Faux journaliste, vrai hacker : révéler la nouvelle arnaque de Crypto Twitter

Ces derniers mois, des leaders d’opinion bien connus sont devenus les principales cibles d’attaques d’ingénierie sociale, et le compte Twitter officiel du projet a également été fréquemment volé.

Écrit par : Luccy, rythmiste, BlockBeats

Dans le domaine monétaire, Twitter, en tant que principal média social, constitue une plateforme importante d'échange d'informations, mais il expose également à de nombreux risques en matière de sécurité. Ces derniers mois, une nouvelle tendance en matière de vol est apparue : des leaders d'opinion bien connus (KOL) sont devenus les principales cibles des attaques d'ingénierie sociale, et la plateforme de médias sociaux officielle du projet, X (anciennement Twitter), a fréquemment été victime de vols de comptes.

Ces attaques bien planifiées violent non seulement la vie privée, mais menacent également la sécurité de l’ensemble des actifs numériques. BlockBeats explorera plusieurs cas récents d'attaques d'ingénierie sociale contre des KOL bien connus, révélant comment les attaquants utilisent des méthodes de fraude soigneusement conçues, et comment les KOL et les utilisateurs ordinaires peuvent être plus vigilants pour se prémunir contre ces menaces en ligne de plus en plus répandues.

Faux journalistes déguisés, attaques d'ingénierie sociale contre les KOL

Selon les statistiques incomplètes de BlockBeats, la personne qui a été initialement attaquée par des travailleurs sociaux était le rédacteur en chef du grand média américain "Forbes". Après avoir communiqué avec Kol@0xmasiwei crypté à propos de ami.tech et d'autres faux projets SocialFi, l'imposteur lui a envoyé un lien de « vérification d'identité » ami.tech. Après vérification par le personnel de sécurité de SlowMist, le lien est un lien de phishing.

De plus, le fondateur de SlowMist, Yu Xian, a déterminé que FrenTechPro, l'outil de personnalisation intégré de friends.tech, était une arnaque par phishing. Une fois que les utilisateurs auront cliqué sur ACTIVER MAINTENANT, les pirates continueront d'essayer de voler les actifs liés au portefeuille.

Deux mois plus tard, PeckShield a de nouveau détecté un incident similaire.

Le 18 décembre, Kofi (@0xKofi), chercheur en données cryptographiques et contributeur de DeFiLlama, a publié sur la plateforme de médias sociaux que les contrats et les dApps de DefiLama sont vulnérables aux vulnérabilités, obligeant les utilisateurs à cliquer sur le lien joint au tweet pour vérifier la sécurité des actifs. Il s'agit d'un exemple typique d'attaque d'ingénierie sociale : le gang des fraudeurs a profité de la peur des utilisateurs face aux vulnérabilités et les a amenés à baisser leur garde face aux liens frauduleux.

Hier à 2 heures du matin, @0xcryptowizard a subi une attaque d'ingénierie sociale, qui a une nouvelle fois déclenché des discussions dans le cercle du chiffrement. @0xcryptowizard a utilisé le chinois « traduit automatiquement » pour promouvoir l'inscription Arbitrum sur les plateformes de médias sociaux, et a joint un lien neuf. Selon les membres de la communauté, le portefeuille s’est vidé dès qu’ils ont cliqué sur le lien.

En réponse, @0xcryptowizard a posté que l'escroc avait profité de sa pause pour publier le lien de phishing. Par la suite, @0xcryptowizard a joint un rappel dans son profil Twitter : "Aucun lien ne sera publié à l'avenir ; veuillez ne pas cliquer sur les liens dans les tweets."

Quant à la raison du vol, @0xcryptowizard a déclaré qu'il s'agissait d'une fraude en ligne bien planifiée. L'attaquant @xinchen_eth s'est fait passer pour un journaliste du célèbre média de crypto-monnaie Cointelegraph et a contacté la cible sous prétexte de prendre rendez-vous pour un entretien. L'attaquant a été amené à cliquer sur un lien de rendez-vous apparemment normal, déguisé en page de rendez-vous de Calendly, un outil de planification populaire. Cependant, il s'agit en réalité d'une page déguisée dont le véritable objectif est de compléter l'autorisation du compte Twitter @xinchen_eth et ainsi d'obtenir ses autorisations Twitter.

Au cours de ce processus, même s'il se méfiait du lien, la conception et la présentation de la page lui faisaient quand même penser à tort qu'il s'agissait d'une interface de rendez-vous Calendly normale. En fait, la page n'affichait aucune interface autorisée par Twitter, seulement l'interface d'heure de rendez-vous, ce qui l'a conduit à un malentendu. Rétrospectivement, @0xcryptowizard pense que les pirates ont peut-être intelligemment déguisé la page.

Enfin, @0xcryptowizard rappelle aux autres leaders d'opinion (KOL) bien connus d'être très prudents et de ne pas cliquer facilement sur des liens inconnus, même s'ils ressemblent à des pages de service normales. La nature hautement dissimulée et trompeuse de cette fraude constitue un risque sérieux pour la sécurité.

Après @0xcryptowizard, le co-fondateur de NextDAO @_0xSea_ a également subi une attaque d'ingénierie sociale. Un escroc prétendant appartenir à la célèbre société de médias de chiffrement Decrypt a envoyé un message privé pour lui demander une interview, dans le but de diffuser quelques idées. aux utilisateurs parlant chinois.

Mais avec les leçons tirées du passé, @_0xSea_ a soigneusement remarqué que dans la page d'autorisation de Calendly.com envoyée par l'autre partie, le caractère dans la phrase "Autoriser Calendlỵ à accéder à votre compte" est "ỵ", et non la lettre. "y". Ceci, comme dans le cas des faux sats la dernière fois, le dernier caractère est en fait "ʦ" au lieu de "ts". De là, on peut juger qu’il s’agit d’un faux compte.

