偽ジャーナリスト、本物のハッカー: 暗号通貨 Twitter の新たな詐欺の手口を暴露

ここ数カ月間、著名なオピニオン リーダーがソーシャル エンジニアリング攻撃の主な標的となっており、プロジェクトの公式 Twitter アカウントも頻繁に盗まれています。

作者: Luccy、リズムワーカー、BlockBeats

通貨業界では、主要なソーシャルメディアであるTwitterは情報交換の重要なプラットフォームですが、多くのセキュリティリスクにもさらされています。ここ数カ月間、新たな盗難傾向が現れています。著名なオピニオン リーダー (KOL) がソーシャル エンジニアリング攻撃の主なターゲットになっており、プロジェクトの公式ソーシャル メディア プラットフォーム X (旧 Twitter) ではアカウントの盗難が頻繁に発生しています。

これらの綿密に計画された攻撃は、個人のプライバシーを侵害するだけでなく、デジタル資産全体のセキュリティを脅かします。 BlockBeats は、有名な KOL に対するソーシャル エンジニアリング攻撃の最近のいくつかの事例を調査し、攻撃者が慎重に設計された詐欺手法をどのように使用するか、また、KOL や一般のユーザーがそのようなますます蔓延するオンライン脅威に対してどのようにより警戒できるかを明らかにします。

偽装された偽記者、KOL に対するソーシャル エンジニアリング攻撃

BlockBeatsの不完全な統計によると、最初にソーシャルワーカーらに攻撃されたのは、アメリカの主流メディア「フォーブス」の編集長だった。詐欺師は、暗号化された Kol@0xmasiwei と、friend.tech やその他の偽の SocialFi プロジェクトについて通信した後、friend.tech の「本人確認」リンクを彼に送信しました。 SlowMist のセキュリティ担当者による検証の結果、リンクはフィッシング リンクであることが判明しました。

さらに、SlowMist の創設者 Yu Xian 氏は、friend.tech の統合カスタマイズ ツール FrenTechPro がフィッシング詐欺であると判断し、ユーザーが [今すぐアクティブ化] をクリックした後も、ハッカーはウォレット関連の資産を盗もうとし続けます。

2 か月後、PeckShield は同様のインシデントを再び検出しました。

12月18日、暗号データ研究者でDeFiLlamaの寄稿者であるKofi（@0xKofi）は、DefiLamaの契約とdAppsには脆弱性があり、資産の安全性を確認するにはツイートに添付されたリンクをクリックする必要があるとソーシャルメディアプラットフォームに投稿した。これはソーシャル エンジニアリング攻撃の典型的な例で、詐欺グループはユーザーの脆弱性に対する恐怖心を利用し、不正なリンクに対する警戒心を緩めさせました。

昨日の午前 2 時に、@0xcryptowizard がソーシャル エンジニアリング攻撃を受け、暗号化サークルで再び議論が巻き起こりました。 @0xcryptowizard は、ソーシャル メディア プラットフォームで Arbitrum の碑文を宣伝するために「機械翻訳された」中国語を使用し、ミント リンクを添付しました。コミュニティメンバーによると、リンクをクリックするとすぐにウォレットが空になったという。

これに対し、@0xcryptowizard は、詐欺師が休憩を利用してフィッシング リンクを公開したと投稿しました。その後、@0xcryptowizard は自身の Twitter プロフィールに「今後リンクは投稿されません。ツイート内のリンクをクリックしないでください」という注意喚起を添付しました。

盗難の理由について、@0xcryptowizard 氏は、綿密に計画されたオンライン詐欺であると述べました。攻撃者 @xinchen_eth は、有名な仮想通貨メディア Cointelegraph の記者を装い、インタビューの約束を口実にターゲットに接触しました。攻撃者はだまされて、人気のあるスケジュール ツールである Calendly の予約ページに見せかけた、一見通常の予約リンクをクリックさせられました。ただし、これは実際には偽装ページであり、その本当の目的は、@xinchen_eth Twitter アカウントの認証を完了し、それによって Twitter の許可を取得することです。

このプロセス中、たとえリンクを疑っていたとしても、ページのデザインと表示により、それが通常の Calendly 予定インターフェイスであると誤って思いました。実際、そのページには Twitter が承認したインターフェースは何も表示されず、予約時間のインターフェースのみが表示されていたため、彼は誤解を招いていました。 @0xcryptowizard は振り返ってみると、ハッカーがこのページを巧妙に偽装した可能性があると考えています。

最後に、@0xcryptowizard は、他の著名なオピニオン リーダー (KOL) に対して、たとえ通常のサービス ページのように見えても、未知のリンクを安易にクリックしないように特に注意するよう注意を促しています。この詐欺の高度に隠蔽された欺瞞的な性質は、重大なセキュリティ リスクです。

@0xcryptowizard の後、NextDAO の共同創設者 @_0xSea_ もソーシャル エンジニアリング攻撃を受けました。有名な暗号化メディア会社 Decrypt の出身であると主張する詐欺師が、いくつかのアイデアを広めることを目的として、インタビューを求めるプライベート メッセージを送信しました。中国語を話すユーザーへ。

しかし、過去の教訓から、@_0xSea_ は、相手から送信された Calendly.com 認証ページで、「Calendlỵ にアカウントへのアクセスを許可する」という文の文字が文字ではなく「ỵ」であることに注意深く気づきました。これも前回の偽satの場合と同様に、最後の文字は実際には「ts」ではなく「ʦ」になっています。このことから、偽アカウントであると判断できます。

よく訓練された暗号ハッカーグループ Pink Drainer

@0xcryptowizard への攻撃で、Slow Mist Cosine は詐欺集団 Pink Drainer を指摘しました。 Pink Drainer は、ユーザーが悪意のある Web サイトを迅速に開設し、マルウェアを通じて違法な資産を取得できるようにするサービスとしてのマルウェア (MaaS) であると報告されています。

ブロックチェーン セキュリティ会社 Beosin によると、このフィッシング URL は暗号通貨ウォレットを盗むツールを使用してユーザーをだましてリクエストに署名させます。リクエストが署名されると、攻撃者は被害者のウォレットから NFT および ERC-20 トークンを転送できるようになります。 「Pink Drainer」は、ユーザーの盗難資産に手数料を請求しますが、その額は盗難資産の 30% に上る可能性があると伝えられています。

Pink Drainer チームは、Evomos、Pika Protocol、Orbiter Finance などのインシデントを含む、Twitter や Discord などのプラットフォームに対する注目度の高い攻撃で有名です。

昨年6月2日、ハッカーはPink Drainerを使ってOpenAIの最高技術責任者ミラ・ムラティ氏のTwitterをハッキングし、OpenAIがAI言語モデルに基づく「OPENAIトークン」を発売しようとしていると主張する虚偽のニュースを投稿した。イーサリアムウォレットアドレスがショート投資を受ける資格があるかどうかを確認するようネチズンに知らせるためのリンクを投稿しました。他の人がメッセージ領域で詐欺行為を暴露するのを防ぐために、ハッカーはメッセージの公開返信機能も無効にしました。

このフェイクニュースは投稿から1時間後に削除されたが、すでに8万人以上のツイッターユーザーに拡散している。 Scam Sniffer が提示したデータによると、ハッカーはこの事件で約 110,000 ドルの違法収入を得ました。

昨年末、Pink Drainer は非常に巧妙なフィッシング詐欺に参加し、440 万ドル相当の Chainlink (LINK) トークンが盗まれました。このサイバー盗難は、騙されて「承認の増加」機能に関連するトランザクションに署名させられた 1 人の被害者をターゲットにしました。 Pink Drainer は、暗号通貨分野の標準手順である「承認の追加」機能を利用して、ユーザーが他のウォレットに転送できるトークンの数に制限を設定できるようにします。

この行為により、被害者に知られることなく、2 つの個別のトランザクションで 275,700 の LINK トークンが不正に転送されることになりました。暗号セキュリティ プラットフォーム Scam Sniffer の詳細によると、最初は 68,925 LINK トークンが Etherscan によって「PinkDrainer: Wallet 2」というラベルのウォレットに転送され、残りの 206,775 LINK はアドレスが「E70e」で終わる別のウォレットに送信されました。

ただし、どのようにして被害者をだましてトークンの転送を許可させたのかは不明です。 Scam Sniffer はまた、盗難から過去 24 時間で、Pink Drainer に関連する少なくとも 10 の新しい詐欺 Web サイトを発見しました。

Pink Drainer の活動は現在も増加傾向にあり、Dune のデータによると、この記事の執筆時点で、Pink Drainer は総額 2,500 万ドル以上を騙しており、被害者は数万人にのぼります。

公式プロジェクトのプロモーションは頻繁に盗まれます

それだけでなく、ここ 1 か月間、プロジェクトの公式ツイートが盗まれる事件が頻繁に発生しました。

12月22日、ARPG闇の秘宝獲得連鎖ゲーム「SERAPH: In the Darkness」のXプラットフォーム公式アカウントが盗難された疑いがあり、当面の間、同アカウントが掲載するリンクをクリックしないよう注意を呼びかけている。

12月25日、分散型金融プロトコル「Set Protocol」の公式ツイートが盗まれた疑いがあり、フィッシングリンクを含むツイートが複数投稿された。

12月30日、DeFi融資プラットフォームCompoundの公式ツイートが盗まれた疑いがあり、フィッシングリンクを含むツイートが投稿されたが、コメント許可は開かれていなかった。 BlockBeats は、資産のセキュリティに注意を払い、フィッシング リンクをクリックしないようユーザーに警告します。

セキュリティ会社であっても免責されるわけではありません。 1 月 5 日、CertiK の Twitter アカウントが侵害されました。 Uniswap ルーター契約に再入の脆弱性があることが判明したと主張する誤ったニュースを発表しました。 RevokeCash に添付されているリンクはフィッシング リンクです。この盗難を受けて、CertiKはソーシャルプラットフォーム上で「有名なメディアに関連する認証済みアカウントがCertiK従業員に連絡したが、アカウントが侵害されたようで、その結果当社従業員に対するフィッシング攻撃が発生した。CertiKは迅速に対応した」と述べた。 「脆弱性を発見し、数分以内に該当ツイートを削除しました。調査の結果、これは大規模かつ継続的な攻撃であることが判明しました。調査によると、このインシデントは重大な被害を引き起こしませんでした。」

1月6日、コミュニティからのフィードバックによると、SolanaエコロジーNFTレンディングプロトコルであるSharkyの公式ツイートがハッキングされ、フィッシングリンクが投稿されたため、ユーザーは公式ツイートに投稿されたリンクをクリックしないよう推奨されている。