Bagong Kampanya ng Phishing sa mga X Account
Isang bagong sopistikadong kampanya ng phishing ang naglalayong sa mga X account ng mga personalidad sa crypto, gamit ang mga taktika na nakakalusot sa two-factor authentication at mukhang mas kapani-paniwala kaysa sa mga tradisyunal na scam. Ayon sa isang post sa X noong Miyerkules mula sa crypto developer na si Zak Cole, ang bagong kampanya ng phishing ay gumagamit ng sariling imprastruktura ng X upang makuha ang mga account ng mga personalidad sa crypto.
“Zero detection. Aktibo ngayon. Buong pagkuha ng account,” aniya.
Binanggit ni Cole na ang pag-atake ay hindi gumagamit ng pekeng pahina ng pag-login o pagnanakaw ng password. Sa halip, ginagamit nito ang suporta ng aplikasyon ng X upang makakuha ng access sa account habang nalalampasan din ang two-factor authentication. Kinumpirma ng security researcher ng MetaMask na si Ohm Shah na nakita ang pag-atake “sa aktwal,” na nagmumungkahi ng mas malawak na kampanya, at isang modelo mula sa OnlyFans ay tinarget din ng isang hindi gaanong sopistikadong bersyon ng pag-atake.
Paggawa ng isang Kapani-paniwala na Mensahe ng Phishing
Ang kapansin-pansing tampok ng kampanya ng phishing ay kung gaano ito kapani-paniwala at tahimik. Nagsisimula ang pag-atake sa isang direktang mensahe sa X na naglalaman ng isang link na tila nagre-redirect sa opisyal na domain ng Google Calendar, salamat sa kung paano bumubuo ang social media platform ng mga preview. Sa kaso ni Cole, ang mensahe ay nagkunwaring nagmumula sa isang kinatawan ng venture capital firm na Andreessen Horowitz.
Ang domain na kinabibilangan ng mensahe ay x(.)ca-lendar(.)com at nairehistro noong Sabado. Gayunpaman, ipinapakita ng X ang lehitimong calendar.google.com sa preview salamat sa metadata ng site na umaabuso sa kung paano bumubuo ang X ng mga preview mula sa metadata nito. “Nakikita ng iyong utak ang Google Calendar. Iba ang URL.” Kapag na-click, ang JavaScript ng pahina ay nagre-redirect sa isang X authentication endpoint na humihiling ng pahintulot para sa isang app na ma-access ang iyong social media account. Ang app ay tila “Calendar,” ngunit ang teknikal na pagsusuri ng teksto ay nagpapakita na ang pangalan ng aplikasyon ay naglalaman ng dalawang Cyrillic na karakter na mukhang a at e, na ginagawang isang natatanging app kumpara sa aktwal na “Calendar” app sa sistema ng X.
Ang Pahiwatig na Nagbubunyag ng Pag-atake
Sa ngayon, ang pinaka-obvious na palatandaan na ang link ay hindi lehitimo ay maaaring ang URL na pansamantalang lumitaw bago ang user ay ma-redirect. Malamang na lumitaw ito sa loob lamang ng isang bahagi ng segundo at madaling makaligtaan. Gayunpaman, sa pahina ng authentication ng X, natagpuan namin ang unang pahiwatig na ito ay isang phishing attack. Humihiling ang app ng mahabang listahan ng komprehensibong pahintulot sa kontrol ng account, kabilang ang pagsunod at hindi pagsunod sa mga account, pag-update ng mga profile at mga setting ng account, paglikha at pagtanggal ng mga post, pakikilahok sa mga post ng iba, at iba pa.
Ang mga pahintulot na iyon ay tila hindi kinakailangan para sa isang calendar app at maaaring maging pahiwatig na nagliligtas sa isang maingat na user mula sa pag-atake. Kung ang pahintulot ay ibinibigay, nakakakuha ang mga umaatake ng access sa account habang ang mga user ay binibigyan ng isa pang pahiwatig sa pamamagitan ng pag-redirect sa calendly.com sa kabila ng preview ng Google Calendar.
“Calendly? Nag-spoof sila ng Google Calendar, ngunit nagre-redirect sa Calendly? Major operational security failure. Ang inconsistency na ito ay maaaring magbigay ng babala sa mga biktima,” binigyang-diin ni Cole.
Ayon sa ulat ni Cole sa GitHub tungkol sa pag-atake, upang suriin kung ang iyong profile ay na-kompromiso at alisin ang mga umaatake mula sa account, inirerekomenda na bisitahin mo ang pahina ng mga konektadong app sa X. Pagkatapos ay inirerekomenda niyang bawiin ang anumang mga app na pinangalanang “Calendar.”
