |
|
あなたのウォレットから100,000XYMをわたしのウォレットに移動させますね?いいですか?って表示されてるのをちゃんと見てれば、 |
|
ワンクリック実装してみました。 |
|
@ymuichiro さん |
|
ありがとうございます… タスクが目白押しなので是非とも🌝 文案の推敲や適切なやり方の検討は勿論手伝います…! |
|
@ymuichiro さん |
|
@kurikou02 |
|
ふぁーさんが着手してくれてる資料をベースに詰めて行ければと思います。 ■ふぁーさん作成の共有ドキュメント(スプレッドシート) ■参考情報 |
先にこれを解説しておくと、手口はとてもシンプルなんです。Blockchainは全ての取引が公開されています。つまり、サーバー1つたてて最新の取引の監視さえしていれば、連動して連絡する事はSymbolでも他のチェーンでも原理的には出来てしまうと思います https://symbol.fyi/transactions ( あ、nononon00さんが先に書いてた) |
|
ありがとございます!
そういうことですね〜
一個勉強になりました〜
2022年7月17日(日) 11:08 ふぁー ***@***.***>:
… なぜ公式ウォレットの操作と連動して詐欺通知が来るんだ!
先にこれを解説しておくと、手口はとてもシンプルなんです。Blockchainは全ての取引が公開されています。つまり、サーバー1つたてて最新の取引の監視さえしていれば、連動して連絡する事はSymbolでも他のチェーンでも原理的には出来てしまうと思います
https://symbol.fyi/transactions
—
Reply to this email directly, view it on GitHub
<#3 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/A2C73TRMZ7SSCQBO4UYYXU3VUNTKTANCNFSM5TDLSB6A>
.
You are receiving this because you were mentioned.Message ID:
***@***.***>
|
|
とりあえず... |
|
詐欺者はもう盗れたぶんは勝ちってことになっちゃうんですかね?
もう裁かれないのかな?
2022年7月17日(日) 11:43 dusanjp ***@***.***>:
… とりあえず...
今アクティヴなのは
NCF254-YZKH2I-FRL2UB-NOO7UI-E53XCG-EQKLHC-6MA
ここから来たアグリゲートボンデッドには注意って事で
まぁ 今更だが
このアカウントから 他に
23万xym と 49万xym がやられている
[image: image]
<https://user-images.githubusercontent.com/62555389/179381658-21ae9adb-6508-4538-b1a4-4d2eb37e10f1.png>
俺の所に来たのもこのアカウントからだ
—
Reply to this email directly, view it on GitHub
<#3 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/A2C73TQXTY2ARDZU76PALOTVUNXN7ANCNFSM5TDLSB6A>
.
You are receiving this because you were mentioned.Message ID:
***@***.***>
|
|
犯人を特定されれば裁かれるんじゃなかろうか その特定する難易度が現金もそうだけど難しいんだけども… |
|
たいていは追っていくと取引所に入金されてる |
|
@dusanjp そうですね... そんな足をつくようなことを犯人がしてくれていればいいのですが... 大抵はKYC適当な海外の取引所とか使ってそうな印象はあります。 海外の取引所の入出金用アドレスの一覧があれば検索するのも手? |
|
ちょっとデータが古いかもですが、ある程度取引所のデータがまとまっているものがあります。 基本的には海外の取引所は警察の要請がないと協力してくれないです。 |
|
そっすね あの アカウントの出した アグリゲートボンデッドでは |
去年の10月から発生していて どこの取引所に行ったのかも判ってるのに |
|
