Edgen Crypto·Sep 26 2025, 03:29TL;DR
一場新的高級網路釣魚活動正在積極針對X上的加密貨幣社群成員,透過利用該平台的應用程式授權系統,實現完全的帳戶接管並繞過雙重認證。
- 利用方法: 攻擊者利用元數據欺騙和偽裝的「日曆」應用程式,以全面控制X帳戶。
- 安全繞過: 這種網路釣魚方法成功規避了傳統的密碼認證和雙重認證(2FA)。
- 確認威脅: 包括MetaMask在內的安全研究人員已證實這種攻擊正在「野外」被積極利用。
返回
返回
加密用戶X帳戶遭繞過雙重認證的網路釣魚活動攻陷
Edgen Crypto·Sep 26 2025, 03:29
執行摘要
一項新的網路釣魚活動正在針對X(前身為Twitter)上的加密貨幣用戶,透過偽裝的應用程式授權請求繞過雙重認證,導致帳戶被完全接管,並被用來推廣欺詐性計畫。
事件詳情
據2025年9月25日報導,一項高級網路釣魚活動正在積極利用X平台應用程式授權系統中的漏洞,危害加密社群內的X帳戶。攻擊始於包含連結的直接訊息,這些連結使用元數據欺騙,在視覺上看起來像合法的域名,例如calendar.google.com。然而,這些連結會重定向到惡意網站,例如x(.)ca-lendar(.)com。用戶互動後,會被秘密引導到一個執行惡意代碼的頁面,然後才出現應用程式授權提示。一個通常用西里爾字母偽裝成「Google日曆」應用程式的網路釣魚程式,會請求廣泛的權限來存取用戶的X帳戶,包括關注/取消關注、更新個人資料以及建立/刪除貼文等功能。如果這些權限被授予,攻擊者將獲得完全控制權,直接繞過傳統密碼和2FA,在未被初始偵測的情況下立即接管帳戶。被攻陷的帳戶隨後被用於傳播欺詐性加密貨幣計畫,可能導致追隨者蒙受經濟損失。建議用戶造訪其X連接的應用程式頁面,審查並撤銷任何可疑的「日曆」應用程式授權,以降低風險。
市場影響
這種複雜的網路釣魚技術對Web3生態系統內的安全性與信任構成了重大威脅。2FA(數位安全基石)的直接繞過,標誌著網路威脅已超越簡單的憑據盜竊,進一步升級。這一進展可能需要X加強其應用程式授權安全協定,並敦促更廣泛的加密貨幣社群採取更嚴格、多平台的安全實踐。此類活動的經濟影響是巨大的;截至2025年8月,Scam Sniffer報告稱,透過各種網路釣魚詐騙,已從15,000多名受害者手中竊取了超過1200萬美元。針對有影響力帳戶的攻擊擴大了欺騙性計畫的傳播範圍,可能影響市場情緒,並導致毫無戒心的投資者遭受更廣泛的經濟損失。這些攻擊的持續性質強調了持續警惕和適應性安全措施的至關重要性。
專家評論
加密開發者Zak Cole強調了情況的嚴重性,將其描述為「完全的帳戶接管,零偵測」,強調了攻擊的隱蔽性和有效性。MetaMask安全研究員Ohm Shah證實了該活動的活躍存在,指出其「在野外」被觀察到。Shah澄清說,這種攻擊不同於傳統的網路釣魚,因為它不涉及虛假登錄頁面或密碼竊取,而是直接利用X的應用程式支援來獲取帳戶存取權限。Cole還發現了一個操作上的不一致:偽造的Google日曆預覽在授予權限後會重定向到calendly.com,這一異常可能對細心的用戶起到警示作用。
更廣泛的背景
此次活動融入了針對加密貨幣產業透過社群媒體平台升級網路攻擊的更廣泛模式。高調的帳戶劫持已成為攻擊者普遍採用的策略,他們利用被攻陷的帳戶向大量通常信任的受眾傳播欺詐性連結和推廣欺騙性代幣贈品。2024年和2025年期間的事件包括WIRED記者、NBA、NASCAR、Linus Tech Tips和以太坊聯合創始人Vitalik Buterin的帳戶被攻陷,所有這些都曾被用來傳播與加密貨幣相關的詐騙。到2025年中期,與加密貨幣相關的網路釣魚和欺詐損失總額在全球範圍內超過21億美元。越來越側重於社會工程和人為因素,而不是純粹的技術漏洞,凸顯了這些威脅不斷演變的性質。這一趨勢強調了個人和平台在面對複雜和適應性強的網路犯罪策略時,保護數位資產所面臨的持續挑戰。