Bitgetの事例から見るハッカーのフィッシング新トレンド:高仿アカウントの識別と安全防護ガイド
最近、暗号業界では高仿アカウントによるフィッシング攻撃が頻発しています。ハッカーは認証アカウントの権限を盗み、協力の誘いを名目に被害者に悪意のあるプログラムをインストールさせ、隠れてデバイスの制御権を奪い、連鎖的な詐欺を実行します。本記事はBitgetのセキュリティチームの実戦復盤に基づき、新型攻撃の三大特徴を明らかにします。著者:Bitget
最近数ヶ月、ますます多くの暗号プロジェクト、業界関係者、そして政治家や有名人のソーシャルメディアアカウントがハッキングされ、その後詐欺情報が発信されています。最近、Bitgetの一部の社員も同様のフィッシング攻撃を経験し、アカウントを取り戻した後、徐々に真相を解明し、ハッカーの新しい攻撃手法が常に進化しており、高度な混乱性と隠蔽性を持っていることを発見しました。そこで、私たちはこの記事を準備し、業界全体のセキュリティ対策に貢献したいと考えています。
Bitget社員がフィッシング攻撃に遭遇
5月中旬、ビジネス開発を担当しているBitgetの社員が、パートナーからのTwitterのダイレクトメッセージを受け取り、潜在的な協力について話し合うよう招待されました。双方はすぐに会議の時間を決定し、会議を開始しました。会議中、相手は「機能テスト」という名目でいくつかのインストールファイルを送信し、Bitgetの社員に体験を促しました。
その後数日間、その社員は友人や業界パートナーから「奇妙なTwitterのダイレクトメッセージを送ったの?」という問い合わせを受けました。異常に気づいた彼は、Bitgetのセキュリティチームと迅速に行動し、関連するメールアドレスなどの情報を通じてアカウントを取り戻しました。
暗号Twitterアカウントに対するハッカー攻撃と利益獲得方法
その後のセキュリティ調査の中で、私たちはハッカーの攻撃手法の詳細と、彼らがどのようにして利益を得ているのかを徐々に再構築しました:
第一歩:ハッカーは既に掌握しているソーシャルメディアアカウントを通じて、「被害者」にダイレクトメッセージを送り、 連絡 を取るように誘導し、特定のTelegramアカウントと協力を進める
❗ セキュリティ 警告 :
- これらのダイレクトメッセージは必ずしも疑わしいアカウントから来るわけではなく、公式アカウントからの認証済みのものかもしれませんが、詐欺のダイレクトメッセージは公式チームから送信されたものではありません
- この時点で、ハッカーはこれらの公式アカウントの権限を静かに掌握しており、被害者をTelegramに誘導して次の詐欺を行います
- ハッカーは通常、ダイレクトメッセージを送信した後すぐに削除するため、たとえハッカーが数百件のダイレクトメッセージを送信していても、アカウントの所有者は気づきません
第二歩:被害者がハッカーのTelegramに連絡すると、相手はオンライン 会議 を提案し、会議中に特定の文書のダウンロードとインストールを招待します
❗ セキュリティ 警告 :- ハッカーのTelegramは通常、実際の社員を装い、関連情報はLinkedInなどのプラットフォームから得られ、そのアカウントIDは実際の社員と非常に似ていることがあります(例えば、大文字のIと小文字のlを混同するなど)
- ハッカーはインストールファイルに悪意のあるコードを埋め込み、被害者にインストールを促し、コンピュータへのアクセス権を取得し、さらにソーシャルメディアアカウントや暗号通貨、法定通貨の資産を盗むことができます
第三歩:被害者のデバイス権限を取得した後、ハッカーはまず直接資産を盗むことを試みます。その後、被害者のTwitterとTelegramアカウントを通じて新しい被害者を探し、そのアカウントを使ってTwitterのダイレクトメッセージを送り、ハッカーが制御するTelegramアカウントに 連絡 を取るよう誘導し、後続の詐欺を行います
❗ セキュリティ 警告 :- 前述のように、ハッカーはダイレクトメッセージを送信した後すぐに削除し、アカウントの所有者が自分のアカウントが侵害されたことに気づかないようにします
- これも、詐欺情報が認証済みの公式アカウントから来る可能性がある理由を説明していますが、これらのアカウントは何の対策も講じていないのです ------ 彼らもまだ気づいていません
第四歩:次の被害者がハッカーとTelegramで 連絡 を取ると、ハッカーはその偽装した身分に基づいて適切な詐欺手法を選択します
