社群媒體平台 X 正準備一項新的安全措施,旨在阻止一種廣泛的加密釣魚形式:該手法會利用遭劫持的帳戶來宣傳詐騙代幣。
根據公司產品主管 Nikita Bier 的說法,公司很快將自動鎖定任何在其歷史上首次提及加密貨幣的帳戶。使用者在再次獲准發文之前,需要完成額外的身分驗證。
Bier 表示,這項功能針對的是這些攻擊背後的核心誘因。「這應該能消滅 99% 的誘因」,他在文中寫道,並指的是目前這波釣魚攻擊:它會騙使用者交出他們的憑證,然後再利用他們的帳戶來推廣加密詐騙。
該項改動是為了回應一則來自 X 使用者的詳盡第一手經歷而揭露。這名使用者在收到一封偽裝成版權侵權通知的釣魚電子郵件後,便失去了對自己帳戶的控制權。
使用者表示,駭客使用像素級完美的假登入頁面來竊取雙重驗證碼(two-factor codes),接著將使用者踢出、失去帳戶存取權,並開始從該帳戶宣傳詐欺性的加密專案。
這類攻擊在 X 上一直非常常見,這也可追溯到它被 Elon Musk 收購之前的狀況;當時它仍被稱為 Twitter。
其中一種最常見的手法是「讓你的錢翻倍」詐騙:在這種方式中,使用者被告知只要送出加密貨幣,就能換取更多的承諾。其他人則會推銷假迷因幣(memecoins)或欺詐性的空投(fraudulent airdrops),而且常常使用遭劫持的帳戶來增加可信度。
冒名頂替是最強大的工具之一。偽裝成主要人物的冒充帳戶,反覆騙過追蹤者,讓他們點擊惡意連結;這些連結會模仿合法的加密平台。
加密貨幣交易是不可逆的,因此一旦使用者落入這類攻擊,他們的資金就會消失。
最臭名昭著的例子發生在 2020 年:當時駭客入侵了 Twitter’s internal systems,並接管了多個主要帳戶,包括 Apple、Barack Obama 以及 Elon Musk 的帳戶。
他們使用這些帳戶來宣傳一場假的比特幣贈獎活動,在貼文被移除之前就已從中斂取超過 $100,000。這起由針對 Twitter 員工進行社交工程(social engineering)所造成的入侵事件,導致該駭客收到 5-year sentence。
X 已經多次嘗試強化安全性。這些措施包括清除殭屍程式(bot)帳戶、限制 API,以及進行行為偵測。最新一項針對首次發布加密相關內容的帳戶會自動鎖定的舉措,是在這些努力之上延伸;其目標是從根本上切斷這種手法:讓遭劫持的帳戶對詐騙失去用途。
Bier 也點名 Google,表示 Google 未能在電子郵件層級阻止釣魚電子郵件;他把責任指向這家科技巨頭在未能保護其使用者免於遭受釣魚攻擊方面所應承擔的那一部分責任。
