一项新型复杂的网络钓鱼活动正针对加密领域知名人士的X账号,采用能够绕过双因素认证、且比传统骗局更具可信度的手法。
据加密开发者Zak Cole周三在X发布的消息称,此次网络钓鱼活动利用X自身基础设施,接管加密领域知名人士的账号。他表示:“零检测。目前正活跃。完全接管账号。”
Cole指出,该攻击并不涉及伪造登录页面或窃取密码,而是依靠X应用程序支持功能获取账户访问权限,同时绕过双因素认证。
MetaMask安全研究员Ohm Shah证实,已在实际环境中观察到该攻击,表明此次活动范围较广。同时,一名OnlyFans内容创作者也遭遇了该类攻击的低级版本。
此次网络钓鱼活动的显著特点在于其极高的可信度和隐蔽性。攻击者利用社交平台生成预览的机制,在消息中插入一个看似跳转至官方Google Calendar域名的链接。在Cole的案例中,该消息伪装成风险投资公司Andreessen Horowitz代表发出的邀请。
该消息所链接的域名为“x(.)ca-lendar(.)com”,于周六注册。由于该网站元数据利用了X的预览生成机制,X在预览中显示的是合法的calendar.google.com。
点击后,页面的JavaScript会将用户重定向至X的身份验证端点,要求授权某应用访问社交媒体账号。该应用显示为“Calendar”,但技术分析发现,应用名称中包含外观类似“a”和“e”的西里尔字母。因此,该应用与X系统中的真实“Calendar”应用并不相同。
目前最明显的非合法迹象可能是用户在被重定向前短暂看到的URL,这一画面仅出现极短时间,很容易被忽略。
不过,在X的身份验证页面上首次出现了表明该行为为网络钓鱼攻击的线索。该应用请求大量账号控制权限,包括关注和取消关注账号、更新个人资料及账户设置、创建和删除帖子、与他人帖子互动等。这些权限远超日历应用的正常需求。
细心的用户可能会因此识破攻击。如果授予权限,攻击者将获得账号访问权,而用户会在被重定向至calendly.com时获得另一条线索,尽管预览显示的是Google Calendar。
Cole指出:“Calendly?他们伪装成Google Calendar,却重定向到Calendly?这是重大的操作安全失误。这种不一致可能会提醒受害者。”
根据Cole在GitHub上的攻击报告,若怀疑账号已被攻破并希望清除攻击者,建议访问X已连接应用页面。随后,他建议撤销所有名为“Calendar”的应用授权。
相关推荐:比特币(BTC)反弹至11.39万美元,多头背离暗示趋势反转
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
