從 Bitget 案例看黑客釣魚新趨勢：高仿帳號識別與安全防護指南

作者：Bitget
最近幾個月，越來越多加密項目、從業者，以及政客、明星的社交媒體帳號被盜，隨後發布詐騙信息。近期，部分Bitget員工親歷了類似的釣魚攻擊，在找回帳號後，我們逐漸抽絲剝繭，發現黑客的新型攻擊手法不斷升級，已具有高度的迷惑性和隱蔽性。因此，我們準備了這篇文章，希望為整個行業的安全防護助力。

Bitget員工遭遇釣魚攻擊

5月中旬，一位負責商務拓展的Bitget員工收到來自合作方的推特私信，邀請他討論一個潛在的合作。雙方很快約定好會議時間，並展開了會議。會議中，對方發送了一些安裝文件，以"功能測試"的名義，邀請Bitget員工體驗。
之後的幾天中，該員工陸續收到來自朋友和行業夥伴的詢問 ------ 你是不是給我發了一條奇怪的推特私信？意識到異常後，他與Bitget安全團隊快速行動，通過綁定的郵箱等信息找回了帳號。

針對加密推特帳號的黑客攻擊及獲利方式

在隨後的安全排查中，我們逐漸復盤出詳細的黑客攻擊手法，以及他們如何從中獲利：
第一步：黑客通過已掌握的社交媒體帳號，向"受害者"發送私信，引導其 聯繫 某Telegram帳號，進一步商討合作

❗ 安全 提醒 ：

1. 這些私信不一定來自可疑的小號，甚至可能來自驗證過的官方帳號，但詐騙的私信並非官方團隊發送
2. 此時，黑客已悄悄掌握這些官方帳號的權限，並引導受害者前往Telegram進行下一步的詐騙
3. 黑客通常會在發送私信後立即刪除，因此即使黑客可能已經發送了數百條私信，號主都並未察覺
   第二步：受害人 聯繫 黑客的Telegram後，對方會提議進行在線 會議 ，並在會議中邀請下載和安裝特定文檔
   ❗ 安全 提醒 ：
4. 黑客的Telegram通常會偽裝成某真實的員工，相關信息或許來自LinkedIn等平台，其帳號ID可能與真實員工高度相似，比如混淆I（大寫的i）和l（小寫的L）
5. 黑客會在安裝文件裡植入了惡意代碼，誘騙受害者安裝，從而獲取其電腦訪問權限，並進一步盜取社交媒體帳號，甚至是加密貨幣或法幣資產
   第三步：獲取受害者設備權限後，黑客會先嘗試直接盜取資產。隨後，其會通過受害者的推特和Telegram帳號，物色新的受害者，並通過該帳號發送推特私信，引導其 聯繫 黑客控制的Telegram帳號，以便進行後續的詐騙
   ❗ 安全 提醒 ：
6. 如此前提到的，黑客會在發送私信後立即刪除，讓號主難以察覺自己的帳號已被入侵
7. 這也解釋了為何詐騙信息可能來自驗證後的官方帳號，而這些帳號卻沒有採取任何措施 ------ 他們也還蒙在鼓裡
   第四步：當下一位受害者與黑客在Telegram上建立 聯繫 後，黑客會根據其偽裝的身份，選擇恰當的詐騙方式
   ❗ 安全 提醒 ：
8. 若黑客偽裝成交易所的工作人員，通常會以上幣合作的名義，誘騙受害者轉帳
9. 若黑客偽裝成項方的工作人員，通常會以參加早期投資的名義，誘騙受害者轉帳
10. 若黑客偽裝成投資機構的工作人員，通常會以投資合作等名義，誘騙受害者轉帳
11. 若其偽裝的身份難以直接完成金錢獲利，則將以此為踏板，誘騙其關係網內的其他人安裝木馬程序，進而獲取對方帳號權限，成為黑客新的詐騙工具

小結

本文提到的黑客攻擊和獲利手法，與以往的相同點是，黑客依然需要通過植入木馬（安裝特定的文件）的方式，實現對受害者設備的控制。但不同的是，黑客在手法上做了諸多優化：

1. 透過已掌握的驗證推特帳號私信受害者，可以大幅增加可信度，提升詐騙成功率
2. 私信後立即刪除，讓號主察覺不到異常，從而長期潛伏在該帳號中 ------ 過往的案例中，黑客獲取帳號後可能立即發布詐騙推文，以虛假活動、Scam代幣等方式，快速收割，但該方式也會立即驚動號主與公眾，引起警惕
3. 黑客用於與受害者進一步溝通的Telegram帳號也經過精心偽裝，通常會使用與官方人員高度相似的ID

如何識別與防範類似的 釣魚 攻擊

1. 警惕 各種 邀約， 即使其來自"官方"帳號。在接收到邀約時，多從其他渠道確認邀約人的身份。如果是"熟人"，聊天之前先看看之前的聊天記錄是否還存在。
2. 不要 隨意 下載和打開 對方在 會議 中 發給你的文件 。如果需要安裝Teams或者Zoom之類的會議客戶端，請到Teams或者Zoom的官網下載，這一點非常重要。
3. 在交流過程中，僅授權視頻和語音的權限 。不要給予Zoom或者Teams其他權限，防止黑客可以遠程控制你的電腦。
4. 交流期間不要因為任何原因遠離電腦 。如果實在需要，可以找另外一個人一起看著螢幕，小心黑客趁你不在，操作你的電腦。
5. 不要備份助記詞到電腦或者手機中，能啟用MFA（多因素認證）的地方儘量啟用。
6. 涉及資金的手機使用iPhone並升級到最新版本，打開鎖定模式，儘可能少用於對外交流，並與工作及社交的電腦或手機分開。

帳號被盜？如何快速應對，降低損失

即使防護得再嚴密，仍然有可能"中招"。一旦發現帳號被盜，反應速度將決定損失的程度。

1. 關閉電腦，斷網，及時阻斷黑客對電腦的侵害。
2. 資金安全檢查（如涉及錢包授權），攻擊者有可能接觸了你的本地錢包（如瀏覽器插件、私鑰存儲），應立即將資產轉移到全新錢包（建議重新生成私鑰，不使用同一助記詞）。
3. 立即在其他設備/郵箱中找回帳號。趁帳號登錄狀態未失效，使用綁定郵箱或手機號登錄並重置密碼，並立刻退出所有其他設備的會話。一旦找回帳號，第一時間關閉所有第三方登錄授權，防止黑客繼續操控帳戶。
4. 通報並警示身邊人。提醒他人不要相信近期的私信內容，同時標記異常帳號，讓更多人知情避免連鎖受害。