社群媒體平台 X 正準備一項新的安全措施,目標是關閉一種廣泛的加密詐騙手法:利用遭駭用戶帳號來宣傳詐騙代幣。
根據該公司產品負責人 Nikita Bier 的說法,公司很快將自動鎖定任何在其歷史上首次提及加密貨幣的帳號。使用者在允許再次發文之前,需要先完成額外的驗證。
Bier 表示,這項功能針對這些攻擊背後的核心誘因。「這應該能消除 99% 的誘因」,他在文中寫道,指的是目前這波釣魚攻擊:先誘使使用者交出其憑證,接著再利用他們的帳號來推播加密詐騙。
該變更是在回應一則來自 X 使用者的詳細第一手說明後推出;該使用者在收到一封偽裝成版權侵權通知的釣魚郵件後失去帳號控制。
使用者表示,攻擊者使用像素級精準的假登入頁面來竊取雙重驗證碼,然後將使用者踢出並開始從其帳號宣傳欺詐性的加密專案。
這類攻擊在 X 上極為常見;這可說是 X 在被 Elon Musk 收購之前的延續,當時它仍被稱為 Twitter。
最常見的手法之一是「翻倍賺錢」詐騙:會告訴使用者只要在承諾會給更多的條件下寄出加密貨幣,就能獲利。其他人則會推動假迷因幣(memecoin)或欺詐性的空投,且往往使用遭駭帳號來借用可信度。
冒充(假扮)是最強大的工具之一。被冒名的帳號會假扮成知名人物,反覆騙過追蹤者,點擊會模仿正規加密平台的惡意連結。
加密貨幣交易是不可逆的,因此一旦使用者上當這類攻擊,他們的資金就會不見。
最臭名昭著的例子發生在 2020 年:駭客入侵了 Twitter 的內部系統,並控制了多個重要帳號,包括 Apple、Barack Obama 和 Elon Musk 的帳號。
他們利用這些帳號宣傳一場假的比特幣抽獎,從中獲利超過 $100,000,直到貼文被移除為止。這起透過針對 Twitter 員工的社交工程所執行的入侵事件,導致該駭客被判處 5 年刑期。
X 已經多次嘗試強化安全防護。其中包括清除殭屍(bot)帳號、限制 API,以及偵測行為。最新這項針對首次發布加密相關內容就自動鎖定帳號的作法,是在上述努力之上進一步延伸,目標是在其根源上切斷這一策略:讓遭駭帳號在詐騙中變得毫無用處。
Bier 也點名 Google 未能在郵件層級阻止釣魚郵件,並將責任歸咎於這家科技巨頭在未能保護其使用者免受釣魚攻擊方面所扮演的角色。
