社交媒体平台 X 正在准备一项新的安全措施,旨在关闭一种广泛的加密钓鱼形式:利用被劫持的账号来推广诈骗代币。
据该公司产品负责人 Nikita Bier 称,公司很快将自动锁定任何在其历史上首次提及加密货币的账号。用户在被允许再次发布之前,需要先完成额外的验证。
Bier 表示,该功能瞄准了这些攻击背后的核心激励。“这应该能让 99% 的激励消失,”他在文中写道,指的是当前这一波钓鱼:它诱骗用户交出其凭据,然后再利用这些账号来推动加密骗局。
这项变更是在一名 X 用户提供的一段详细的亲身经历之后披露的。该用户在收到一封伪装成版权违规通知的钓鱼邮件后失去了对账号的控制权。
用户称,攻击者使用像素级别仿真的假登录页面来窃取双因素验证码,然后将用户锁出账号,并开始从该账号出面推广欺诈性的加密项目。
这类攻击在 X 上极为常见。X 作为继承自埃隆·马斯克收购之前的时代而延续的产物,过去仍被称为 Twitter。
最常见的策略之一是“让你翻倍”的骗局:用户被告知只要发送加密货币,就能换取更多的承诺。还有一些人会推动假“迷因币”(memecoin)或欺诈性空投,通常会使用被劫持的账号来增加可信度。
冒充是最强大的工具之一。被伪装成重大名人的冒充账号反复诱骗粉丝点击恶意链接,这些链接会模仿合法的加密平台。
加密货币交易是不可逆的,因此一旦用户中了这类攻击,他们的资金就没了。
最臭名昭著的例子发生在 2020 年:黑客入侵了 Twitter 的内部系统,并接管了多个主要账号,包括苹果(Apple)、巴拉克·奥巴马(Barack Obama)和埃隆·马斯克(Elon Musk)的账号。
他们利用这些账号来推广一个假的比特币赠送活动,在帖子被删除之前共获利超过 100,000 美元。此次泄露通过对 Twitter 员工实施社工手段完成,最终导致该黑客被判处 5 年刑期。
X 已经采取了多种尝试来增强安全性。这些措施包括清理机器人、限制 API,以及基于行为的检测。最新的一步是在账号首次发布加密相关内容时自动锁定,该举在这些努力的基础上更进一步,目标是从根源上切断这一手法:让被劫持的账号无法再用于诈骗。
Bier 还点名批评谷歌(Google)未能在邮件层面阻止钓鱼邮件,并将责任指向这家科技巨头在未能保护用户免受钓鱼攻击方面所承担的一部分责任。
