随着加密货币市场的快速发展,相关平台和社交账户也成为攻击者重点盯防的目标。近日,X平台(前身Twitter)爆出一波新型高级账户劫持攻击,专门针对加密社区知名人士和行业精英。该攻击通过滥用X的应用授权机制,成功绕过了传统的密码保护和双重身份验证(2FA),给用户带来了前所未有的安全隐患。此次攻击的隐秘性和复杂性,让人们对社交媒体与加密账户的安全管理提出了更高的要求。此次攻击首先被著名加密开发者Zak Cole披露。Cole指出,黑客团队并未采用传统的伪造登录页面或直接窃取密码的手法,而是利用了X平台自身的应用授权系统来获得账户访问权限。
该漏洞允许攻击者申请全面控制权限,一旦用户无意中授权,便可能被黑客完全劫持账户。令人震惊的是,此类攻击甚至能够绕过双重身份验证 - - 这一安全机制通常被视为防止账户被非法访问的关键屏障。这意味着即使用户开启了2FA,依然无法完全抵御此类高级钓鱼攻击。攻击手法利用钓鱼信息极具欺骗性,通常通过X私信发送包含伪装链接的消息。这些链接表面上看似指向可信的谷歌日历域名,但实际跳转到攻击者控制的钓鱼网站。由于X社交平台利用网站元数据生成预览,用户看到的链接预览显示的正是谷歌日历主页,令受害者难以识别异常。
一旦用户点击链接,钓鱼页面的JavaScript脚本会将其导向X的认证端点,虚假请求用户授权一个名为"Calendar"的应用。乍一看,该应用似乎可信,但仔细分析会发现应用名中包含两个形似字母但实际为西里尔字母的字符,这表明该应用与官方的"Calendar"是两个不同的实体。该"Calendar"应用请求的权限异常全面,包括关注和取关账户、修改个人资料和账户设置、发布及删除推文以及与他人推文互动等。这显然与一个简单的日历应用无关,是典型的全权访问请求。部分敏锐用户可能会因这类过度权限申请而警觉,但对于大多数人来说,这类请求因其伪装和隐蔽特点而极易被忽视。一旦用户授权,攻击者立即得到了完全控制账户的权力,能够发布虚假信息、诈骗粉丝以及操纵社交影响力。
值得一提的是,钓鱼页面在完成授权后还会重定向至Calendly网站,而非看似真实的谷歌日历。这种跳转的不一致性是识别此类攻击的另一个线索,但由于重定向过程极短暂,普通用户往往难以及时察觉。MetaMask安全研究员Ohm Shah也确认在野外见证了该攻击现象,且类似较低级版本的攻击还波及了包括OnlyFans模特在内的其他非加密社区目标,说明攻击面正在扩大。针对这一新型威胁,加密社区专家建议用户提高警惕,尤其是处于高风险群体的账户持有者应严格审查所有接收到的私信链接,并定期检查X账户的已授权应用列表,撤销任何可疑的应用授权,如名为"Calendar"的应用。Zak Cole强调,X平台在应用审核机制上的缺陷和不足是攻击得以实施的根本原因。他提出,平台应加强应用的入驻审核和持续监控,确保不能轻易通过应用名称和身份造假骗取用户信任。
同时,授权页面需详实展示开发者身份信息和更丰富的元数据,帮助用户进行更深入判断。在技术层面,阻断来路可疑的近似域名注册和设置权限请求阈值机制对于遏制恶意应用的扩散同样至关重要。此次攻击事件给加密社区敲响了警钟,提醒用户切勿盲目点击未知来源链接和授权应用,务必保持高度防范意识。尤其是利用社交媒体进行职业活动的加密从业者和公众人物,应将账户安全视为第一要务,定期开展安全审计,及时撤销多余授权,避免落入钓鱼陷阱之中。X平台方面尽管尚未就此事件发布官方声明,但业内普遍呼吁其加快修补漏洞,优化安全策略和用户体验,保障用户资产和社交生态的安全稳定。综上所述,随着网络攻击技术日新月异,加密社区的安全环境也面临不断挑战。
用户需采取多措并举的安全防范措施,提高账户保护意识,同时期望平台运营方能严格审核第三方应用,建立更完善的防御体系。只有平台与用户协同合作,才能有效抵御此类隐蔽而危险的高级账户劫持攻击,确保加密资产和信息安全不被侵害。未来,用户除了依赖传统密码和2FA认证外,还应关注应用授权细节,合理限制权限范围。避免轻信任何外来链接和授信提示,及时更新安全策略和工具,从根本上阻断钓鱼链条的发展。加密社区的每一位成员都有责任保持警醒,齐心协力打造更加安全稳定的数字生态环境。 。
