Jornalista falso, hacker de verdade: revelando o novo truque fraudulento do Crypto Twitter

Nos últimos meses, líderes de opinião conhecidos tornaram-se os principais alvos de ataques de engenharia social, e a conta oficial do projeto no Twitter também foi frequentemente roubada.

Escrito por: Luccy, trabalhadora do ritmo, BlockBeats

No círculo monetário, o Twitter, como principal meio de comunicação social, é uma plataforma importante para a troca de informações, mas também expõe muitos riscos de segurança. Nos últimos meses, surgiu uma nova tendência de roubo: líderes de opinião conhecidos (KOL) tornaram-se os principais alvos de ataques de engenharia social, e a plataforma de mídia social oficial do projeto X (anteriormente Twitter) tem sofrido frequentemente roubos de contas.

Estes ataques bem planeados não só violam a privacidade pessoal, mas também ameaçam a segurança de todo o ativo digital. BlockBeats explorará vários casos recentes de ataques de engenharia social contra KOLs conhecidos, revelando como os invasores usam métodos de fraude cuidadosamente projetados e como KOLs e usuários comuns podem estar mais vigilantes para se protegerem contra ameaças on-line cada vez mais desenfreadas.

Repórteres falsos disfarçados, ataques de engenharia social a KOLs

De acordo com estatísticas incompletas do BlockBeats, a pessoa que foi inicialmente atacada pelos assistentes sociais foi o editor-chefe da grande mídia americana "Forbes". Depois de se comunicar com Kol@0xmasiwei criptografado sobre friend.tech e outros projetos falsos do SocialFi, o impostor enviou a ele um link de “verificação de identidade” de friend.tech. Após verificação pelo pessoal de segurança do SlowMist, o link é um link de phishing.

Além disso, o fundador do SlowMist, Yu Xian, determinou que a ferramenta de personalização integrada FrenTechPro da friend.tech é um esquema de phishing.Depois que os usuários clicarem em ATIVAR AGORA, os hackers continuarão a tentar roubar ativos relacionados à carteira.

Dois meses depois, o PeckShield detectou novamente um incidente semelhante.

Em 18 de dezembro, o pesquisador de dados criptográficos e colaborador do DeFiLlama Kofi (@0xKofi) postou na plataforma de mídia social que os contratos e dApps do DefiLama são vulneráveis a vulnerabilidades, exigindo que os usuários cliquem no link anexado ao tweet para verificar a segurança dos ativos. Este é um exemplo típico de ataque de engenharia social: a gangue fraudulenta aproveitou o medo dos usuários em relação às vulnerabilidades e os fez baixar a guarda contra links fraudulentos.

Às 2 horas da manhã de ontem, @0xcryptowizard sofreu um ataque de engenharia social, que mais uma vez desencadeou discussões no círculo de criptografia. @0xcryptowizard usou chinês “traduzido automaticamente” para promover a inscrição Arbitrum em plataformas de mídia social e anexou um link mint. Segundo membros da comunidade, a carteira foi esvaziada assim que clicaram no link.

Em resposta, @0xcryptowizard postou que o golpista aproveitou sua folga para publicar o link de phishing. Posteriormente, @0xcryptowizard anexou um lembrete em seu perfil do Twitter: “Nenhum link será postado no futuro; por favor, não clique em links em tweets”.

Quanto ao motivo do roubo, @0xcryptowizard disse que foi uma fraude online bem planejada. O atacante @xinchen_eth fingiu ser um repórter da conhecida mídia de criptomoedas Cointelegraph e contatou o alvo sob o pretexto de marcar uma entrevista. O invasor foi induzido a clicar em um link de agendamento aparentemente normal, disfarçado como uma página de agendamento do Calendly, uma ferramenta de agendamento popular. No entanto, esta é na verdade uma página disfarçada cujo verdadeiro objetivo é completar a autorização da conta @xinchen_eth no Twitter e assim obter as suas permissões no Twitter.

Durante esse processo, mesmo que ele suspeitasse do link, o design e a apresentação da página ainda o fizeram pensar erroneamente que se tratava de uma interface normal de agendamento do Calendly. Na verdade, a página não exibia nenhuma interface autorizada pelo Twitter, apenas a interface de horário marcado, o que o levou a um mal-entendido. Em retrospecto, @0xcryptowizard acha que os hackers podem ter disfarçado a página de maneira inteligente.

Por fim, @0xcryptowizard lembra outros líderes de opinião conhecidos (KOL) para serem extremamente cuidadosos e não clicarem facilmente em links desconhecidos, mesmo que pareçam páginas normais de serviço. A natureza altamente oculta e enganosa desta fraude representa um sério risco de segurança.

Depois de @0xcryptowizard, o cofundador da NextDAO @_0xSea_ também sofreu um ataque de engenharia social.Um golpista que afirma ser da conhecida empresa de mídia criptografada Decrypt enviou uma mensagem privada para convidá-lo para uma entrevista, com o objetivo de divulgar algumas ideias. para usuários que falam chinês.

Mas com as lições aprendidas no passado, @_0xSea_ notou cuidadosamente que na página de autorização do Calendly.com enviada pela outra parte, o caractere na frase "Autorizar Calendlỵ para acessar sua conta" é "ỵ", não a letra "y".Isso é semelhante ao caso dos sats falsos da última vez, o último caractere é na verdade "ʦ" em vez de "ts". A partir disso, pode-se julgar que se trata de uma conta falsa.

