作者:Christoper Rosa

編譯:AididiaoJP,Foresight News

連這位網絡安全專家都險些中招

上週末,有消息稱一個包含 160 億條用戶身份的龐大數據集開始在網上傳播,其中既包含過去泄露的信息,也含有新近盜取的登錄數據。目前尚不清楚是誰更新了這個數據集並將其重新發布。雖然該數據庫中大部分是過往數據泄露事件的重新整理,但再次更新的數據讓人感到不安。這個數據集被視爲有史以來最大規模的單一泄露賬戶集合之一。

黑客們正在利用這些數據做出多種攻擊,而我成爲了他們的目標之一。

6 月 19 日針對我個人設備和賬戶發起的釣魚攻擊,是我十年網絡安全職業生涯中遭遇過最精密的攻擊。攻擊者首先製造出我的賬戶正在多個平臺遭受攻擊的假象,隨後冒充 Coinbase 員工主動提供「幫助」。他們將經典的社會工程學手段與跨短信、電話和僞造郵件的協同戰術相結合,所有設計都旨在營造虛假的緊迫感、可信度和規模效應。這場虛假攻擊波及面廣且極具權威性,而這正是攻擊如此具有欺騙性的關鍵所在。

下文將詳細還原攻擊過程,剖析我在此過程中察覺的危險信號,以及我採取的防護措施。同時我將分享關鍵教訓和實用建議,幫助加密投資者在攻擊不斷升級的威脅環境中保障安全。

歷史數據與新近泄露的數據可被黑客用於實施高度定向的多渠道攻擊。再次印證了分層安全防護、清晰的用戶溝通機制和實時響應策略的重要性。無論是機構還是個人用戶,都能從這個案例中獲得實用工具,包括驗證協議、域名識別習慣和響應步驟,這些能幫助防止一時疏忽演變成重大安全漏洞。

SIM 卡劫持

攻擊始於美國東部時間週四下午 3:15 左右,一條匿名短信說有人正試圖誘騙移動運營商將我的電話號碼泄露給他人,這種攻擊手段被稱爲 SIM 交換。

請注意這條信息並非來自短信號碼,而是一個常規的 10 位數電話號碼。正規企業發送短信都會使用短代碼。如果你收到來自未知標準長度號碼、聲稱是企業的短信,極可能是詐騙或釣魚嘗試。

這些信息還包含自相矛盾的內容。首條短信顯示泄露來自舊金山灣區,而後續消息卻說發生在阿姆斯特丹。

SIM 交換一旦成功將極其危險,因爲攻擊者可獲取多數公司用於重置密碼或訪問賬戶的一次性驗證碼。不過這次並非真實的 SIM 交換,黑客是在爲後續更精密的騙局做鋪墊。

一次性驗證碼與密碼重置

攻擊隨後升級,我陸續收到據稱來自 Venmo 和 PayPal 的一次性驗證碼,通過短信和 WhatsApp 發送。這是讓我相信有人正嘗試登錄我在各個金融平臺的賬戶。與可疑的運營商短信不同,這些驗證碼確實來自看似合法的短代碼。

Coinbase 釣魚電話

收到短信約五分鐘後,我接到了一個加州號碼的來電。自稱「Mason」的來電者操着純正的美式口音,聲稱來自 Coinbase 調查團隊。他說過去 30 分鐘內,通過 Coinbase 聊天窗口出現了超過 30 次嘗試重置密碼併入侵賬戶的行爲。據「Mason」描述,所謂攻擊者已通過密碼重置的第一層安全驗證,但在第二層認證時失敗。

他告訴我,對方能提供我身份證後四位、完整駕照號碼、家庭住址和全名,但未能給出完整身份證號碼或關聯 Coinbase 賬戶的銀行卡後四位。Mason 解釋稱,正是這個矛盾觸發了 Coinbase 安全團隊的警報,促使他們聯繫我以驗證真假。

