當這 10 個危險訊號出現時,說明你可能已經被駭客盯上了。本文源自 Christoper Rosa,由 AididiaoJP,Foresight News 整理、編譯及撰稿。
(前情提要:伊朗宣布「晚上禁用加密貨幣」,以色列駭客燒毀Nobitex 1億美元引爆鏈上戰火 )
(背景補充:冷錢包Trezor警告:駭客假冒官方信進行釣魚攻擊,切勿分享錢包私鑰 )
上週末有訊息稱一個包含 160 億條使用者身份的龐大資料集開始在網上傳播,其中既包含過去洩露的資訊,也含有新近盜取的登入資料。目前尚不清楚是誰更新了這個資料集並將其重新發布。雖然該資料庫中大部分是過往資料洩露事件的重新整理,但再次更新的資料讓人感到不安。這個資料集被視為有史以來最大規模的單一洩露帳戶集合之一。
駭客們正在利用這些資料做出多種攻擊,而我成為了他們的目標之一。
6 月 19 日針對我個人裝置和帳戶發起的釣魚攻擊,是我十年網路安全職業生涯中遭遇過最精密的攻擊。攻擊者首先製造出我的帳戶正在多個平臺遭受攻擊的假象,隨後冒充 Coinbase 員工主動提供「幫助」。他們將經典的社會工程學手段與跨簡訊、電話和偽造郵件的協同戰術相結合,所有設計都旨在營造虛假的緊迫感、可信度和規模效應。這場虛假攻擊波及面廣且極具權威性,而這正是攻擊如此具有欺騙性的關鍵所在。
下文將詳細還原攻擊過程,剖析我在此過程中察覺的危險訊號,以及我採取的防護措施。同時我將分享關鍵教訓和實用建議,幫助加密投資者在攻擊不斷升級的威脅環境中保障安全。
歷史資料與新近洩露的資料可被駭客用於實施高度定向的多渠道攻擊。再次印證了分層安全防護、清晰的使用者溝通機制和即時響應策略的重要性。無論是機構還是個人使用者,都能從這個案例中獲得實用工具,包括驗證協議、域名識別習慣和響應步驟,這些能幫助防止一時疏忽演變成重大安全漏洞。
SIM 卡劫持
攻擊始於美國東部時間週四下午 3:15 左右,一條匿名簡訊說有人正試圖誘騙移動運營商將我的電話號碼洩露給他人,這種攻擊手段被稱為 SIM 交換。
請注意這條資訊並非來自簡訊號碼,而是一個常規的 10 位數電話號碼。正規企業傳送簡訊都會使用短程式碼。如果你收到來自未知標準長度號碼、聲稱是企業的簡訊,極可能是詐騙或釣魚嘗試。
這些資訊還包含自相矛盾的內容。首條簡訊顯示洩露來自舊金山灣區,而後續訊息卻說發生在阿姆斯特丹。
SIM 交換一旦成功將極其危險,因為攻擊者可獲取多數公司用於重置密碼或訪問帳戶的一次性驗證碼。不過這次並非真實的 SIM 交換,駭客是在為後續更精密的騙局做鋪墊。
一次性驗證碼與密碼重置
攻擊隨後升級,我陸續收到據稱來自 Venmo 和 PayPal 的一次性驗證碼,通過簡訊和 WhatsApp 傳送。這是讓我相信有人正嘗試登入我在各個金融平臺的帳戶。與可疑的運營商簡訊不同,這些驗證碼確實來自看似合法的短程式碼。
Coinbase 釣魚電話
收到簡訊約五分鐘後,我接到了一個加州號碼的來電。自稱「Mason」的來電者操著純正的美式口音,聲稱來自 Coinbase 調查團隊。他說過去 30 分鐘內,通過 Coinbase 聊天窗口出現了超過 30 次嘗試重置密碼並入侵帳戶的行為。據「Mason」描述,所謂攻擊者已通過密碼重置的第一層安全驗證,但在第二層認證時失敗。
他告訴我,對方能提供我身份證後四位、完整駕照號碼、家庭住址和全名,但未能給出完整身份證號碼或關聯 Coinbase 帳戶的銀行卡後四位。Mason 解釋稱,正是這個矛盾觸發了 Coinbase 安全團隊的警報,促使他們聯絡我以驗證真假。
像 Coinbase 這樣的正規交易所絕不會主動致電使用者,除非你通過官網發起服務請求。瞭解更多交易所客服規範,請閱讀這份 Coinbase 文件。
