ここ数ヶ月、暗号資産プロジェクト、実務家、政治家、著名人のソーシャルメディアアカウントが盗まれ、虚偽の情報が投稿されるケースが相次いでいます。最近、Bitgetの従業員数名も同様のフィッシング攻撃に遭いました。アカウントを復旧した後、徐々に謎を解き明かしていくうちに、ハッカーの新しい攻撃手法は絶えず進化しており、非常に複雑で隠蔽性が高いことが判明しました。そこで、業界全体のセキュリティ保護に貢献できればと思い、この記事を作成しました。
Bitgetの従業員がフィッシング攻撃を受けた
5月中旬、Bitgetの事業開発担当社員は、あるパートナーからTwitterでプライベートメッセージを受け取り、潜在的な協業の可能性について話し合うよう誘われました。両者はすぐに面談日時を決め、実際に面談を行いました。面談中、相手側はインストールファイルをいくつか送信し、「機能テスト」と称してBitgetの社員に試用を依頼しました。
その後数日間、従業員は友人や業界パートナーから「奇妙なTwitterプライベートメッセージを送ってきましたか?」という問い合わせを受けた。異常に気づいた従業員とBitgetセキュリティチームは迅速に行動し、バインドされたメールアドレスやその他の情報を通じてアカウントを取り戻した。
ハッカーが仮想通貨のTwitterアカウントを標的にし、利益を得た方法
その後のセキュリティ調査では、ハッカーの攻撃方法の詳細と、ハッカーがそれによってどのように利益を得ているかを段階的に検証しました。
ステップ1:ハッカーは、すでにコントロールしているソーシャルメディアアカウントを通じて「被害者」にプライベートメッセージを送信し、協力についてさらに話し合うためにテレグラムアカウントに連絡するように誘導します。
安全に関する注意事項:
これらのプライベート メッセージは、必ずしも疑わしい小規模アカウントから送信されるわけではなく、認証済みの公式アカウントから送信される場合もありますが、不正なプライベート メッセージは公式チームから送信されたものではありません。
この時点で、ハッカーはこれらの公式アカウントを密かに掌握し、次の詐欺のために被害者をTelegramに誘導しました。
ハッカーは通常、プライベートメッセージを送信するとすぐに削除するため、ハッカーが何百ものプライベートメッセージを送信したとしても、アカウント所有者はそれに気付かない可能性があります。
ステップ2:被害者がハッカーのTelegramに連絡した後、相手はオンラインミーティングを提案し、ミーティング中に特定のドキュメントをダウンロードしてインストールするよう招待します。
安全に関する注意事項:
ハッカーのTelegramアカウントは通常、実在の従業員を装います。関連情報はLinkedInなどのプラットフォームから取得される可能性があります。アカウントIDは、I(大文字のi)とl(小文字のL)を混同するなど、実在の従業員のものと非常によく似ている場合があります。
ハッカーはインストール ファイルに悪意のあるコードを埋め込み、被害者を騙してインストールさせ、それによって被害者のコンピューターにアクセスし、さらにソーシャル メディア アカウントや暗号通貨や法定通貨の資産を盗みます。
ステップ3:ハッカーは被害者のデバイスにアクセスした後、まず資産を直接盗み出そうとします。次に、被害者のTwitterアカウントとTelegramアカウントを利用して新たな被害者を探し、それらのアカウントを通じてTwitterのプライベートメッセージを送信し、ハッカーが管理するTelegramアカウントに連絡して詐欺を実行するよう誘導します。
安全に関する注意事項:
前述のように、ハッカーはプライベートメッセージを送信後すぐに削除するため、アカウント所有者が自分のアカウントがハッキングされたことに気づくのは困難です。
これは、詐欺メッセージが認証済みの公式アカウントから送信される可能性があるのに、これらのアカウントが何の行動も起こさない理由も説明しています。彼らはまだ何も知らないのです。
ステップ4:次の被害者がTelegramでハッカーと連絡を取ると、ハッカーは偽装した身元に基づいて適切な詐欺方法を選択します。
安全に関する注意事項:
ハッカーが取引所の職員を装う場合、通常は上場協力の名目で被害者を騙して送金させます。
ハッカーがプロジェクトスタッフのふりをした場合、通常は早期投資の名目で被害者を騙して資金を送金させます。
ハッカーが投資機関の職員を装う場合、通常は投資協力の名目で被害者を騙して送金させます。