像 Coinbase 這樣的正規交易所絕不會主動致電用戶,除非你通過官網發起服務請求。瞭解更多交易所客服規範,請閱讀這份Coinbase 文檔。

安全檢查

告知這個「壞消息」後,Mason 提出通過封鎖額外攻擊渠道來保護我的賬戶。他從 API 連接和關聯錢包着手,聲稱將撤銷它們的訪問權限以降低風險。他列舉了多個連接對象,包括 Bitstamp、TradingView、MetaMask 錢包等,其中有些我並不認識,但我假設可能是自己曾經設置卻忘記了。

此時我的戒備心已降低,甚至因 Coinbase「主動保護」而感到安心。

至此 Mason 尚未索要任何個人信息、錢包地址、雙重驗證碼或一次性密碼,這些通常都是釣魚者的常見索要信息,整個互動過程安全性很高且具有預防性。

隱性施壓手段

接下來出現了首次施壓嘗試,通過製造緊迫感和脆弱感。完成所謂「安全檢查」後,Mason 聲稱由於我的賬戶被標記爲高風險,Coinbase One 訂閱服務的賬戶保護已被終止。這意味着我的 Coinbase 錢包資產不再受 FDIC 保險覆蓋,若攻擊者成功盜取資金,我將無法獲得任何賠償。

現在回想起來這套說辭本應成爲明顯的破綻。與銀行存款不同,加密資產從來不受 FDIC 保險保護,雖然 Coinbase 可能將客戶美元存放在 FDIC 承保銀行,但交易所本身並非受保機構。

Mason 還警告 24 小時倒計時已經開始,逾期賬戶將被鎖定。解鎖將需要複雜冗長的流程。更可怕的是,他聲稱若攻擊者在此期間獲取我的完整社會安全號,甚至能在賬戶凍結狀態下盜取資金。

後來我諮詢真正的 Coinbase 客服團隊得知,鎖定賬戶正是他們推薦的安全措施。解鎖過程其實簡單安全:提供身份證照片和自拍,交易所驗證身份後即可快速恢復訪問。

隨後我收到兩封郵件。第一封是 Coinbase Bytes 新聞訂閱確認函,這只是攻擊者通過官網表單提交我的郵箱觸發的正常郵件。這顯然是企圖用 Coinbase 官方郵件混淆我的判斷,以增強騙局可信度。

第二封更令人不安的郵件來自 [email protected],聲明我的 Coinbase One 賬戶保護已被取消。這封看似來自正規 Coinbase 域名的郵件極具迷惑性——若來自可疑域名本可輕易識破,但因其顯示爲官方地址而顯得真實可信。

建議的補救措施

Mason 接着提議將我的資產轉入名爲 Coinbase Vault 的多籤錢包來確保安全。他甚至讓我谷歌搜索「Coinbase Vault」查閱官方文檔,以證明這是 Coinbase 多年來的正規服務。

我表示在未充分調查前不願做如此重大變更。他表示理解並鼓勵我仔細研究,同時支持我先聯繫運營商防範 SIM 交換。他稱 30 分鐘後會回電繼續後續步驟。掛斷後我立即收到短信確認此次通話及預約。

回電與 Coinbase Vault

確認運營商處無 SIM 轉移嘗試後,我立即修改了所有賬戶密碼。Mason 如約回電,我們開始討論下一步。

此時我已覈實 Coinbase Vault 確爲 Coinbase 提供的真實服務,這是一種通過多籤授權和 24 小時延遲提現增強安全性的託管方案,但並非真正的自託管冷錢包。

Mason 隨後發來 vault-coinbase.com 的鏈接,聲稱可複查首次通話中討論的安全設置。完成複查後即可將資產轉入 Vault,此刻我的網絡安全的專業性終於出現。

輸入他提供的案例編號後,打開的頁面顯示着所謂的「已移除 API 連接」和「創建 Coinbase Vault」按鈕。我立即檢查網站 SSL 證書,發現這個註冊僅一個月的域名與 Coinbase 毫無關聯。雖然 SSL 證書通常能營造合法性假象,但正規企業證書都有明確歸屬,這一發現讓我立即停止操作。

Coinbase明確表示絕不會使用非官方域名。即便使用第三方服務,也應是 vault.coinbase.com 這類子域名。涉及交易所賬戶的任何操作都應通過官方 APP 或網站進行。

