社交媒体平台 X 正在准备一项新的安全措施,旨在叫停一种猖獗的加密网络钓鱼形式:利用被劫持的账号来推广诈骗代币。
据该公司产品负责人 Nikita Bier 称,公司很快将对任何历史上首次提及加密货币的账号自动加锁。用户需要在再次获得发布权限之前完成额外的验证。
Bier 表示,这项功能瞄准了这些攻击背后的核心激励机制。“这应该能消灭 99% 的激励,”他写道,指的是当前这波网络钓鱼浪潮:它会诱骗用户交出他们的凭证,然后再利用他们的账号来推动加密骗局。
这项变更是在回应一位 X 用户的详细亲历说明后公布的。该用户表示,在其收到一封伪装成版权违规通知的钓鱼邮件之后,他们的账号被人夺走了控制权。
这名攻击者,用户说,使用像素级完美的假登录页面来窃取双因素验证码;随后他把用户踢出了账号,并开始从该账号出面推广虚假的加密项目。
这类攻击在 X 上极为常见。X 在被 Elon Musk 收购之前就已存在继承下来的问题,而当时它仍被称为 Twitter。
最常见的策略之一是“让你翻倍赚钱”的骗局:用户被告知只要发送加密货币,就能换取更多回报。还有一些人则在推动假冒的迷因币(memecoin)或欺诈性的空投,往往利用被劫持的账号来增加可信度。
冒充是最强大的工具之一。伪造账号冒充主要名人已多次骗过关注者,让他们点击会模仿合法加密平台的恶意链接。
加密货币交易是不可逆的,因此一旦用户中了这类攻击,他们的资金就会消失。
最臭名昭著的例子发生在 2020 年:黑客访问了 Twitter’s internal systems,并控制了多个重要账号,其中包括 Apple、Barack Obama 和 Elon Musk 的账号。
他们利用这些账号推广一个虚假的比特币赠送活动,在帖子被删除之前共获利超过 $100,000。这次入侵通过对 Twitter 员工实施社交工程完成,最终导致该黑客被判处 5 年刑期。
X 已经多次尝试加强安全性。其中包括清理机器人(bot)、限制 API,以及进行行为检测。最新的举措是在账号首次发布与加密相关内容时自动加锁,这在上述努力基础之上推进,旨在从根源切断这种策略:让被劫持的账号对诈骗毫无用处。
Bier 还点名批评 Google 没能在邮件层面阻止钓鱼邮件,并将责任指向这家科技巨头在未能保护其用户免受钓鱼攻击方面应承担的那部分责任。
