Edgen Crypto·Sep 26 2025, 03:29TL;DR
一场新的高级钓鱼活动正在积极针对X上的加密货币社区成员,通过利用该平台的应用授权系统,实现完全的账户接管并绕过双重认证。
- 利用方法: 攻击者利用元数据欺骗和伪装的“日历”应用程序,以全面控制X账户。
- 安全绕过: 这种钓鱼方法成功规避了传统的密码认证和双重认证(2FA)。
- 确认威胁: 包括MetaMask在内的安全研究人员已证实这种攻击正在“野外”被积极利用。
返回
返回
加密用户X账户遭绕过双重认证的钓鱼活动攻陷
Edgen Crypto·Sep 26 2025, 03:29
执行摘要
一项新的钓鱼活动正在针对X(前身为Twitter)上的加密货币用户,通过伪装的应用授权请求绕过双重认证,导致账户被完全接管,并被用来推广欺诈性计划。
事件详情
据2025年9月25日报道,一项高级钓鱼活动正在积极利用X平台应用授权系统中的漏洞,危害加密社区内的X账户。攻击始于包含链接的直接消息,这些链接使用元数据欺骗,在视觉上看起来像合法的域名,例如calendar.google.com。然而,这些链接会重定向到恶意网站,例如x(.)ca-lendar(.)com。用户交互后,会被秘密引导到一个执行恶意代码的页面,然后才出现应用授权提示。一个通常用西里尔字符伪装成“Google日历”应用程序的钓鱼程序,会请求广泛的权限来访问用户的X账户,包括关注/取消关注、更新个人资料以及创建/删除帖子等功能。如果这些权限被授予,攻击者将获得完全控制权,直接绕过传统密码和2FA,在未被初始检测的情况下立即接管账户。被攻陷的账户随后被用于传播欺诈性加密货币计划,可能导致关注者蒙受经济损失。建议用户访问其X连接的应用程序页面,审查并撤销任何可疑的“日历”应用授权,以降低风险。
市场影响
这种复杂的钓鱼技术对Web3生态系统内的安全性与信任构成了重大威胁。2FA(数字安全基石)的直接绕过,标志着网络威胁已超越简单的凭据盗窃,进一步升级。这一进展可能需要X加强其应用授权安全协议,并敦促更广泛的加密货币社区采取更严格、多平台的安全实践。此类活动的经济影响是巨大的;截至2025年8月,Scam Sniffer报告称,通过各种钓鱼诈骗,已从15,000多名受害者手中窃取了超过1200万美元。针对有影响力账户的攻击扩大了欺骗性计划的传播范围,可能影响市场情绪,并导致毫无戒心的投资者遭受更广泛的经济损失。这些攻击的持续性质强调了持续警惕和适应性安全措施的至关重要性。
专家评论
加密开发者Zak Cole强调了情况的严重性,将其描述为“完全的账户接管,零检测”,强调了攻击的隐蔽性和有效性。MetaMask安全研究员Ohm Shah证实了该活动的活跃存在,指出其“在野外”被观察到。Shah澄清说,这种攻击不同于传统的钓鱼,因为它不涉及虚假登录页面或密码窃取,而是直接利用X的应用支持来获取账户访问权限。Cole还发现了一个操作上的不一致:伪造的Google日历预览在授予权限后会重定向到calendly.com,这一异常可能对细心的用户起到警示作用。
更广泛的背景
此次活动融入了针对加密货币行业通过社交媒体平台升级网络攻击的更广泛模式。高调的账户劫持已成为攻击者普遍采用的策略,他们利用被攻陷的账户向大量通常信任的受众传播欺诈性链接和推广欺骗性代币赠品。2024年和2025年期间的事件包括WIRED记者、NBA、NASCAR、Linus Tech Tips和以太坊联合创始人Vitalik Buterin的账户被攻陷,所有这些都曾被用来传播与加密货币相关的诈骗。到2025年中期,与加密货币相关的钓鱼和欺诈损失总额在全球范围内超过21亿美元。越来越侧重于社会工程和人为因素,而不是纯粹的技术漏洞,凸显了这些威胁不断演变的性质。这一趋势强调了个人和平台在面对复杂和适应性强的网络犯罪策略时,保护数字资产所面临的持续挑战。