Фальшивый журналист, настоящий хакер: раскрываем новый мошеннический трюк Crypto Twitter

В последние месяцы основными объектами атак социальной инженерии стали известные лидеры мнений, а официальный аккаунт проекта в Твиттере также часто похищался.

Написано: Люси, ритм-менеджер BlockBeats

В валютном кругу Twitter, как основная социальная сеть, является важной платформой для обмена информацией, но он также таит в себе множество рисков безопасности. В последние месяцы возникла новая тенденция воровства: известные лидеры общественного мнения (KOL) стали основными объектами атак социальной инженерии, а официальная социальная платформа проекта X (ранее Twitter) часто подвергалась краже аккаунтов.

Эти хорошо спланированные атаки не только нарушают личную конфиденциальность, но и угрожают безопасности всего цифрового актива. BlockBeats рассмотрит несколько недавних случаев атак с помощью социальной инженерии против известных KOL, показав, как злоумышленники используют тщательно разработанные методы мошенничества и как KOL и обычные пользователи могут быть более бдительными, чтобы защититься от таких все более безудержных онлайн-угроз.

Замаскированные фейковые репортеры, атаки социальной инженерии на KOLs

По неполной статистике BlockBeats, человеком, на которого первоначально напали социальные работники, был главный редактор американского мейнстримного СМИ «Форбс». После общения с зашифрованным Kol@0xmasiwei по поводу friends.tech и других фейковых проектов SocialFi, самозванец отправил ему ссылку «подтверждения личности» на friends.tech. После проверки сотрудниками службы безопасности SlowMist ссылка является фишинговой.

Кроме того, основатель SlowMist Юй Сянь определил, что интегрированный инструмент настройки FrenTechPro отfriend.tech является фишинговым мошенничеством.

Два месяца спустя PeckShield снова обнаружил аналогичный инцидент.

18 декабря исследователь криптоданных и участник DeFiLlama Кофи (@0xKofi) опубликовал на платформе социальных сетей, что контракты и децентрализованные приложения DefiLama уязвимы для уязвимостей, требуя от пользователей щелкнуть ссылку, прикрепленную к твиту, чтобы проверить безопасность активов. Это типичный пример атаки социальной инженерии: банда мошенников воспользовалась страхом пользователей перед уязвимостями и заставила их снизить бдительность в отношении мошеннических ссылок.

Вчера в 2 часа ночи @0xcryptowizard подвергся атаке с помощью социальной инженерии, что снова вызвало дискуссии в кругах шифрования. @0xcryptowizard использовал «машинный перевод» китайского языка для продвижения надписи Arbitrum на платформах социальных сетей и прикрепил ссылку на монетный двор. По словам участников сообщества, кошелек опустошился, как только они перешли по ссылке.

В ответ @0xcryptowizard написал, что мошенник воспользовался перерывом, чтобы опубликовать фишинговую ссылку. Впоследствии @0xcryptowizard прикрепил к своему профилю в Твиттере напоминание: «В будущем ссылки публиковаться не будут; пожалуйста, не нажимайте на ссылки в твитах».

Что касается причины кражи, @0xcryptowizard заявил, что это было хорошо спланированное онлайн-мошенничество. Злоумышленник @xinchen_eth выдал себя за репортера известного криптовалютного СМИ Cointelegraph и связался с жертвой под предлогом записи на интервью. Злоумышленнику удалось щелкнуть по, казалось бы, обычной ссылке на встречу, которая была замаскирована под страницу встреч из Calendly, популярного инструмента планирования. Однако на самом деле это замаскированная страница, настоящая цель которой — завершить авторизацию аккаунта @xinchen_eth в Твиттере и тем самым получить его разрешения в Твиттере.

Во время этого процесса, даже если он с подозрением относился к ссылке, дизайн и представление страницы все равно заставляли его ошибочно думать, что это обычный интерфейс встреч Calendly. На самом деле на странице не было никакого интерфейса, авторизованного в Твиттере, только интерфейс времени встречи, что привело его в недоразумение. Оглядываясь назад, @0xcryptowizard считает, что хакеры, возможно, ловко замаскировали страницу.

Наконец, @0xcryptowizard напоминает другим известным лидерам мнений (KOL) быть особенно осторожными и не нажимать легко на неизвестные ссылки, даже если они выглядят как обычные служебные страницы. Сильно скрытый и обманчивый характер этого мошенничества представляет собой серьезную угрозу безопасности.

После @0xcryptowizard соучредитель NextDAO @_0xSea_ также подвергся атаке социальной инженерии.Мошенник, представившийся сотрудником известной медиа-компании по шифрованию Decrypt, отправил ему личное сообщение с просьбой об интервью с целью распространения некоторых идей. для китайскоязычных пользователей.

Но, учитывая уроки прошлого, @_0xSea_ внимательно заметил, что на странице авторизации Calendly.com, отправленной другой стороной, в предложении «Разрешить Calendlỵ получить доступ к вашей учетной записи» используется буква «ỵ», а не буква. «y». Как и в случае с фальшивыми сатами в прошлый раз, последний символ на самом деле — «ʦ», а не «ts». Из этого можно судить, что это фейковый аккаунт.

Хорошо обученная группа криптохакеров Pink Drainer

В атаке на @0xcryptowizard Slow Mist Cosine указал на мошенническую банду Pink Drainer. Сообщается, что Pink Drainer представляет собой вредоносное ПО как услугу (MaaS), которое позволяет пользователям быстро создавать вредоносные веб-сайты и получать незаконные активы с помощью вредоносного ПО.

По данным компании Beosin, занимающейся безопасностью блокчейнов, фишинговый URL-адрес использует инструмент кражи криптокошелька, чтобы обманом заставить пользователей подписать запрос. Как только запрос будет подписан, злоумышленник сможет перевести токены NFT и ERC-20 из кошелька жертвы. «Pink Drainer» будет взимать с пользователей украденные активы в качестве комиссии, которая, как сообщается, может достигать 30% от украденных активов.

Команда Pink Drainer известна громкими атаками на такие платформы, как Twitter и Discord, включая такие инциденты, как Evomos, Pika Protocol и Orbiter Finance.

2 июня прошлого года хакеры использовали Pink Drainer для взлома Твиттера Миры Мурати, технического директора OpenAI, и разместили ложные новости, утверждая, что OpenAI собирается запустить «токен OPENAI», основанный на модели языка AI. и разместил ссылку, чтобы проинформировать пользователей сети, чтобы они могли проверить, имеет ли адрес кошелька Ethereum право на получение коротких инвестиций. Чтобы другие не смогли разоблачить мошенничество в области сообщений, хакер также отключил функцию публичного ответа на сообщение.

Хотя фейковая новость была удалена через час после публикации, она уже достигла более 80 000 пользователей Twitter. По данным Scam Sniffer, в результате этого инцидента хакер получил около $110 000 нелегального дохода.

В конце прошлого года Pink Drainer участвовала в сложнейшей фишинговой афере, в результате которой были украдены токены Chainlink (LINK) на сумму 4,4 миллиона долларов. Кибер-кража была нацелена на одну жертву, которую обманом заставили подписать транзакцию, связанную с функцией «повышения авторизации». Pink Drainer использует функцию «добавить авторизацию», стандартную процедуру в области криптографии, которая позволяет пользователям устанавливать ограничения на количество токенов, которые могут быть переведены на другие кошельки.

Это действие привело к несанкционированной передаче 275 700 токенов LINK в виде двух отдельных транзакций без ведома жертв. Подробности платформы криптографической безопасности Scam Sniffer показывают, что первоначально 68 925 токенов LINK были переведены Etherscan в кошелек с надписью «PinkDrainer: Wallet 2»; оставшиеся 206 775 токенов LINK были отправлены в другой кошелек, адрес которого заканчивается на «E70e».

Хотя неясно, как они обманом заставили жертв разрешить передачу токенов. Scam Sniffer также обнаружил как минимум 10 новых мошеннических веб-сайтов, связанных с Pink Drainer, за последние 24 часа после кражи.

Сегодня активность Pink Drainer все еще находится на подъеме: по данным Dune, на момент написания статьи Pink Drainer украла в общей сложности более $25 млн, а жертвами стали десятки тысяч человек.

Официальные промо-акции проектов часто воруют

Мало того, за последний месяц участились случаи кражи официальных твитов проекта:

22 декабря заподозрили кражу официального аккаунта X-платформы ARPG-игры "SERAPH: In the Darkness", посвященной поиску сокровищ. Пользователям рекомендуется пока не нажимать на ссылки, размещенные на этом аккаунте.

25 декабря возникли подозрения в краже официального твита децентрализованного финансового протокола Set Protocol, а также было опубликовано несколько твитов, содержащих фишинговые ссылки.

30 декабря заподозрили, что официальный твит кредитной платформы DeFi Compound был украден, и был опубликован твит, содержащий фишинговую ссылку, но разрешение на комментарии не было открыто. BlockBeats напоминает пользователям обращать внимание на безопасность активов и не нажимать на фишинговые ссылки.

Даже охранные компании не застрахованы. 5 января аккаунт CertiK в Твиттере был скомпрометирован. Опубликовано ложное сообщение о том, что контракт маршрутизатора Uniswap оказался уязвимым для повторного входа. Ссылка, прикрепленная к RevokeCash, является фишинговой. В ответ на кражу CertiK заявила на своей социальной платформе: «Проверенная учетная запись, связанная с известным СМИ, связалась с сотрудником CertiK, однако учетная запись, похоже, была скомпрометирована, что привело к фишинговой атаке на наших сотрудников. CertiK быстро обнаружил уязвимость и удалил соответствующие твиты в течение нескольких минут. Расследование показало, что это была масштабная и продолжительная атака. По мнению следствия, инцидент не причинил существенного ущерба».

6 января, согласно отзывам сообщества, официальный твит Sharky, протокола экологического NFT-кредитования Solana, был взломан и размещена фишинговая ссылка.Пользователям рекомендуется не переходить по ссылкам, размещенным в официальном твите.