新型网络钓鱼活动针对加密货币领域
一项新的复杂网络钓鱼活动正在针对加密货币领域的知名人士的X账户。这种攻击策略能够绕过双重身份验证,并且比传统诈骗更具可信度。根据加密开发者Zak Cole在周三的X帖子,这一新的网络钓鱼活动利用了X自身的基础设施来接管加密货币人物的账户。他表示:“零检测。目前正在进行。完全账户接管。”
攻击的特点与实施方式
Cole强调,这一攻击并不涉及假登录页面或密码窃取。相反,它利用X应用程序的支持来获取账户访问权限,同时绕过双重身份验证。MetaMask的安全研究员Ohm Shah确认在实际环境中看到了这一攻击,暗示这可能是一个更广泛的活动,甚至一位OnlyFans模特也成为了这一攻击的目标,但她遭遇的是一种不太复杂的版本。
制作可信的网络钓鱼信息
这一网络钓鱼活动的显著特点在于其可信度和隐蔽性。攻击以一条包含链接的X直接消息开始,该链接看似重定向到官方的Google日历域名,这得益于社交媒体平台生成预览的方式。在Cole的案例中,这条消息假装来自风险投资公司Andreessen Horowitz的代表。
该消息链接的域名是“x(.)ca-lendar(.)com”,并于周六注册。然而,由于该网站的元数据利用了X从其元数据生成预览的方式,X仍然显示了合法的calendar.google.com作为预览。“你的大脑看到的是Google日历,但URL却不同。”
当点击后,页面的JavaScript会重定向到X的身份验证端点,请求授权一个应用程序访问你的社交媒体账户。该应用程序看似是“日历”,但对文本的技术检查显示,该应用程序的名称包含两个看起来像“a”和“e”的西里尔字符,使其与X系统中的实际“日历”应用程序有所不同。
揭示攻击的线索
到目前为止,最明显的迹象表明该链接并不合法,可能是用户在重定向之前短暂出现的URL。这可能只出现了极短的时间,容易被忽视。
然而,在X的身份验证页面上,我们发现了这一网络钓鱼攻击的第一个线索。该应用请求一长串全面的账户控制权限,包括关注和取关账户、更新个人资料和账户设置、创建和删除帖子、与他人帖子互动等。这些权限对于一个日历应用来说似乎是不必要的,可能是一个细心用户避免攻击的线索。
如果授权,攻击者将获得账户访问权限,用户还会得到另一个提示,即重定向到calendly.com,尽管预览显示的是Google日历。“Calendly?他们伪装成Google日历,但却重定向到Calendly?这是一种重大的操作安全失误。这种不一致可能会让受害者警觉,” Cole强调道。
根据Cole在GitHub上关于该攻击的报告,建议用户访问X的连接应用页面,以检查自己的个人资料是否被入侵并将攻击者驱逐出账户。然后,他建议撤销任何名为“日历”的应用程序。
