原文作者:Christoper Rosa
原文編譯:AididiaoJP,Foresight News
連這位網路安全專家都差點中招
上週末,有消息指出一個包含160 億條用戶身份的龐大數據集開始在網路上傳播,其中既包含過去洩露的信息,也含有新近盜取的登錄數據。目前尚不清楚是誰更新了這個資料集並將其重新發布。雖然該資料庫中大部分是過往資料外洩事件的重新整理,但再次更新的資料讓人感到不安。這個資料集被視為有史以來最大規模的單一外洩帳戶集合之一。
駭客們正在利用這些數據做出多種攻擊,而我成為了他們的目標之一。
6 月19 日針對我個人設備和帳戶發起的釣魚攻擊,是我十年網路安全職業生涯中遭遇最精密的攻擊。攻擊者先製造出我的帳號正在多個平台遭受攻擊的假象,接著冒充Coinbase 員工主動提供「協助」。他們將經典的社會工程手段與跨短信、電話和偽造郵件的協同戰術相結合,所有設計都旨在營造虛假的緊迫感、可信度和規模效應。這場虛假攻擊波及面廣且極具權威性,而這正是攻擊如此具有欺騙性的關鍵所在。
下文將詳細還原攻擊過程,剖析我在過程中察覺的危險訊號,以及我採取的防護措施。同時我將分享關鍵教訓和實用建議,幫助加密投資人在攻擊不斷升級的威脅環境中保障安全。
歷史資料與新近外洩的資料可被駭客用於實施高度定向的多通路攻擊。再次印證了分層安全防護、清晰的使用者溝通機制和即時回應策略的重要性。無論是機構或個人用戶,都能從這個案例中獲得實用工具,包括驗證協議、網域識別習慣和回應步驟,這些能幫助防止一時疏忽演變成重大安全漏洞。
SIM 卡劫持
攻擊始於美國東部時間週四下午3: 15 左右,一條匿名短信說有人正試圖誘騙移動運營商將我的電話號碼洩露給他人,這種攻擊手段被稱為SIM 交換。
請注意這則訊息並非來自簡訊號碼,而是來自一個常規的10 位數電話號碼。正規企業發送簡訊都會使用短代碼。如果你收到來自未知標準長度號碼、聲稱是企業的短信,極可能是詐騙或釣魚嘗試。
這些資訊也包含自相矛盾的內容。首則簡訊顯示洩漏來自舊金山灣區,而後續消息卻說發生在阿姆斯特丹。
SIM 交換一旦成功將極其危險,因為攻擊者可取得多數公司用於重設密碼或存取帳戶的一次性驗證碼。不過這次並非真實的SIM 交換,駭客是在為後續更精密的騙局做鋪墊。
一次性驗證碼與密碼重置
攻擊隨後升級,我陸續收到據稱來自Venmo 和PayPal 的一次性驗證碼,透過簡訊和WhatsApp 發送。這是讓我相信有人正嘗試登入我在各個金融平台的帳戶。與可疑的運營商短信不同,這些驗證碼確實來自看似合法的短代碼。
Coinbase 釣魚電話
收到簡訊約五分鐘後,我接到了一個加州號碼的來電。自稱「Mason」的來電者操著純正的美式口音,聲稱來自Coinbase 調查團隊。他說在過去30 分鐘內,透過Coinbase 聊天視窗出現了超過30 次嘗試重設密碼併入侵帳號的行為。根據“Mason”描述,所謂攻擊者已通過密碼重置的第一層安全驗證,但在第二層認證時失敗。
他告訴我,對方能提供我身分證後四位、完整駕照號碼、家庭住址和全名,但未能給出完整身分證號碼或關聯Coinbase 帳戶的銀行卡後四位。 Mason 解釋稱,正是這個矛盾觸發了Coinbase 安全團隊的警報,促使他們聯繫我以驗證真假。
像Coinbase 這樣的正規交易所絕對不會主動致電用戶,除非你透過官網發起服務要求。了解更多交易所客服規範,請閱讀這份Coinbase 文件。
安全檢查
告知這個「壞消息」後,Mason 提出透過封鎖額外攻擊管道來保護我的帳號。他從API 連接和關聯錢包著手,聲稱將撤銷它們的存取權限以降低風險。他列舉了多個連結對象,包括Bitstamp、TradingView、MetaMask 錢包等,其中有些我並不認識,但我假設可能是自己曾經設定卻忘記了。
此時我的戒心已降低,甚至因Coinbase「主動保護」而感到安心。
至此Mason 尚未索取任何個人資訊、錢包地址、雙重驗證碼或一次性密碼,這些通常都是釣魚者的常見索要信息,整個互動過程安全性很高且具有預防性。
隱性施壓手段
接下來出現了首次施壓嘗試,透過製造緊迫感和脆弱感。完成所謂「安全檢查」後,Mason 聲稱由於我的帳戶被標記為高風險,Coinbase One 訂閱服務的帳戶保護已被終止。這意味著我的Coinbase 錢包資產不再受FDIC 保險覆蓋,若攻擊者成功盜取資金,我將無法獲得任何賠償。
現在回想起來這套說辭本應成為明顯的破綻。與銀行存款不同,加密資產從來不受FDIC 保險保護,雖然Coinbase 可能將客戶美元存放在FDIC 承保銀行,但交易所本身並非受保機構。
Mason 還警告24 小時倒數計時已經開始,逾期帳戶將被鎖定。解鎖將需要複雜冗長的流程。更可怕的是,他聲稱若攻擊者在此期間獲取我的完整社會安全號,甚至能在帳戶凍結狀態下盜取資金。
後來我諮詢真正的Coinbase 客服團隊得知,鎖定帳戶正是他們推薦的安全措施。解鎖過程其實簡單又安全:提供身分證照片和自拍,交易所驗證身分後即可快速恢復存取。
隨後我收到兩封郵件。第一封是Coinbase Bytes 新聞訂閱確認函,這只是攻擊者透過官網表單提交我的郵件信箱觸發的正常郵件。這顯然是企圖用Coinbase 官方郵件混淆我的判斷,以增強詐騙可信度。
第二封更令人不安的郵件來自no-reply@info.coinbase.com,聲明我的Coinbase One 帳戶保護已被取消。這封看似來自正規Coinbase 網域的郵件極具迷惑性——若來自可疑網域本可輕易識破,但因其顯示為官方地址而顯得真實可信。
建議的補救措施
Mason 接著提議將我的資產轉入名為Coinbase Vault 的多簽錢包來確保安全。他甚至請我谷歌搜尋「Coinbase Vault」查閱官方文檔,以證明這是Coinbase 多年來的正規服務。
我表示在未充分調查前不願意做如此重大變更。他表示理解並鼓勵我仔細研究,同時支持我先聯絡業者防範SIM 交換。他表示30 分鐘後會回電繼續後續步驟。掛斷後我立即收到簡訊確認此次通話及預約。
回電與Coinbase Vault
確認運營商處無SIM 轉移嘗試後,我立即修改了所有帳戶密碼。 Mason 如約回電,我們開始討論下一步。
此時我已核實Coinbase Vault 的確為Coinbase 提供的真實服務,這是一種透過多簽授權和24 小時延遲提現增強安全性的託管方案,但並非真正的自託管冷錢包。
Mason 隨後發出vault-coinbase.com 的鏈接,聲稱可複查首次通話中討論的安全設置。完成複查後即可將資產轉入Vault,此刻我的網路安全的專業性終於出現。
輸入他提供的案件編號後,開啟的頁面顯示所謂的「已移除API 連線」和「建立Coinbase Vault」按鈕。我立刻檢查網站SSL 證書,發現這個註冊僅一個月的網域名稱與Coinbase 毫無關聯。雖然SSL 憑證通常能營造合法性假象,但正規企業憑證都有明確歸屬,這項發現讓我立刻停止操作。
Coinbase明確表示絕對不會使用非官方域名。即便使用第三方服務,也應是vault.coinbase.com 這類子網域。涉及交易所帳戶的任何操作都應透過官方APP 或網站進行。
我向Mason 表明疑慮,強調只願透過官方APP 操作。他辯稱APP 操作會導致48 小時延遲,而帳號24 小時後就將鎖定。我再次拒絕倉促決定,他遂表示將案例升級至「三級支援團隊」嘗試恢復我的Coinbase One 保護。
掛斷電話後,我持續驗證其他帳號安全,不安感愈發強烈。
「三級支援團隊」來電
約半小時後,德州號碼來電。另一位美式口音者自稱三級調查員,正處理我的Coinbase One 恢復申請。他聲稱需要7 天審核期,期間帳戶仍無保險。他也「貼心」建議為不同鏈上資產開設多個Vault,看似專業,其實從未提及具體資產,僅模糊指稱「以太坊、比特幣等」。
他提到將向法務部門申請發送聊天記錄,隨後又開始推銷Coinbase Vault。作為替代,他推薦了名為SafePal 的第三方錢包,雖然SafePal 的確是正規硬體錢包,但這顯然是為騙取信任的鋪墊。
當我再次質疑vault-coinbase.com 網域時,對方仍試圖消除疑慮。至此攻擊者可能意識到難得逞,最終放棄了這次的釣魚攻擊。
聯絡Coinbase 真客服
與第二位假客服結束通話後,我立即透過Coinbase.com 提交申請。真正的客服代表迅速確認我的帳號並無異常登入或密碼重設請求。
他建議立即鎖定帳戶,並收集攻擊細節提交調查團隊。我提供了所有詐騙網域、電話號碼和攻擊途徑,特別詢問了no-reply@info.coinbase.com 的寄件權限問題。客服承認這非常嚴重,承諾安全團隊將徹底調查。
聯絡交易所或託管商客服時,請務必透過官方管道。正規企業絕不會主動聯繫用戶。
經驗總結
雖然僥倖未受騙,但身為前網路安全從業者,這次險些中招的經歷令我深感不安。若非專業訓練,我可能被騙。若僅是普通陌生來電,我定會直接掛斷。正是攻擊者精心設計的連環行動,營造出緊迫感和權威性,使得這場釣魚如此危險。
我總結出以下危險訊號和防護建議,希望能幫助加密投資人在目前網路環境中保障資金安全。
危險訊號
協同虛假警報製造混亂與緊迫感
攻擊者首先透過一系列SIM 卡交換警報和來自Venmo、PayPal 等服務的一次性驗證碼請求(同時透過簡訊和WhatsApp 發送),刻意製造多個平台同時遭受攻擊的假象。這些資訊很可能只需要取得我的手機號碼和電子郵件信箱即可觸發,這些資訊很容易取得。在此階段,我認為攻擊者尚未掌握更深層的帳戶資料。
短代碼與普通電話號碼混用
釣魚訊息採用了SMS 短代碼和常規電話號碼的組合發送。雖然企業通常使用短代碼進行官方通訊,但攻擊者可以偽造或回收這些短代碼。但要注意的是,正規服務永遠不會使用普通電話號碼發送安全警報。來自標準長度號碼的資訊應始終保持懷疑態度。
要求透過非官方或不熟悉的網域進行操作
攻擊者要求我造訪託管在vault-coinbase.com 上的釣魚網站,這個網域初看似乎正常,但實際上與Coinbase 毫無關聯。在輸入任何資訊之前,請務必仔細檢查網域名稱和SSL 憑證。涉及敏感帳戶的操作應僅在公司的官方網域或應用程式上進行。
未經請求的來電和後續通訊
Coinbase 和大多數其他金融機構絕不會在你未主動發起支援請求的情況下致電。接到自稱來自「三級調查團隊」的電話是一個重大危險信號,特別是當這種來電與恐嚇策略和複雜的帳戶保護說明同時出現時。
未經請求的緊急情況和後果警告
網路釣魚攻擊者經常利用恐懼和緊迫感迫使受害者在未加思考的情況下採取行動。在本案例中,關於帳戶鎖定、資產被盜和保險覆蓋被取消的威脅都是典型的社會工程手段。
要求繞過官方管道
任何建議避免使用公司官方應用程式或網站的說辭,特別是當這些建議聲稱提供「更快」或「更安全」的替代方案時,都應該立即引起警覺。攻擊者可能會提供看似合法但實際上指向惡意域名的連結。
未經核實的案件編號或支持工單
提供「案件編號」來介紹一個客製化建造的網路釣魚門戶,這種做法製造了合法性的假象。沒有任何正規服務會要求使用者透過帶有案件編號的外部自訂連結來驗證身分或執行操作。
真假訊息混雜
攻擊者經常將真實的個人資訊(如電子郵件或部分社會安全號碼)與模糊或不準確的資訊混合使用,以增強可信度。任何不一致之處或對「鏈」、「錢包」或「安全審查」的模糊提及都應引起懷疑。
在替代方案建議中使用真實公司名稱
引入像SafePal 這樣可信的名稱(即使這些公司確實合法)可能是一種轉移注意力的策略。這種做法在提供看似有選擇餘地和合法性的同時,實際上將受害者導向惡意操作。
過度熱心卻不進行驗證
攻擊者表現得很有耐心,鼓勵我自己進行研究,而且最初並未要求敏感資訊。這種行為模仿了真正的客服人員,使得騙局顯得非常專業。任何「好得不像真的」的未經請求的幫助都應引起懷疑。
主動防護措施和建議
在交易所啟用交易級驗證
在交換設定中啟用雙重認證和基於驗證碼的驗證。這確保任何嘗試發送或轉移資金的操作都需要發送到你信任的設備進行即時確認,從而防止未經授權的交易。
始終透過合法、已驗證的管道聯繫服務供應商
在本案例中,我透過直接登入官方平台並提交支援請求來聯絡我的行動服務提供者和Coinbase。當帳戶安全受到威脅時,這是與客服人員互動最安全也是唯一恰當的方式。
交易所客服人員絕不會要求你移動、存取或保護資金
他們也不會要求或提供你的錢包助記詞,不會要求你的雙重驗證碼,更不會試圖遠端存取或在你的裝置上安裝軟體。
考慮使用多重簽名錢包或冷錢包儲存解決方案
多重簽名錢包需要多方批准授權交易,而冷錢包則使你的私鑰完全保持離線狀態。這兩種方法都能有效保護長期持有的資產免受遠端釣魚或惡意軟體攻擊。
收藏官方網址並避免點擊來自未經請求信息的鏈接
手動輸入網址或使用可信任的收藏夾是避免網域欺騙的最佳方式。
使用密碼管理器識別可疑網站並維護強密碼
密碼管理器透過在虛假或未知網域上拒絕自動填入來幫助防止釣魚嘗試。定期更換密碼,如果懷疑遭受惡意攻擊,應立即更改密碼。
定期審查關聯應用程式、API 金鑰和第三方集成
撤銷任何你不再使用或無法識別的應用程式或服務的存取權限。
在可用處啟用即時帳戶提醒
登入、提款或安全設定變更的通知能提供未經授權活動的關鍵早期預警。
向服務提供者的官方支援團隊報告所有可疑活動
早期報告有助於防止更廣泛的攻擊,並為平台整體的安全防護做出貢獻。
結論
對於金融機構、IT 安全團隊和高階主管來說,這次攻擊突顯了歷史數據在被重新利用並與即時社會工程學相結合時,駭客能夠繞過甚至最成熟的安全防護。威脅行為者不再僅僅依賴暴力攻擊,而是執行協調的跨管道策略,透過模仿合法工作流程來獲取信任並欺騙使用者。
我們不僅要保護系統和網路安全,還要識別威脅並採取行動保護自己。無論是在加密機構上班還是在家中管理加密資產,每個人都必須理解個人安全漏洞如何演變成系統性風險的。
為了防範這些威脅,機構必須分層防禦,如網域監控、自適應認證、防釣魚的多因素認證以及清晰的通訊協議。同樣重要的是企業必須培養網路安全素養文化,讓從工程師到高階主管的每位員工都理解自己在保護企業中的角色。在當今環境中,安全不僅是一項技術職能,更是從個人到整個組織都需要共同承擔的責任。