安全檢查
告知這個「壞訊息」後,Mason 提出通過封鎖額外攻擊渠道來保護我的帳戶。他從 API 連線和關聯錢包著手,聲稱將撤銷它們的訪問許可權以降低風險。他列舉了多個連線物件,包括 Bitstamp、TradingView、MetaMask 錢包等,其中有些我並不認識,但我假設可能是自己曾經設定卻忘記了。
此時我的戒備心已降低,甚至因 Coinbase「主動保護」而感到安心。
至此 Mason 尚未索要任何個人資訊、錢包地址、雙重驗證碼或一次性密碼,這些通常都是釣魚者的常見索要資訊,整個互動過程安全性很高且具有預防性。
隱性施壓手段
接下來出現了首次施壓嘗試,通過製造緊迫感和脆弱感。完成所謂「安全檢查」後,Mason 聲稱由於我的帳戶被標記為高風險,Coinbase One 訂閱服務的帳戶保護已被終止。這意味著我的 Coinbase 錢包資產不再受 FDIC 保險覆蓋,若攻擊者成功盜取資金,我將無法獲得任何賠償。
現在回想起來這套說辭本應成為明顯的破綻。與銀行存款不同,加密資產從來不受 FDIC 保險保護,雖然 Coinbase 可能將客戶美元存放在 FDIC 承保銀行,但交易所本身並非受保機構。
Mason 還警告 24 小時倒計時已經開始,逾期帳戶將被鎖定。解鎖將需要複雜冗長的流程。更可怕的是,他聲稱若攻擊者在此期間獲取我的完整社會安全號,甚至能在帳戶凍結狀態下盜取資金。
後來我諮詢真正的 Coinbase 客服團隊得知,鎖定帳戶正是他們推薦的安全措施。解鎖過程其實簡單安全:提供身份證照片和自拍,交易所驗證身份後即可快速恢復訪問。
隨後我收到兩封郵件。第一封是 Coinbase Bytes 新聞訂閱確認函,這只是攻擊者通過官網表單提交我的郵箱觸發的正常郵件。這顯然是企圖用 Coinbase 官方郵件混淆我的判斷,以增強騙局可信度。
第二封更令人不安的郵件來自 [email protected],宣告我的 Coinbase One 帳戶保護已被取消。這封看似來自正規 Coinbase 域名的郵件極具迷惑性 —— 若來自可疑域名本可輕易識破,但因其顯示為官方地址而顯得真實可信。
建議的補救措施
Mason 接著提議將我的資產轉入名為 Coinbase Vault 的多籤錢包來確保安全。他甚至讓我Google搜尋「Coinbase Vault」查閱官方文件,以證明這是 Coinbase 多年來的正規服務。
我表示在未充分調查前不願做如此重大變更。他表示理解並鼓勵我仔細研究,同時支援我先聯絡運營商防範 SIM 交換。他稱 30 分鐘後會回電繼續後續步驟。結束通話後我立即收到簡訊確認此次通話及預約。
回電與 Coinbase Vault
確認運營商處無 SIM 轉移嘗試後,我立即修改了所有帳戶密碼。Mason 如約回電,我們開始討論下一步。
此時我已核實 Coinbase Vault 確為 Coinbase 提供的真實服務,這是一種通過多籤授權和 24 小時延遲提現增強安全性的託管方案,但並非真正的自託管冷錢包。
Mason 隨後發來 vault-coinbase.com 的連結,聲稱可複查首次通話中討論的安全設定。完成複查後即可將資產轉入 Vault,此刻我的網路安全的專業性終於出現。
輸入他提供的案例編號後,開啟的頁面顯示著所謂的「已移除 API 連線」和「建立 Coinbase Vault」按鈕。我立即檢查網站 SSL 證書,發現這個註冊僅一個月的域名與 Coinbase 毫無關聯。雖然 SSL 證書通常能營造合法性假象,但正規企業證書都有明確歸屬,這一發現讓我立即停止操作。
Coinbase 明確表示絕不會使用非官方域名。即便使用第三方服務,也應是 vault.coinbase.com 這類子域名。涉及交易所帳戶的任何操作都應通過官方 APP 或網站進行。
我向 Mason 表明疑慮,強調只願通過官方 APP 操作。他辯稱 APP 操作會導致 48 小時延遲,而帳戶 24 小時後就將鎖定。我再次拒絕倉促決定,他遂表示將案例升級至「三級支援團隊」嘗試恢復我的 Coinbase One 保護。
結束通話電話後,我持續驗證其他帳戶安全,不安感愈發強烈。
「三級支援團隊」來電
約半小時後,德州號碼來電。另一位美式口音者自稱三級調查員,正處理我的 Coinbase One 恢復申請。他聲稱需要 7 天稽核期,期間帳戶仍無保險。他還「貼心」建議為不同鏈上資產開設多個 Vault,看似專業,實則從未提及具體資產,僅模糊指稱「以太坊、比特幣等」。
他提到將向法務部門申請傳送聊天記錄,隨後又開始推銷 Coinbase Vault。作為備選,他推薦了名為 SafePal 的第三方錢包,雖然 SafePal 確是正規硬體錢包,但這顯然是為騙取信任的鋪墊。
當我再次質疑 vault-coinbase.com 域名時,對方仍試圖消除疑慮。至此攻擊者可能意識到難以得逞,最終放棄了本次的釣魚攻擊。
聯絡 Coinbase 真客服
與第二位假客服結束通話後,我立即通過 Coinbase.com 提交申請。真正的客服代表迅速確認我的帳戶並無異常登入或密碼重置請求。
他建議立即鎖定帳戶,並收集攻擊詳情提交調查團隊。我提供了所有欺詐域名、電話號碼和攻擊途徑,特別詢問了 [email protected] 的發件許可權問題。客服承認這非常嚴重,承諾安全團隊將徹底調查。
聯絡交易所或託管商客服時,務必通過官方渠道。正規企業絕不會主動聯絡使用者。
經驗總結
雖然僥倖未受騙,但作為前網路安全從業者,這次險些中招的經歷令我深感不安。若非專業訓練,我可能已被騙。若僅是普通陌生來電,我定會直接結束通話。正是攻擊者精心設計的連環行動,營造出緊迫感和權威性,才使得這場釣魚如此危險。
我總結出以下危險訊號和防護建議,希望能幫助加密投資者在當前網路環境中保障資金安全。
危險訊號
協同虛假警報製造混亂與緊迫感
攻擊者首先通過一系列 SIM 卡交換警報和來自 Venmo、PayPal 等服務的一次性驗證碼請求(同時通過簡訊和 WhatsApp 傳送),刻意製造多個平臺同時遭受攻擊的假象。這些資訊很可能僅需獲取我的手機號碼和電子郵箱即可觸發,這些資訊很容易被獲取。在此階段,我認為攻擊者尚未掌握更深層的帳戶資料。
短程式碼與普通電話號碼混用
釣魚資訊採用了 SMS 短程式碼和常規電話號碼的組合傳送。雖然企業通常使用短程式碼進行官方通訊,但攻擊者可以偽造或回收利用這些短程式碼。但需要注意的是,正規服務永遠不會使用普通電話號碼傳送安全警報。來自標準長度號碼的資訊應始終保持懷疑態度。
要求通過非官方或不熟悉的域名進行操作
攻擊者要求我訪問託管在 vault-coinbase.com 上的釣魚網站,這個域名初看似乎正常,但實際上與 Coinbase 毫無關聯。在輸入任何資訊前,務必仔細檢查域名名稱和 SSL 證書。涉及敏感帳戶的操作應僅在公司的官方域名或應用程式上進行。
未經請求的來電和後續通訊
Coinbase 和大多數其他金融機構絕不會在你未主動發起支援請求的情況下致電。接到自稱來自「三級調查團隊」的電話是一個重大危險訊號,特別是當這種來電與恐嚇策略和複雜的帳戶保護說明同時出現時。
未經請求的緊急情況和後果警告
網路釣魚攻擊者經常利用恐懼和緊迫感迫使受害者在未加思考的情況下採取行動。在本案例中,關於帳戶鎖定、資產被盜和保險覆蓋被取消的威脅都是典型的社會工程學手段。
要求繞過官方渠道
任何建議避免使用公司官方應用程式或網站的說辭,特別是當這些建議聲稱提供「更快」或「更安全」的替代方案時,都應該立即引起警覺。攻擊者可能會提供看似合法但實際上指向惡意域名的連結。
未經核實的案件編號或支援工單
提供「案件編號」來介紹一個訂製構建的網路釣魚門戶,這種做法制造了合法性的假象。沒有任何正規服務會要求使用者通過帶有案件編號的外部訂製連結來驗證身份或執行操作。
真假資訊混雜
攻擊者經常將真實的個人資訊(如電子郵箱或部分社會安全號碼)與模糊或不準確的資訊混合使用,以增強可信度。任何不一致之處或對「鏈」、「錢包」或「安全審查」的模糊提及都應引起懷疑。
在替代方案建議中使用真實公司名稱
引入像 SafePal 這樣可信的名稱(即使這些公司確實合法)可能是一種轉移注意力的策略。這種做法在提供看似有選擇餘地和合法性的同時,實際上將受害者導向惡意操作。
過度熱心卻不進行驗證
攻擊者表現得很有耐心,鼓勵我自己進行研究,而且最初並未索要敏感資訊。這種行為模仿了真正的客服人員,使得騙局顯得很專業。任何「好得不像真的」的未經請求的幫助都應引起懷疑。
主動防護措施和建議
在交易所啟用交易級驗證
在交易所設定中啟用雙重認證和基於驗證碼的驗證。這確保任何嘗試傳送或轉移資金的操作都需要傳送到你信任的裝置進行即時確認,從而防止未經授權的交易。
始終通過合法、已驗證的渠道聯絡服務提供商
在本案例中,我通過直接登入官方平臺並提交支援請求來聯絡我的移動服務提供商和 Coinbase。當帳戶安全受到威脅時,這是與客服人員互動最安全也是唯一恰當的方式。
交易所客服人員絕不會要求你移動、訪問或保護資金
他們也不會要求或提供你的錢包助記詞,不會索要你的雙重驗證碼,更不會試圖遠端訪問或在你的裝置上安裝軟體。
考慮使用多重簽名錢包或冷錢包儲存解決方案
多重簽名錢包需要多方批准才能授權交易,而冷錢包則使你的私鑰完全保持離線狀態。這兩種方法都能有效保護長期持有的資產免受遠端釣魚或惡意軟體攻擊。
收藏官方網址並避免點選來自未經請求資訊的連結
手動輸入網址或使用可信的收藏夾是避免域名欺騙的最佳方式。
使用密碼管理器識別可疑網站並維護強密碼
密碼管理器通過在虛假或未知域名上拒絕自動填充來幫助防止釣魚嘗試。定期更換密碼,如果懷疑遭受惡意攻擊,應立即更改密碼。
定期審查關聯應用、API 金鑰和第三方整合
撤銷任何你不再使用或無法識別的應用或服務的訪問許可權。
在可用處啟用即時帳戶提醒
登入、提款或安全設定變更的通知能提供未經授權活動的關鍵早期預警。
向服務提供商的官方支援團隊報告所有可疑活動
早期報告有助於防止更廣泛的攻擊,並為平臺整體的安全防護做出貢獻。
結論
對於金融機構、IT 安全團隊和高管層來說,這次攻擊突顯了歷史資料在被重新利用並與即時社會工程學相結合時,駭客能夠繞過甚至最成熟的安全防護。威脅行為者不再僅僅依賴暴力攻擊,而是執行協調的跨渠道策略,通過模仿合法工作流程來獲取信任並欺騙使用者。
我們不僅要保護系統和網路安全,還要識別威脅並採取行動保護自己。無論是在加密機構上班還是在家管理加密資產,每個人都必須理解個人安全漏洞如何演變成系統性風險的。
為了防範這些威脅,機構必須分層防禦,如域名監控、自適應認證、防釣魚的多因素認證以及清晰的通訊協議。同樣重要的是企業必須培養網路安全素養文化,讓從工程師到高管的每個員工都理解自己在保護企業中的角色。在當今環境中,安全不僅是一項技術職能,更是從個人到整個組織都需要共同承擔的責任。
📍相關報導📍
半年竊21億美元!資安報告:駭客攻擊重心從智能合約轉向一般用戶,四招教你保護加密資產