Groupe de hackers crypto bien formés Pink Drainer

Lors de l'attaque contre @0xcryptowizard, Slow Mist Cosine a pointé du doigt le gang de fraudeurs Pink Drainer. Il est rapporté que Pink Drainer est un malware-as-a-service (MaaS) qui permet aux utilisateurs de créer rapidement des sites Web malveillants et d'obtenir des actifs illégaux via le malware.

Selon la société de sécurité blockchain Beosin, l'URL de phishing utilise un outil de vol de portefeuille cryptographique pour inciter les utilisateurs à signer la demande. Une fois la demande signée, l’attaquant pourra transférer les tokens NFT et ERC-20 depuis le portefeuille de la victime. « Pink Drainer » facturera aux utilisateurs les actifs volés sous forme de frais, qui pourraient atteindre 30 % des actifs volés.

L'équipe Pink Drainer est connue pour ses attaques très médiatisées sur des plateformes telles que Twitter et Discord, impliquant des incidents tels que Evomos, Pika Protocol et Orbiter Finance.

Le 2 juin de l'année dernière, des pirates ont utilisé Pink Drainer pour pirater le Twitter de Mira Murati, directrice de la technologie d'OpenAI, et publié de fausses nouvelles, affirmant qu'OpenAI était sur le point de lancer un « jeton OPENAI » basé sur le modèle de langage de l'IA. et a publié un lien pour informer les internautes de vérifier si l'adresse du portefeuille Ethereum est éligible pour recevoir un investissement à court terme. Afin d'empêcher d'autres personnes d'exposer l'arnaque dans la zone de message, le pirate informatique a également désactivé la fonction de réponse publique du message.

Même si la fausse nouvelle a été supprimée une heure après sa publication, elle a déjà atteint plus de 80 000 utilisateurs de Twitter. Selon les données présentées par Scam Sniffer, le pirate informatique a gagné environ 110 000 $ de revenus illégaux grâce à cet incident.

À la fin de l'année dernière, Pink Drainer a participé à une escroquerie de phishing très sophistiquée qui a abouti au vol de 4,4 millions de dollars de jetons Chainlink (LINK). Le cybervol ciblait une seule victime qui avait été amenée à signer une transaction liée à la fonction « augmenter l'autorisation ». Pink Drainer utilise la fonction « Ajouter une autorisation », une procédure standard dans le domaine de la cryptographie, pour permettre aux utilisateurs de fixer des limites sur le nombre de jetons pouvant être transférés vers d'autres portefeuilles.

Cette action a abouti au transfert non autorisé de 275 700 jetons LINK lors de deux transactions distinctes à l’insu des victimes. Les détails de la plateforme de sécurité cryptographique Scam Sniffer montrent qu'initialement, 68 925 jetons LINK ont été transférés vers un portefeuille étiqueté « PinkDrainer : Wallet 2 » par Etherscan ; les 206 775 LINK restants ont été envoyés vers un autre portefeuille se terminant par « E70e », une adresse.

Bien que l’on ne sache pas comment ils ont incité les victimes à autoriser les transferts de jetons. Scam Sniffer a également découvert au moins 10 nouveaux sites Web frauduleux liés à Pink Drainer au cours des 24 heures écoulées depuis le vol.

Aujourd'hui, les activités de Pink Drainer sont toujours en hausse : selon les données de Dune, au moment de la rédaction de cet article, Pink Drainer a fraudé plus de 25 millions de dollars au total, faisant au total des dizaines de milliers de victimes.

Les promotions officielles des projets sont fréquemment volées

De plus, au cours du mois dernier, il y a eu de fréquents incidents de tweets officiels du projet volés :

Le 22 décembre, le compte officiel de la plate-forme X du jeu ARPG de récupération de trésors sombres "SERAPH: In the Darkness" a été soupçonné d'avoir été volé. Il est conseillé aux utilisateurs de ne cliquer pour le moment sur aucun lien publié par ce compte.

Le 25 décembre, le tweet officiel du protocole financier décentralisé Set Protocol a été soupçonné d'avoir été volé et plusieurs tweets contenant des liens de phishing ont été publiés.

Le 30 décembre, le tweet officiel de la plateforme de prêt DeFi Compound a été soupçonné d'avoir été volé et un tweet contenant un lien de phishing a été publié, mais l'autorisation de commentaire n'a pas été ouverte. BlockBeats rappelle aux utilisateurs de faire attention à la sécurité des actifs et de ne pas cliquer sur les liens de phishing.

Même les sociétés de sécurité ne sont pas à l’abri. Le 5 janvier, le compte Twitter de CertiK a été compromis. Publication de fausses nouvelles affirmant que le contrat du routeur Uniswap s'est avéré vulnérable à une vulnérabilité de réentrée. Le lien attaché à RevokeCash est un lien de phishing. En réponse au vol, CertiK a déclaré sur sa plateforme sociale : « Un compte vérifié lié à un média bien connu a contacté un employé de CertiK. Cependant, le compte semble avoir été compromis, ce qui a entraîné une attaque de phishing contre nos employés. CertiK a rapidement " J'ai découvert la vulnérabilité et supprimé les tweets concernés en quelques minutes. L'enquête a révélé qu'il s'agissait d'une attaque à grande échelle et soutenue. Selon l'enquête, l'incident n'a pas causé de dommages importants. "

Le 6 janvier, selon les retours de la communauté, le tweet officiel de Sharky, le protocole de prêt écologique NFT Solana, a été piraté et un lien de phishing a été posté. Il est conseillé aux utilisateurs de ne cliquer sur aucun lien posté par le tweet officiel.