我向 Mason 表明疑慮,強調只願通過官方 APP 操作。他辯稱 APP 操作會導致 48 小時延遲,而賬戶 24 小時後就將鎖定。我再次拒絕倉促決定,他遂表示將案例升級至「三級支持團隊」嘗試恢復我的 Coinbase One 保護。

掛斷電話後,我持續驗證其他賬戶安全,不安感愈發強烈。

「三級支持團隊」來電

約半小時後,德州號碼來電。另一位美式口音者自稱三級調查員,正處理我的 Coinbase One 恢復申請。他聲稱需要 7 天審覈期,期間賬戶仍無保險。他還「貼心」建議爲不同鏈上資產開設多個 Vault,看似專業,實則從未提及具體資產,僅模糊指稱「以太坊、比特幣等」。

他提到將向法務部門申請發送聊天記錄,隨後又開始推銷 Coinbase Vault。作爲備選,他推薦了名爲 SafePal 的第三方錢包,雖然 SafePal 確是正規硬件錢包,但這顯然是爲騙取信任的鋪墊。

當我再次質疑 vault-coinbase.com 域名時,對方仍試圖消除疑慮。至此攻擊者可能意識到難以得逞,最終放棄了本次的釣魚攻擊。

聯繫 Coinbase 真客服

與第二位假客服結束通話後,我立即通過 Coinbase.com 提交申請。真正的客服代表迅速確認我的賬戶並無異常登錄或密碼重置請求。

他建議立即鎖定賬戶,並收集攻擊詳情提交調查團隊。我提供了所有欺詐域名、電話號碼和攻擊途徑,特別詢問了 [email protected] 的發件權限問題。客服承認這非常嚴重,承諾安全團隊將徹底調查。

聯繫交易所或託管商客服時,務必通過官方渠道。正規企業絕不會主動聯繫用戶。

經驗總結

雖然僥倖未受騙,但作爲前網絡安全從業者,這次險些中招的經歷令我深感不安。若非專業訓練,我可能已被騙。若僅是普通陌生來電,我定會直接掛斷。正是攻擊者精心設計的連環行動,營造出緊迫感和權威性,才使得這場釣魚如此危險。

我總結出以下危險信號和防護建議,希望能幫助加密投資者在當前網絡環境中保障資金安全。

危險信號

協同虛假警報製造混亂與緊迫感

攻擊者首先通過一系列 SIM 卡交換警報和來自 Venmo、PayPal 等服務的一次性驗證碼請求(同時通過短信和 WhatsApp 發送),刻意製造多個平臺同時遭受攻擊的假象。這些信息很可能僅需獲取我的手機號碼和電子郵箱即可觸發,這些信息很容易被獲取。在此階段,我認爲攻擊者尚未掌握更深層的賬戶數據。

短代碼與普通電話號碼混用

釣魚信息採用了 SMS 短代碼和常規電話號碼的組合發送。雖然企業通常使用短代碼進行官方通訊,但攻擊者可以僞造或回收利用這些短代碼。但需要注意的是,正規服務永遠不會使用普通電話號碼發送安全警報。來自標準長度號碼的信息應始終保持懷疑態度。

要求通過非官方或不熟悉的域名進行操作

攻擊者要求我訪問託管在 vault-coinbase.com 上的釣魚網站,這個域名初看似乎正常,但實際上與 Coinbase 毫無關聯。在輸入任何信息前,務必仔細檢查域名名稱和 SSL 證書。涉及敏感賬戶的操作應僅在公司的官方域名或應用程序上進行。

未經請求的來電和後續通訊

Coinbase 和大多數其他金融機構絕不會在你未主動發起支持請求的情況下致電。接到自稱來自「三級調查團隊」的電話是一個重大危險信號,特別是當這種來電與恐嚇策略和複雜的賬戶保護說明同時出現時。

未經請求的緊急情況和後果警告

網絡釣魚攻擊者經常利用恐懼和緊迫感迫使受害者在未加思考的情況下采取行動。在本案例中,關於賬戶鎖定、資產被盜和保險覆蓋被取消的威脅都是典型的社會工程學手段。

要求繞過官方渠道

任何建議避免使用公司官方應用程序或網站的說辭,特別是當這些建議聲稱提供「更快」或「更安全」的替代方案時,都應該立即引起警覺。攻擊者可能會提供看似合法但實際上指向惡意域名的鏈接。

