ソーシャルメディアプラットフォームXは、乗っ取られたアカウントを使って詐欺トークンを宣伝するという、広く行われている暗号のフィッシングを止めることを目的とした新たなセキュリティ対策を準備している。
同社のプロダクト責任者ニキータ・ビエル(Nikita Bier)によれば、同社は近く、過去の歴史の中で初めて暗号通貨に言及するアカウントを自動的にロックするという。ユーザーは、再び投稿できるようになる前に追加の本人確認を行う必要がある。
ビエルは、この機能がこれらの攻撃の根幹にある「主要な動機」を狙っていると述べた。「この措置で、インセンティブの99%を殺せるはずだ」と彼は書き、ユーザーをだまして認証情報を手放させ、その後そのアカウントを使って暗号詐欺を拡散する現在のフィッシングの波に言及した。
この変更は、Xユーザーによる詳細な当事者の体験談を受けて発表された。ユーザーは、著作権侵害の通知を装ったフィッシングメールに引っかかったことで、自分のアカウントの操作権を失ったという。
その攻撃者は、ユーザーによれば、ピクセル単位で精巧に作られた偽のログインページを使って2要素認証コードを収集し、その後ユーザーを締め出して、自分のアカウントから詐欺的な暗号プロジェクトの宣伝を始めた。
こうしたタイプの攻撃は、Xで非常に一般的だ。Xは、イーロン・マスクが買収する前からの遺産であり、買収後も以前の名前がTwitterだった時代の影響が残っている。
最も一般的な手口の1つが「倍にして返す」詐欺だ。ユーザーに対し、より多くのものが受け取れると約束するから、その代わりに暗号通貨を送るよう求める。ほかにも、偽のミームコインや不正なエアドロップを押し付ける動きがあり、しばしば乗っ取られたアカウントを使って信頼性を借りる。
なりすましは、最も強力な手段の一つだ。主要な著名人になりすました偽アカウントは、正規の暗号通貨プラットフォームを模した悪意のあるリンクをクリックさせることで、フォロワーを何度も騙してきた。
暗号通貨の取引は不可逆なので、ユーザーがこの種の攻撃に引っかかれば資金は失われる。
最も悪名高い例は、2020年に起きた。ハッカーがTwitterの内部システムにアクセスし、Apple、バラク・オバマ、イーロン・マスクを含む主要アカウントを乗っ取ったのだ。
彼らはそれらのアカウントを使って偽のビットコイン配布を宣伝し、投稿が削除されるまでに10万ドル超を稼いだ。この侵害は、Twitterの従業員に対するソーシャルエンジニアリングを通じて行われ、ハッカーは5年の刑を宣告された。
Xはセキュリティ強化のためにいくつかの取り組みを行ってきた。これには、ボットの一掃、APIの制限、行動の検知が含まれる。今回の動きは、暗号について初めて投稿するアカウントを自動ロックすることで、それらの取り組みをさらに発展させ、攻撃の根本である手口を遮断することを狙っている。つまり、乗っ取られたアカウントを詐欺にとって役に立たない状態にする。
ビエルはまた、フィッシングメールをメールレベルで止められていないとしてGoogleを非難し、ユーザーをフィッシング攻撃から守るための保護に失敗した責任の一端が同社のテクノロジー企業としての分担にあると指摘した。