>去年の10月から発生していて どこの取引所に行ったのかも判ってるのに 去年の10月に被害に遭われて相談があった方の警察とのやり取りはこのような感じでした。 ーーーーーーーーーーーーーーーーーーーーーーーーーーーー 単純に、刑法上、不正アクセス禁止法という罪状でしか捜査に該当させることが出来ないとのことでした。 その他、国を跨ぐ可能性のあるケースにおいてなども、 沢山の同一の犯罪ケースも生じているようですが、 暗号資産においては特に厳密なルールがまだまだ不透明の中、 |
|
あのときのやつ、結局警察動いてくれなかったのか… そうなると金融庁が始めた、取引所の送金時にKYC的な事をするやつ、国内取引所⇔国内取引所以外効果がないのか 金融庁に投稿しとこう |
|
規制も重要ですが
規制に準ずるがために動けなくて、整備したい規制もできなかったりしますよね…
2022年7月17日(日) 13:08 mikun ***@***.***>:
… >去年の10月から発生していて どこの取引所に行ったのかも判ってるのに
>なかなか動いてくれませんよね...警察
去年の10月に被害に遭われて相談があった方の警察とのやり取りはこのような感じでした。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーー
色々とアドバイスを頂けたことありがとうございました。
昨日、大阪府警本部サイバー班ともコンタクトのうえで、
お二人の方が、最寄管轄署まで出向いて頂きましたが、
私の方での追跡資料、資金の流れにおいての説明も全て理解を頂きましたが、
結論としては、現在の日本の法整備において、罪状が無いという点から、
警察の権力を行使することも出来ず、開示請求すらも掛けられない現状だそうです。
単純に、刑法上、不正アクセス禁止法という罪状でしか捜査に該当させることが出来ないとのことでした。
その他、国を跨ぐ可能性のあるケースにおいてなども、
国のルールから、国交間などの影響もあったり、
仮に、捜査に及ぶことに至ったとしても、かなりの手続きを要し、
時間の経過だけが生じてしまい、捜査にスピード感も出せない中、
その間に、事件すらも、デジタル世界の中の事件は解決することはほぼありえないようで、
スムーズに物事が運ぶケースは可能性としてほぼゼロ。
沢山の同一の犯罪ケースも生じているようですが、
暗号資産だけに限らず、警察側からの調査に限界があることを明確に知りました。
出向いて頂いた、警察署員の方も、現時点でどうすることも出来ない現状に、
腹正しい気持ちで溢れておられました。
暗号資産においては特に厳密なルールがまだまだ不透明の中、
結果として電子データーとしか扱われることが無いのと同然で、
CPUゲームの中で、武器を盗まれたものと同然との位置付けとのことです。
—
Reply to this email directly, view it on GitHub
<#3 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/A2C73TV4YZD4TGEMLSNHQ73VUOBNLANCNFSM5TDLSB6A>
.
You are receiving this because you were mentioned.Message ID:
***@***.***>
|
|
現状としては 行政が動けないとなると |
|
後、このコメントにもありますが、昔のウォレットを「公式」だと思って使う人がまだまだ多いと思っているので、マロンさんが協力してくれている他のウォレットや仕組みに誘導する作戦は引き続き続けたいですね https://twitter.com/TrendStream/status/1548531917015752704?t=ruZ18GdKthYWz-z3LVCb2A&s=19 |
|
メモ NEMBookさんのツールを使った場合ver 初心者向けウォレットの導入検討を |
|
騙される方が悪いってのはこのことですね…笑
今までありがとうシンボル…笑
それでは!
2022年7月17日(日) 13:43 ふぁー ***@***.***>:
… あのときのやつ、結局警察動いてくれなかったのか…
そうなると金融庁が始めた、取引所の送金時にKYC的な事をするやつ、国内取引所⇔国内取引所以外効果がないのか
金融庁に投稿しとこう
https://www.fsa.go.jp/opinion/
—
Reply to this email directly, view it on GitHub
<#3 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/A2C73TSQ3KKU3OXCHR4BO6LVUOFONANCNFSM5TDLSB6A>
.