未經覈實的案件編號或支持工單

提供「案件編號」來介紹一個定製構建的網絡釣魚門戶,這種做法制造了合法性的假象。沒有任何正規服務會要求用戶通過帶有案件編號的外部定製鏈接來驗證身份或執行操作。

真假信息混雜

攻擊者經常將真實的個人信息(如電子郵箱或部分社會安全號碼)與模糊或不準確的信息混合使用,以增強可信度。任何不一致之處或對「鏈」、「錢包」或「安全審查」的模糊提及都應引起懷疑。

在替代方案建議中使用真實公司名稱

引入像 SafePal 這樣可信的名稱(即使這些公司確實合法)可能是一種轉移注意力的策略。這種做法在提供看似有選擇餘地和合法性的同時,實際上將受害者導向惡意操作。

過度熱心卻不進行驗證

攻擊者表現得很有耐心,鼓勵我自己進行研究,而且最初並未索要敏感信息。這種行爲模仿了真正的客服人員,使得騙局顯得很專業。任何「好得不像真的」的未經請求的幫助都應引起懷疑。

主動防護措施和建議

在交易所啓用交易級驗證

在交易所設置中啓用雙重認證和基於驗證碼的驗證。這確保任何嘗試發送或轉移資金的操作都需要發送到你信任的設備進行實時確認,從而防止未經授權的交易。

始終通過合法、已驗證的渠道聯繫服務提供商

在本案例中,我通過直接登錄官方平臺並提交支持請求來聯繫我的移動服務提供商和 Coinbase。當賬戶安全受到威脅時,這是與客服人員互動最安全也是唯一恰當的方式。

交易所客服人員絕不會要求你移動、訪問或保護資金

他們也不會要求或提供你的錢包助記詞,不會索要你的雙重驗證碼,更不會試圖遠程訪問或在你的設備上安裝軟件。

考慮使用多重簽名錢包或冷錢包儲存解決方案

多重簽名錢包需要多方批准才能授權交易,而冷錢包則使你的私鑰完全保持離線狀態。這兩種方法都能有效保護長期持有的資產免受遠程釣魚或惡意軟件攻擊。

收藏官方網址並避免點擊來自未經請求信息的鏈接

手動輸入網址或使用可信的收藏夾是避免域名欺騙的最佳方式。

使用密碼管理器識別可疑網站並維護強密碼

密碼管理器通過在虛假或未知域名上拒絕自動填充來幫助防止釣魚嘗試。定期更換密碼,如果懷疑遭受惡意攻擊,應立即更改密碼。

定期審查關聯應用、API 密鑰和第三方集成

撤銷任何你不再使用或無法識別的應用或服務的訪問權限。

在可用處啓用實時賬戶提醒

登錄、提款或安全設置變更的通知能提供未經授權活動的關鍵早期預警。

向服務提供商的官方支持團隊報告所有可疑活動

早期報告有助於防止更廣泛的攻擊,併爲平臺整體的安全防護做出貢獻。

結論

對於金融機構、IT 安全團隊和高管層來說,這次攻擊突顯了歷史數據在被重新利用並與實時社會工程學相結合時,黑客能夠繞過甚至最成熟的安全防護。威脅行爲者不再僅僅依賴暴力攻擊,而是執行協調的跨渠道策略,通過模仿合法工作流程來獲取信任並欺騙用戶。

我們不僅要保護系統和網絡安全,還要識別威脅並採取行動保護自己。無論是在加密機構上班還是在家管理加密資產,每個人都必須理解個人安全漏洞如何演變成系統性風險的。

爲了防範這些威脅,機構必須分層防禦,如域名監控、自適應認證、防釣魚的多因素認證以及清晰的通訊協議。同樣重要的是企業必須培養網絡安全素養文化,讓從工程師到高管的每個員工都理解自己在保護企業中的角色。在當今環境中,安全不僅是一項技術職能,更是從個人到整個組織都需要共同承擔的責任。