加密推特盗号频发，复盘黑客的新型攻击及获利手法

最近几个月，越来越多加密项目、从业者，以及政客、明星的社交媒体账号被盗，随后发布诈骗信息。近期，部分 Bitget 员工亲历了类似的钓鱼攻击，在找回账号后，我们逐渐抽丝剥茧，发现黑客的新型攻击手法不断升级，已具有高度的迷惑性和隐蔽性。因此，我们准备了这篇文章，希望为整个行业的安全防护助力。

Bitget 员工遭遇钓鱼攻击

5 月中旬，一位负责商务拓展的 Bitget 员工收到来自合作方的推特私信，邀请他讨论一个潜在的合作。双方很快约定好会议时间，并开展了会议。会议中，对方发送了一些安装文件，以“功能测试”的名义，邀请 Bitget 员工体验。

之后的几天中，该员工陆续收到来自朋友和行业伙伴的问询 —— 你是不是给我发了一条奇怪的推特私信？意识到异常后，他与 Bitget 安全团队快速行动，通过绑定的邮箱等信息找回了账号。

针对加密推特账号的黑客攻击及获利方式

在随后的安全排查中，我们逐渐复盘出详细的黑客攻击手法，以及他们如何从中获利：

第一步：黑客通过已掌握的社交媒体账号，向“受害者”发送私信，引导其 联系 某 Telegram 账号，进一步商讨合作

安全提醒 ：

1. 这些私信不一定来自可疑的小号，甚至可能来自验证过的官方账号，但诈骗的私信并非官方团队发送

2. 此时，黑客已悄悄掌握这些官方账号的权限，并引导受害者前往 Telegram 进行下一步的诈骗

3. 黑客通常会在发送私信后立即删除，因此即使黑客可能已经发送了数百条私信，号主都并未察觉

   第二步：受害人 联系 黑客的 Telegram 后，对方会提议进行在线 会议 ，并在会议中邀请下载和安装特定文档

   安全提醒 ：

   1. 黑客的 Telegram 通常会伪装成某真实的员工，相关信息或许来自 LinkedIn 等平台，其账号 ID 可能与真实员工高度相似，比如混淆 I（大写的 i）和 l（小写的 L）

   2. 黑客会在安装文件里植入了恶意代码，诱骗受害者安装，从而获取其电脑访问权限，并进一步盗取社交媒体账号，甚至是加密货币或法币资产

      第三步：获取受害者设备权限后，黑客会先尝试直接盗取资产。随后，其会通过受害者的推特和 Telegram 账号，物色新的受害者，并通过该账号发送推特私信，引导其 联系 黑客控制的 Telegram 账号，以便进行后续的诈骗

      安全提醒 ：

      1. 如此前提到的，黑客会在发送私信后立即删除，让号主难以察觉自己的账号已被入侵

      2. 这也解释了为何诈骗信息可能来自验证后的官方账号，而这些账号却没有采取任何措施 —— 他们也还蒙在鼓里

         第四步：当下一位受害者与黑客在 Telegram 上建立 联系 后，黑客会根据其伪装的身份，选择恰当的诈骗方式

         安全提醒 ：

         1. 若黑客伪装成交易所的工作人员，通常会以上币合作的名义，诱骗受害者转账

         2. 若黑客伪装成项目方的工作人员，通常会以参加早期投资的名义，诱骗受害者转账

         3. 若黑客伪装成投资机构的工作人员，通常会以投资合作等名义，诱骗受害者转账

         4. 若其伪装的身份难以直接完成金钱获利，则将以此为踏板，诱骗其关系网内的其他人安装木马程序，进而获取对方账号权限，成为黑客新的诈骗工具

            小结

            本文提到的黑客攻击和获利手法，与以往的相同点是，黑客依然需要通过植入木马（安装特定的文件）的方式，实现对受害者设备的控制。但不同的是，黑客在手法上做了诸多优化：

            1. 通过已掌握的验证推特账号私信受害者，可以大幅增加可信度，提升诈骗成功率

            2. 私信后立即删除，让号主察觉不到异常，从而长期潜伏在该账号中 —— 过往的案例中，黑客获取账号后可能立即发布诈骗推文，以虚假活动、Scam 代币等方式，快速收割，但该方式也会立即惊动号主与公众，引起警惕

            3. 黑客用于与受害者进一步沟通的 Telegram 账号也经过精心伪装，通常会使用与官方人员高度相似的 ID

               如何识别与防范类似的钓鱼攻击

               1. 警惕各种邀约， 即使其来自“官方”账号。在接收到邀约时，多从其他渠道确认邀约人的身份。如果是“熟人”，聊天之前先看看之前的聊天记录是否还存在。

               2. 不要随意下载和打开 对方在 会议 中 发给你的文件 。如果需要安装 Teams 或者 Zoom 之类的会议客户端，请到 Teams 或者 Zoom 的官网下载，这一点非常重要。

               3. 在交流过程中，仅授权视频和语音的权限 。不要给予 Zoom 或者 Teams 其他权限，防止黑客可以远程控制你的电脑。

               4. 交流期间不要因为任何原因远离电脑 。如果实在需要，可以找另外一个人一起看着屏幕，小心黑客趁你不在，操作你的电脑。

               5. 不要备份助记词到电脑或者手机中，能启用 MFA（多因素认证）的地方尽量启用。

               6. 涉及资金的手机使用 iPhone 并升级到最新版本，打开锁定模式，尽可能少用于对外交流，并与工作及社交的电脑或手机分开。

                  账号被盗？如何快速应对，降低损失

                  即使防护得再严密，仍然有可能“中招”。一旦发现账号被盗，反应速度将决定损失的程度。

                  1. 关闭电脑，断网，及时阻断黑客对电脑的侵害。

                  2. 资金安全检查（如涉及钱包授权），攻击者有可能接触了你的本地钱包（如浏览器插件、私钥存储），应立即将资产转移到全新钱包（建议重新生成私钥，不使用同一助记词）。

                  3. 立即在其他设备/邮箱中找回账号。趁账号登录状态未失效，使用绑定邮箱或手机号登录并重置密码，并立刻退出所有其他设备的会话。一旦找回账号，第一时间关闭所有第三方登录授权，防止黑客继续操控账户。

                  4. 通报并警示身边人。提醒他人不要相信近期的私信内容，同时标记异常账号，让更多人知情避免连锁受害。

                     以上案例并非个例，而是整个加密行业每位用户都可能面临的挑战。在 Bitget，我们不仅搭建防护机制，也希望与你一起，把“安全意识”真正变成能力。