一項新型複雜的網路釣魚活動正針對加密領域知名人士的X帳號,採用能夠繞過雙因素認證、且比傳統騙局更具可信度的手法。
據加密開發者Zak Cole週三在X發布的消息稱,此次網路釣魚活動利用X自身基礎設施,接管加密領域知名人士的帳號。他表示:“零檢測。目前正活躍。完全接管帳號。”
Cole指出,該攻擊並不涉及偽造登入頁面或竊取密碼,而是依靠X應用程式支援功能獲取帳戶訪問權限,同時繞過雙因素認證。
MetaMask安全研究員Ohm Shah證實,已在實際環境中觀察到該攻擊,表明此次活動範圍較廣。同時,一名OnlyFans內容創作者也遭遇了該類攻擊的低級版本。
欺騙性釣魚信息的構造方式
此次網路釣魚活動的顯著特點在於其極高的可信度和隱蔽性。攻擊者利用社交平台生成預覽的機制,在消息中插入一個看似跳轉至官方Google Calendar域名的連結。在Cole的案例中,該消息偽裝成風險投資公司Andreessen Horowitz代表發出的邀請。
該消息所連結的域名為“x(.)ca-lendar(.)com”,於週六註冊。由於該網站元數據利用了X的預覽生成機制,X在預覽中顯示的是合法的calendar.google.com。
“你的大腦看到的是Google Calendar。實際URL卻不同。”
點擊後,頁面的JavaScript會將用戶重定向至X的身份驗證端點,要求授權某應用訪問社交媒體帳號。該應用顯示為“Calendar”,但技術分析發現,應用名稱中包含外觀類似“a”和“e”的西里爾字母。因此,該應用與X系統中的真實“Calendar”應用並不相同。
揭示攻擊的線索
目前最明顯的非合法跡象可能是用戶在被重定向前短暫看到的URL,這一畫面僅出現極短時間,很容易被忽略。
不過,在X的身份驗證頁面上首次出現了表明該行為為網路釣魚攻擊的線索。該應用請求大量帳號控制權限,包括關注和取消關注帳號、更新個人資料及帳戶設置、創建和刪除帖子、與他人帖子互動等。這些權限遠超日曆應用的正常需求。
細心的用戶可能會因此識破攻擊。如果授予權限,攻擊者將獲得帳號訪問權,而用戶會在被重定向至calendly.com時獲得另一條線索,儘管預覽顯示的是Google Calendar。
Cole指出:“Calendly?他們偽裝成Google Calendar,卻重定向到Calendly?這是重大的操作安全失誤。這種不一致可能會提醒受害者。”
根據Cole在GitHub上的攻擊報告,若懷疑帳號已被攻破並希望清除攻擊者,建議訪問X已連接應用頁面。隨後,他建議撤銷所有名為“Calendar”的應用授權。