偽装した身元が直接金銭を稼ぐのに十分でない場合は、それを踏み台にしてネットワーク内の他の人を騙し、トロイの木馬プログラムをインストールさせ、それによって相手のアカウント権限にアクセスし、ハッカーにとって新たな詐欺ツールとなります。
まとめ
この記事で言及されているハッカーの攻撃と利益獲得の手法は、被害者のデバイスを制御するためにトロイの木馬を埋め込む(特定のファイルをインストールする)必要があるという点で、過去のものと似ています。しかし、違いは、ハッカーが手法に多くの改良を加えている点です。
認証済みの Twitter アカウントを通じて被害者にプライベートメッセージを送信すると、信頼性が大幅に高まり、詐欺の成功率が高まります。
アカウント所有者が異常に気付かず、長期間アカウントに潜伏してしまうことがないように、プライベートメッセージを直ちに削除してください。過去の事例では、ハッカーはアカウントを入手した後、すぐに不正なツイートを投稿し、偽の活動や詐欺トークンなどを用いて短期間で利益を得ようとしましたが、この方法はアカウント所有者と一般の人々に即座に警告を発し、警戒を促します。
ハッカーが被害者とのコミュニケーションをさらに深めるために使用する Telegram アカウントも、通常は公式職員の ID と非常によく似た ID を使って巧妙に偽装されています。
類似のフィッシング攻撃を識別して防止する方法
たとえ「公式」アカウントからの招待であっても、注意が必要です。招待を受けたら、他の方法で招待者の身元を確認してください。「知り合い」からの招待の場合は、チャットを始める前に以前のチャット履歴が残っているかどうかを確認してください。
会議中に相手から送信されたファイルを勝手にダウンロードしたり開いたりしないでください。TeamsやZoomなどの会議クライアントをインストールする必要がある場合は、TeamsまたはZoomの公式ウェブサイトからダウンロードしてください。これは非常に重要です。
通信中は、ビデオと音声の権限のみを許可してください。ハッカーによるコンピューターのリモート操作を防ぐため、ZoomやTeamsに他の権限を与えないでください。
通信中は、いかなる理由があってもパソコンを離れないでください。必要であれば、一緒に画面を見てくれる人を探してください。離れている間にハッカーがパソコンを操作する可能性があるので注意してください。
ニーモニックをコンピューターや携帯電話にバックアップしないでください。また、可能な場合は必ず MFA (多要素認証) を有効にしてください。
金融関係の携帯電話はiPhoneを使用し、最新バージョンにアップグレードしてください。ロックモードをオンにし、外部との通信にはできるだけ使用せず、仕事や社会活動に使用するパソコンや携帯電話とは別に保管してください。
アカウントが盗まれましたか?迅速に対応し、損失を最小限に抑える方法
最も厳重な保護対策を講じても、ハッキングされる可能性は依然として存在します。アカウントが盗まれたことに気づいたら、対応の速さが被害の規模を左右します。
コンピュータの電源をオフにし、インターネットから切断し、ハッカーがコンピュータに侵入するのをすぐにブロックします。
資金のセキュリティチェック(ウォレットの認証が必要な場合)。攻撃者はローカルウォレット(ブラウザプラグイン、秘密鍵ストレージなど)にアクセスできる可能性があります。資産を直ちに新しいウォレットに移してください(秘密鍵を再生成し、同じニーモニックを使用しないことをお勧めします)。
他のデバイス/メールアドレスからアカウントを直ちに取得してください。アカウントがまだログイン状態にある間に、紐付けられたメールアドレスまたは携帯電話番号を使用してログインし、パスワードをリセットしてください。その後、他のすべてのデバイスセッションから直ちにログアウトしてください。アカウントを取得したら、ハッカーによるアカウント操作の継続を防ぐため、サードパーティのログイン認証をすべて直ちに停止してください。
周りの人に知らせ、警告しましょう。最近のプライベートメッセージを信じないよう注意喚起し、異常なアカウントにはマークを付けて、より多くの人に知らせ、連鎖反応を回避しましょう。
上記の事例は単なる個別事例ではなく、暗号資産業界全体のあらゆるユーザーが直面する可能性のある課題です。Bitgetでは、保護メカニズムの構築にとどまらず、「セキュリティ意識」を真の実力へと変えるために、皆様と協力したいと考えています。