You are receiving this because you were mentioned.Message ID:
***@***.***>
|
|
遅くなりましたが、本日アグボン詐欺対策サイト、及びサイト運営者向けのお願い用サイトを公開しました。また、既存のハーベスト解説記事などの管理者・運営者の方々への個別の協力依頼も連絡済みです(スピード優先で私の方で案文考えて個別にお送りしました)諸々の結果を下記に記載します。
本件のQUEST |
|
@kurikou02 対応ありがとうございます! どれくらい協力してくれるか... は気になりますけどね(適宜見てみようかな この件数の問い合わせフォーム等に投げるのは大変だったと思います... |
|
@ymuichiro こちらこそ、色々ご教示頂きありがとうございました。 問い合わせフォームへの投稿やTwitterのDM連絡など、自動化してしまおうかと思いましたが、多分これっきりの作業かも…と思って今回は気合で対応しました。60ほどのサイトやブログを巡って痛感しましたが、過去に手順や解説記事をリリースしてくれた人の多くが、今ではSymbolへの熱を失っている/気持ちが離れているように思います。過去の情報を追うよりも、新しい情報が(自然と)発信されていく/更新されていく熱をコミュニティに取り戻す必要があります。色々学びがある作業でした。 |
|
本取り組みのQUEST、本日で完了とさせて頂きます。下記、取り組みのまとめとしてジャーナルに投稿した内容をこちらにも転記します。
本取り組みの成果物については、一旦私の方でまとめて保管しておきます。こういうコミュニティの共通資産になり得るような取り組みや成果物も、上手く集約して残していきたいですね。本フォーラムか、ふぁーさんの方で立ち上げ中のコミュティ公式サイトに上手く紐づける形でしょうか。 あとせっかくみんなで協力してアクションする流れが出来たので、アグボン詐欺やその他詐欺・不正に関する対策活動については継続できればと考えてます。今のところイメージしてるのは下記のようなタスクです。QUESTでオファーしてみようかなと。この辺ご意見あればお願いします。既にどなたかアクションされてるものあったらすみません。
|
そうですね。残していきましょう!
1,2,3私も賛成です。1はもしかしたらすぐアドレスは変えられてしまうので、優先度は低めで、2と3の方が重要かな?と。 具体的には多言語発信、おとり攻撃とかもどうかなと 囮攻撃 Twitterに誰か書いてましたが、Hash Lock で消費させる案はいいなと。 (Twitterで書いてた人の名前忘れた。この投稿を見た投稿者の方へ ... もしよければコメントください) 実行時の手数料分はQuestで集める必要がありそう |
|
https://twitter.com/shu801115/status/1550262451085533184?t=UCntPctNlxmg9f9-2ZMogA&s=19 あと、詐欺アドレスの一覧はXEMBookさんが作ってたはず。ディスコかツイッターで言ってた記憶があります。 あと、こっちはcryptoBelieverさんの収集してる被害アドレス等の一覧情報です。 |
|
なるほど。ある程度の保持期間がないとだめなのか… ということは一ヶ月寝かせたアドレス郡を1万アドレス用意して一気に総攻撃をかければいいのか…? それくらいの件数、アドレス枯渇はないと思うけど、やる前にDiscord側の意見も聞いたほうが良さそうだなー (そもそもやるか?は別問題として) |
|
これまで見てきた限りでは、Hash Lock用のアドレスには数百XYMくらいの少額しか入れてないようなので一気にやるのはあまり意味がないかもですね…🥺 |
|
そうかー… では私は取り急ぎアグボン署名無効化版ウォレットのプルリク交渉を頑張ろう… |
|
遅くなってしまいましたが、アグボン詐欺対策版のウォレットリリースの件、例の公式サイトにも追記しました。sayoさんが詳細な手順の記事を書いてくれてたので、そちらを引用する形で案内としてはさらっと追記する形にしております。 https://sites.google.com/view/symbol-fraud-prevention/%E3%83%9B%E3%83%BC%E3%83%A0 これで新規参入者のリスクが大幅減になると期待しますが、古いVerのウォレットを使い続けちゃう人、案内見てない人は一定数残るかと。また、イタチごっこ的に新たな詐欺の手口が出てくる可能性も大いにありますので、引き続き注視していければと思います。 |
|
@kurikou02 |
提起
アグボン詐欺はTwitterを追う限りまだ発生しています。
現在有志により注意喚起やArcana WalletにてUI上の防止策が図られていますが、この経済圏を更に安全なものとしていくべく、根本的対策案も検討していきませんか?
アイディアや実施結果の共有をしていきましょう
期待
参考情報
アグボン詐欺とは...?
https://nemlog.nem.social/blog/70818
The text was updated successfully, but these errors were encountered: