當這 10 個危險訊號出現時,說明你可能已經被駭客盯上了。本文源自 Christoper Rosa,由 AididiaoJP,Foresight News 整理、編譯及撰稿。 (前情提要:伊朗宣佈「晚上禁用加密貨幣」,以色列駭客燒毀Nobitex 1億美元引爆鏈上戰火 ) (背景補充:冷錢包Trezor警告:駭客假冒官方信進行釣魚攻擊,切勿分享錢包私鑰 ) 上週末有訊息稱一個包含 160 億條使用者身份的龐大資料集開始在網上傳播,其中既包含過去洩露的資訊,也含有新近盜取的登入資料。目前尚不清楚是誰更新了這個資料集並將其重新發布。雖然該資料庫中大部分是過往資料洩露事件的重新整理,但再次更新的資料讓人感到不安。這個資料集被視為有史以來最大規模的單一洩露帳戶集合之一。 駭客們正在利用這些資料做出多種攻擊,而我成為了他們的目標之一。 6 月 19 日針對我個人裝置和帳戶發起的釣魚攻擊,是我十年網路安全職業生涯中遭遇過最精密的攻擊。攻擊者首先製造出我的帳戶正在多個平臺遭受攻擊的假象,隨後冒充 Coinbase 員工主動提供「幫助」。他們將經典的社會工程學手段與跨簡訊、電話和偽造郵件的協同戰術相結合,所有設計都旨在營造虛假的緊迫感、可信度和規模效應。這場虛假攻擊波及面廣且極具權威性,而這正是攻擊如此具有欺騙性的關鍵所在。 下文將詳細還原攻擊過程,剖析我在此過程中察覺的危險訊號,以及我採取的防護措施。同時我將分享關鍵教訓和實用建議,幫助加密投資者在攻擊不斷升級的威脅環境中保障安全。 歷史資料與新近洩露的資料可被駭客用於實施高度定向的多渠道攻擊。再次印證了分層安全防護、清晰的使用者溝通機制和即時響應策略的重要性。無論是機構還是個人使用者,都能從這個案例中獲得實用工具,包括驗證協議、域名識別習慣和響應步驟,這些能幫助防止一時疏忽演變成重大安全漏洞。 SIM 卡劫持 攻擊始於美國東部時間週四下午 3:15 左右,一條匿名簡訊說有人正試圖誘騙移動運營商將我的電話號碼洩露給他人,這種攻擊手段被稱為 SIM 交換。 請注意這條資訊並非來自簡訊號碼,而是一個常規的 10 位數電話號碼。正規企業傳送簡訊都會使用短程式碼。如果你收到來自未知標準長度號碼、聲稱是企業的簡訊,極可能是詐騙或釣魚嘗試。 這些資訊還包含自相矛盾的內容。首條簡訊顯示洩露來自舊金山灣區,而後續訊息卻說發生在阿姆斯特丹。 SIM 交換一旦成功將極其危險,因為攻擊者可獲取多數公司用於重置密碼或訪問帳戶的一次性驗證碼。不過這次並非真實的 SIM 交換,駭客是在為後續更精密的騙局做鋪墊。 一次性驗證碼與密碼重置 攻擊隨後升級,我陸續收到據稱來自 Venmo 和 PayPal 的一次性驗證碼,通過簡訊和 WhatsApp 傳送。這是讓我相信有人正嘗試登入我在各個金融平臺的帳戶。與可疑的運營商簡訊不同,這些驗證碼確實來自看似合法的短程式碼。 Coinbase 釣魚電話 收到簡訊約五分鐘後,我接到了一個加州號碼的來電。自稱「Mason」的來電者操著純正的美式口音,聲稱來自 Coinbase 調查團隊。他說過去 30 分鐘內,通過 Coinbase 聊天窗口出現了超過 30 次嘗試重置密碼並入侵帳戶的行為。據「Mason」描述,所謂攻擊者已通過密碼重置的第一層安全驗證,但在第二層認證時失敗。 他告訴我,對方能提供我身份證後四位、完整駕照號碼、家庭住址和全名,但未能給出完整身份證號碼或關聯 Coinbase 帳戶的銀行卡後四位。Mason 解釋稱,正是這個矛盾觸發了 Coinbase 安全團隊的警報,促使他們聯絡我以驗證真假。 像 Coinbase 這樣的正規交易所絕不會主動致電使用者,除非你通過官網發起服務請求。瞭解更多交易所客服規範,請閱讀這份 Coinbase 文件。 安全檢查 告知這個「壞訊息」後,Mason 提出通過封鎖額外攻擊渠道來保護我的帳戶。他從 API 連線和關聯錢包著手,聲稱將撤銷它們的訪問許可權以降低風險。他列舉了多個連線物件,包括 Bitstamp、TradingView、MetaMask 錢包等,其中有些我並不認識,但我假設可能是自己曾經設定卻忘記了。 此時我的戒備心已降低,甚至因 Coinbase「主動保護」而感到安心。 至此 Mason 尚未索要任何個人資訊、錢包地址、雙重驗證碼或一次性密碼,這些通常都是釣魚者的常見索要資訊,整個互動過程安全性很高且具有預防性。 隱性施壓手段 接下來出現了首次施壓嘗試,通過製造緊迫感和脆弱感。完成所謂「安全檢查」後,Mason 聲稱由於我的帳戶被標記為高風險,Coinbase One 訂閱服務的帳戶保護已被終止。這意味著我的 Coinbase 錢包資產不再受 FDIC 保險覆蓋,若攻擊者成功盜取資金,我將無法獲得任何賠償。 現在回想起來這套說辭本應成為明顯的破綻。與銀行存款不同,加密資產從來不受 FDIC 保險保護,雖然 Coinbase 可能將客戶美元存放在 FDIC 承保銀行,但交易所本身並非受保機構。 Mason 還警告 24 小時倒計時已經開始,逾期帳戶將被鎖定。解鎖將需要複雜冗長的流程。更可怕的是,他聲稱若攻擊者在此期間獲取我的完整社會安全號,甚至能在帳戶凍結狀態下盜取資金。 後來我諮詢真正的 Coinbase 客服團隊得知,鎖定帳戶正是他們推薦的安全措施。解鎖過程其實簡單安全:提供身份證照片和自拍,交易所驗證身份後即可快速恢復訪問。 隨後我收到兩封郵件。第一封是 Coinbase Bytes 新聞訂閱確認函,這只是攻擊者通過官網表單提交我的郵箱觸發的正常郵件。這顯然是企圖用 Coinbase 官方郵件混淆我的判斷,以增強騙局可信度。 第二封更令人不安的郵件來自 [email protected],宣告我的 Coinbase One 帳戶保護已被取消。這封看似來自正規 Coinbase 域名的郵件極具迷惑性 —— 若來自可疑域名本可輕易識破,但因其顯示為官方地址而顯得真實可信。 建...
