Cuộc tấn công chiếm quyền tài khoản X nâng cao mới nhắm đến cộng đồng tiền điện tử
Một chiến dịch lừa đảo tinh vi đang chiếm quyền kiểm soát tài khoản X của các nhân vật tiền điện tử bằng cách khai thác hệ thống ủy quyền ứng dụng của X để vượt qua mật khẩu và xác thực hai yếu tố.
Một chiến dịch lừa đảo tinh vi mới đang nhắm đến tài khoản X của các nhân vật tiền điện tử, sử dụng các chiến thuật vượt qua xác thực hai yếu tố và trông đáng tin cậy hơn so với các lừa đảo truyền thống.
Theo bài đăng trên X vào thứ Tư của nhà phát triển tiền điện tử Zak Cole, một chiến dịch lừa đảo mới khai thác cơ sở hạ tầng của X để chiếm quyền kiểm soát tài khoản của các nhân vật tiền điện tử. “Không phát hiện. Đang hoạt động ngay bây giờ. Chiếm quyền tài khoản hoàn toàn,” anh ấy nói.
Cole nhấn mạnh rằng cuộc tấn công không liên quan đến trang đăng nhập giả hoặc đánh cắp mật khẩu. Thay vào đó, nó khai thác hỗ trợ ứng dụng của X để truy cập tài khoản đồng thời vượt qua xác thực hai yếu tố.
Nhà nghiên cứu an ninh MetaMask Ohm Shah xác nhận đã thấy cuộc tấn công “trong thực tế,” gợi ý một chiến dịch rộng lớn hơn, và một mô hình OnlyFans cũng bị nhắm đến bởi phiên bản ít tinh vi hơn của cuộc tấn công.
Liên quan: Blockstream cảnh báo về chiến dịch lừa đảo email mới
Tạo một thông điệp lừa đảo đáng tin cậy
Đặc điểm đáng chú ý của chiến dịch lừa đảo là mức độ đáng tin cậy và kín đáo của nó. Cuộc tấn công bắt đầu bằng một tin nhắn trực tiếp trên X chứa liên kết dường như chuyển hướng đến miền Google Calendar chính thức, nhờ cách nền tảng mạng xã hội tạo bản xem trước. Trong trường hợp của Cole, tin nhắn giả vờ đến từ đại diện của công ty đầu tư mạo hiểm Andreessen Horowitz.
Miền mà tin nhắn liên kết đến là “x(.)ca-lendar(.)com” và được đăng ký vào thứ Bảy. Tuy nhiên, X hiển thị calendar.google.com chính thức trong bản xem trước nhờ metadata của trang khai thác cách X tạo bản xem trước từ metadata của nó.
“Bộ não của bạn thấy Google Calendar. URL thì khác.“
Khi nhấp vào, JavaScript của trang chuyển hướng đến điểm cuối xác thực X yêu cầu ủy quyền cho một ứng dụng truy cập tài khoản mạng xã hội của bạn. Ứng dụng dường như là “Calendar,” nhưng kiểm tra kỹ thuật văn bản cho thấy tên ứng dụng chứa hai ký tự Cyrillic trông giống như “a” và “e,” làm cho nó trở thành một ứng dụng khác biệt so với ứng dụng “Calendar” thực tế trong hệ thống của X.
Liên quan: Các cuộc lừa đảo phishing khiến người dùng mất hơn 12 triệu đô la vào tháng Tám — Đây là cách để an toàn
Gợi ý tiết lộ cuộc tấn công
Cho đến nay, dấu hiệu rõ ràng nhất rằng liên kết không hợp pháp có thể là URL xuất hiện ngắn gọn trước khi người dùng bị chuyển hướng. Điều này có lẽ chỉ xuất hiện trong một phần giây và dễ bỏ lỡ.
Tuy nhiên, trên trang xác thực X, chúng ta tìm thấy dấu hiệu đầu tiên rằng đây là cuộc tấn công lừa đảo. Ứng dụng yêu cầu danh sách dài các quyền kiểm soát tài khoản toàn diện, bao gồm theo dõi và hủy theo dõi tài khoản, cập nhật hồ sơ và cài đặt tài khoản, tạo và xóa bài đăng, tương tác với bài đăng của người khác, và nhiều hơn nữa.
Những quyền này dường như không cần thiết cho một ứng dụng lịch và có thể là dấu hiệu cứu một người dùng cẩn thận khỏi cuộc tấn công. Nếu quyền được cấp, kẻ tấn công sẽ truy cập tài khoản khi người dùng nhận được dấu hiệu khác với chuyển hướng đến calendly.com mặc dù bản xem trước Google Calendar.
“Calendly? Họ giả mạo Google Calendar, nhưng chuyển hướng đến Calendly? Lỗi bảo mật hoạt động lớn. Sự không nhất quán này có thể cảnh báo nạn nhân,” Cole nhấn mạnh.
Theo báo cáo trên GitHub của Cole về cuộc tấn công, để kiểm tra xem hồ sơ của bạn có bị xâm phạm và loại bỏ kẻ tấn công khỏi tài khoản, được khuyến nghị truy cập trang ứng dụng kết nối của X. Sau đó, anh ấy gợi ý thu hồi bất kỳ ứng dụng nào có tên “Calendar.”
Tạp chí: Stablecoin giả JD, kẻ lừa đảo giả mạo nhà phát triển Solana: Asia Express
Theo Cointelegraph
Tin khác