Grupo de hackers de criptografia bem treinado Pink Drainer

No ataque a @0xcryptowizard, Slow Mist Cosine apontou a gangue fraudulenta Pink Drainer. É relatado que Pink Drainer é um malware como serviço (MaaS) que permite aos usuários estabelecer rapidamente sites maliciosos e obter ativos ilegais por meio do malware.

De acordo com a empresa de segurança blockchain Beosin, o URL de phishing usa uma ferramenta de roubo de carteira criptografada para induzir os usuários a assinar a solicitação. Assim que a solicitação for assinada, o invasor poderá transferir tokens NFT e ERC-20 da carteira da vítima. “Pink Drainer” cobrará dos usuários os ativos roubados como uma taxa, que pode chegar a 30% dos ativos roubados.

A equipe Pink Drainer é conhecida por ataques de alto perfil em plataformas como Twitter e Discord, envolvendo incidentes como Evomos, Pika Protocol e Orbiter Finance.

Em 2 de junho do ano passado, hackers usaram Pink Drainer para invadir o Twitter de Mira Murati, diretora de tecnologia da OpenAI, e postaram notícias falsas, alegando que a OpenAI estava prestes a lançar um “token OPENAI” baseado no modelo de linguagem AI, e postou um link para informar os internautas para verificar se o endereço da carteira Ethereum é elegível para receber investimentos curtos. Para evitar que outras pessoas exponham o golpe na área da mensagem, o hacker também desativou a função de resposta pública da mensagem.

Embora a notícia falsa tenha sido excluída uma hora depois de ser publicada, ela já atingiu mais de 80 mil usuários do Twitter. De acordo com dados apresentados pelo Scam Sniffer, o hacker ganhou aproximadamente US$ 110.000 em receitas ilegais com este incidente.

No final do ano passado, Pink Drainer participou de um esquema de phishing altamente sofisticado que resultou no roubo de US$ 4,4 milhões em tokens Chainlink (LINK). O roubo cibernético teve como alvo uma única vítima que foi enganada para assinar uma transação relacionada ao recurso “aumentar autorização”. Pink Drainer utiliza o recurso “adicionar autorização”, um procedimento padrão no campo criptográfico, para permitir que os usuários estabeleçam limites no número de tokens que podem ser transferidos para outras carteiras.

Esta ação resultou na transferência não autorizada de 275.700 tokens LINK em duas transações distintas, sem o conhecimento das vítimas. Detalhes da plataforma de segurança criptográfica Scam Sniffer mostram que inicialmente, 68.925 tokens LINK foram transferidos para uma carteira chamada “PinkDrainer: Wallet 2” pela Etherscan; os 206.775 LINK restantes foram enviados para outra carteira com endereço “E70e”.

Embora não esteja claro como eles enganaram as vítimas para que autorizassem transferências de tokens. O Scam Sniffer também descobriu pelo menos 10 novos sites fraudulentos relacionados ao Pink Drainer nas últimas 24 horas desde o roubo.

Hoje, as atividades da Pink Drainer ainda estão em ascensão.De acordo com dados de Dune, até o momento em que este artigo foi escrito, a Pink Drainer fraudou mais de US$ 25 milhões no total, com um total de dezenas de milhares de vítimas.

As promoções oficiais do projeto são frequentemente roubadas

Além disso, no mês passado, houve incidentes frequentes de tweets oficiais do projeto roubados:

Em 22 de dezembro, suspeita-se que a conta oficial da plataforma X do jogo ARPG de cadeia de tesouros sombrios "SERAPH: In the Darkness" tenha sido roubada. Os usuários são aconselhados a não clicar em nenhum link postado por esta conta por enquanto.

Em 25 de dezembro, o tweet oficial do protocolo financeiro descentralizado Set Protocol foi suspeito de ter sido roubado e vários tweets contendo links de phishing foram postados.

Em 30 de dezembro, o tweet oficial da plataforma de empréstimo DeFi Compound foi suspeito de ter sido roubado, e um tweet contendo um link de phishing foi postado, mas a permissão para comentários não foi aberta. BlockBeats lembra aos usuários que prestem atenção à segurança dos ativos e não cliquem em links de phishing.

Mesmo as empresas de segurança não estão imunes. Em 5 de janeiro, a conta do Twitter da CertiK foi comprometida. Publicou notícias falsas alegando que o contrato do roteador Uniswap foi considerado vulnerável a uma vulnerabilidade de reentrada. O link anexado ao RevokeCash é um link de phishing. Em resposta ao roubo, a CertiK declarou em sua plataforma social: "Uma conta verificada relacionada a uma mídia conhecida contatou um funcionário da CertiK, no entanto, a conta parece ter sido comprometida, resultando em um ataque de phishing aos nossos funcionários. A CertiK rapidamente descobriu a vulnerabilidade e excluiu os tweets relevantes em poucos minutos. As investigações revelaram que este foi um ataque sustentado e em grande escala. De acordo com a investigação, o incidente não causou danos significativos."

Em 6 de janeiro, de acordo com o feedback da comunidade, o tweet oficial do Sharky, o protocolo de empréstimo NFT ecológico de Solana, foi hackeado e um link de phishing foi postado.Os usuários são aconselhados a não clicar em nenhum link postado pelo tweet oficial.