❗ セキュリティ 警告 :- ハッカーが取引所のスタッフを装っている場合、通常は上場コラボレーションの名目で、被害者に送金を促します
- ハッカーがプロジェクトのスタッフを装っている場合、通常は初期投資に参加する名目で、被害者に送金を促します
- ハッカーが投資機関のスタッフを装っている場合、通常は投資協力などの名目で、被害者に送金を促します
- もしその偽装した身分で直接的に金銭的利益を得ることが難しい場合、これを足がかりにして、関係ネットワーク内の他の人にマルウェアをインストールさせ、その結果、相手のアカウント権限を取得し、ハッカーの新しい詐欺ツールとなります
まとめ
この記事で言及されたハッカーの攻撃と利益獲得手法は、過去のものと同様に、ハッカーは依然としてマルウェアを埋め込む(特定のファイルをインストールする)方法で被害者のデバイスを制御する必要があります。しかし、異なる点は、ハッカーが手法を多く最適化したことです:
- 既に掌握している認証済みのTwitterアカウントから被害者にダイレクトメッセージを送信することで、信頼性を大幅に高め、詐欺の成功率を向上させることができます
- ダイレクトメッセージを送信した後すぐに削除することで、アカウントの所有者が異常に気づかないようにし、そのアカウントに長期間潜伏することができます ------ 過去の事例では、ハッカーがアカウントを取得した後、すぐに詐欺ツイートを発信し、偽の活動やScamトークンなどの方法で迅速に収穫しましたが、この方法はすぐにアカウントの所有者や公衆の注意を引き、警戒を促します
- ハッカーが被害者とさらにコミュニケーションを取るためのTelegramアカウントも慎重に偽装されており、通常は公式のスタッフと非常に似たIDを使用します
類似の フィッシング 攻撃を識別し防ぐ方法
- 様々な 招待に警戒し、 それが「公式」アカウントからのものであっても。 招待を受け取った際には、他のチャネルから招待者の身元を確認してください。「知人」であれば、チャットの前に以前のチャット履歴がまだ存在するか確認してください。
- 相手が 会議中に送ってきたファイルを 安易にダウンロードしたり開いたりしないでください。 TeamsやZoomなどの会議クライアントをインストールする必要がある場合は、必ずTeamsやZoomの公式サイトからダウンロードしてください。これは非常に重要です。
- 交流中は、ビデオと音声の権限のみを許可する 。 ZoomやTeamsに他の権限を与えないようにし、ハッカーがあなたのコンピュータを遠隔操作できないようにします。
- 交流中は、どんな理由でもコンピュータから離れないでください 。 どうしても必要な場合は、別の人に画面を見てもらい、ハッカーがあなたがいない隙にコンピュータを操作しないように注意してください。
- 助記詞をコンピュータやスマートフォンにバックアップしないでください。MFA(多要素認証)を有効にできる場所では、できるだけ有効にしてください。
- 資金に関わるスマートフォンはiPhoneを使用し、最新バージョンにアップグレードする。ロックモードをオンにし、対外的な交流にはできるだけ使用せず、仕事用と社交用のコンピュータやスマートフォンを分けてください。
アカウントが盗まれた?迅速に対応し、損失を減らす方法
どんなに防護が厳重でも、「引っかかる」可能性はあります。アカウントが盗まれたことに気づいたら、反応の速さが損失の程度を決定します。
- コンピュータの電源を切り、ネットワークを切断し、ハッカーによるコンピュータへの侵害を迅速に阻止します。
- 資金の安全チェック(ウォレットの承認が関わる場合)を行います。攻撃者があなたのローカルウォレット(ブラウザのプラグインや秘密鍵の保存)にアクセスしている可能性があるため、資産を新しいウォレットに移動する必要があります(秘密鍵を再生成し、同じ助記詞を使用しないことをお勧めします)。
- すぐに他のデバイス/メールでアカウントを取り戻します。アカウントのログイン状態が失効していないうちに、バインドされたメールアドレスや電話番号を使用してログインし、パスワードをリセットし、すぐに他のデバイスのセッションをすべて終了します。アカウントを取り戻したら、最初にすべてのサードパーティのログイン承認を閉じ、ハッカーがアカウントを引き続き操作できないようにします。
- 周囲の人に通報し警告します。他の人に最近のダイレクトメッセージの内容を信じないように注意を促し、異常なアカウントにマークを付けて、より多くの人に情報を提供し、連鎖的な被害を避けるようにします。
