诈骗者如何入侵 Twitter 帐户以窃取数字货币

Twitter 对加密骗局保持警惕,这并不是什么新鲜事。过去,埃隆马斯克谈到 Twitter 充斥着加密骗局。“每当有人发布推文时,他们的评论部分很快就会充斥着来自机器人账户的关于虚假加密赠品的消息。这些骗局是旨在窃取加密钱包的恶意链接,以获取有利可图的空投。Twitter 正在采取什么措施来解决这个问题?” 孟买的加密爱好者和NFT收藏家 Shaun Cherian 告诉indianexpress.com。

加密货币诈骗者决心找到创造性的方法来访问加密钱包并窃取数字资产。这些网络犯罪分子在数百条推文的回复中标记用户。黑客劫持 Twitter 上经过验证和未经验证的帐户,以冒充流行的 NFT 项目,包括 Bored Ape Yacht Club (BAYC)、Azukis、MoonBirds 和 OkayBears,通过将用户引导至网络钓鱼站点来窃取用户的加密资产。

另一位 NFT爱好者 Kaushal V 证实,这些诈骗信息在评论区随处可见。“前提很简单。你使用#NFT、#NFT 社区、#crypto 等流行关键字发推文。总是有一些机器人会监控这些推文并快速转发你的推文——之后,诈骗账户会分享一个恶意链接作为免费赠品,”他说。“令人惊讶的是,这些诈骗信息得到的参与度很高。”

“如果 NFT 艺术家在推特上联系你,请务必小心,99% 的情况下这是一个骗局。网络犯罪分子往往会提供非常高的补偿来引诱您,然后向您发送一封包含恶意软件的电子邮件,一旦您打开该电子邮件,他们就会入侵您的计算机,您最终可能会丢失所有加密货币和 NFT,”说Aahil Vir,一位生动的 NFT 收藏家。

网络安全研究公司 Tenable 的研究工程师 Satnam Narang 阐明了 NFT 和加密诈骗如何在 Twitter 上运作。黑客首先购买经过验证的 Twitter 帐户或拥有数十万粉丝的帐户。之后,他们将帐户转向模拟著名的 NFT 项目。

慢慢地,这些帐户开始发布有关即将举行或最近举行的空投或项目的推文,并带有指向网络钓鱼网站的链接。NFT 或加密空投承诺提供免费的加密代币或 NFT,要求用户连接他们的加密钱包。现在为了引起注意,诈骗者利用大量虚假账户在数百条诈骗推文中转发和标记用户。然后,诈骗者等待用户点击网络钓鱼链接并授予对其加密货币钱包的访问权限,从而开始窃取 NFT 和数字货币。

根据 Narang 的说法,其中一些蓝筹 NFT 项目的成功通过促进即将与他们自己的元节的集成为更广泛的采用铺平了道路,为诈骗者提供了充分的机会来利用有关这些项目的新公告或传闻公告。根据研究,这些骗局以许多不同的方式发生。

需要注意的是,这些钓鱼网站与合法的 NFT 项目网站无法区分,这使得普通的加密货币爱好者很难将它们区分开来。

“与其依赖传统的用户名和密码,不如说服用户连接他们的加密货币钱包。通过这样做,诈骗者可以转移以太坊 ($ETH) 或 Solana ($SOL) 等数字货币,以及这些钱包中持有的任何 NFT,”Narang 在博客文章中写道。

有趣的是,诈骗者还利用潜在诈骗者的威胁作为他们“清理”或“关闭”评论或回复推文的理由,从而表现得像好撒玛利亚人。研究人员补充说:“一旦他们植入了其中一些虚假推文,他们就会利用内置的 Twitter 功能进行对话,以限制谁可以回复他们的推文,从而防止用户警告其他人潜在的欺诈行为。”

“作为一名 NFT 艺术家,每当有人进行销售时,很自然地会给收藏家贴上标签并谈论销售。这个想法是为了让更多的收藏家感兴趣,但同样的帖子也吸引了诈骗者,他们然后私信你做佣金,或者发送链接,导致网络钓鱼诈骗。如果有人想购买您的艺术品,请让他们通过区块链购买,做任何其他您向骗子敞开心扉利用的事情。当我发布有关销售或新系列的信息时,我会在 Twitter 和 Instagram 上收到大量邮件和 DM。我验证 ID 或直接阻止它们。最好不要以这种方式进行销售,否则会被骗,”通过 Foundation 和 OpenSea 销售的丙烯酸和形象艺术家 Winsomepriyanka 告诉 indianexpress.com。

今年 4 月,北方邦首席部长 Yogi Adityanath 的推特账户遭到入侵。他的头像被替换为无聊的猿游艇俱乐部 NFT,用于推广 Azuki NFT 项目的网络钓鱼站点。去年年底,拥有超过 7000 万粉丝的印度总理纳伦德拉·莫迪 ( Narendra Modi ) 的推特账户遭到短暂黑客攻击。攻击者声称印度已经接受比特币作为法定货币并将其分发给公民。

推特能做什么?

Narang 认为 Twitter 可以通过多种方式进行干预,以使诈骗者在处理这些冒充行为时变得更加困难。“让所有用户都可以使用 NFT 个人资料图片功能,而不仅仅是 Twitter Blue 的付费会员。因为区块链旨在帮助验证信任,所以允许每个人使用此功能将提供一种机制,用户可以通过该机制验证来自使用 BAYC 个人资料图片的某人的推文的真实性,”他指出。

他建议 Twitter 暂时隐藏更改个人资料图片和名称的已验证帐户的推文和个人资料。“通过在他们对个人资料进行此类更改时暂时隐藏这些推文和个人资料,Twitter 将让其滥用团队有机会在诈骗者造成严重破坏之前手动审查这些更改,”他解释道。

最后,注意推文上的大规模标记等信号。例如,如果一条推文收到标记多个用户的回复,则将原始推文/帐户和后续回复标记为可疑。

“如果你在推文中被主动标记,你应该高度怀疑其背后的动机,即使它来自经过验证的推特账户。查找原始项目的网站以及您在 Twitter 上看到的与官方网站上的链接共享的交叉引用链接。诈骗者还将依靠紧迫性来尝试在该领域向用户施加压力。如果发生 NFT 铸币厂,他们会说剩下的点数有限。这种紧迫性使得利用想要错过机会的用户变得更加容易。最终,如果某件事听起来好得令人难以置信,那很可能就是这样,”他总结道。

Related Posts