针对加密货币投资者的社会工程攻击:骗子如何利用Zoom和Google窃取资金
加密货币诈骗者不断精进其手段,从简单的骗局转向基于社会工程学的复杂攻击。其中最危险且复杂的技巧并不需要黑客入侵或窃取密码——而是直接操纵用户以获取账户访问权限。一个真实案例中,一位经验丰富的专业人士遭遇了此类攻击,尽管启用了双重验证(2FA),仍因精心设计的背景故事与精准时机而蒙受财务损失。
攻击机制:从初次接触至资金盗取
该攻击并非始于技术漏洞,而是心理操控。诈骗者会细致研究目标对象——分析其职业活动、公开联系人及潜在弱点。本案中,目标人物在某个加密聊天群组中被识别,其个人资料显示参与市场营销工作,这为构建逼真的伪装故事提供了依据。
互动阶段:
- 初次接触: 诈骗者冒充某真实公司高管的助理,提供可验证的信息(公司名称、带有历史记录的官网、地理位置接近)。
- 建立信任: 展开长时间的专业交流,讨论项目细节、提问、分享语音消息——完全模仿标准的承包商招聘流程。
- 过渡到‘决定性’会议: 诈骗者提议通过Zoom召开与‘高管’的电话会议以敲定条款,并强调准时出席,制造心理压力。
关键时刻是,Zoom会议链接恰好在预定时间发送。链接本身合法,但会议设置要求加入前进行身份验证。这触发了攻击的核心机制。
技术执行:操控身份验证流程
当用户尝试加入会议时,Zoom会提示身份验证(例如通过Google)。就在这一瞬间,诈骗者在其设备上使用已知邮箱登录目标的Google账户。
Google检测到来自新设备的登录请求,向账户所有者的手机发送推送通知以请求确认。用户正准备参加一场关键商务会议,看到的是Zoom的身份验证请求,便自然地予以确认——却未意识到自己同时授予了诈骗者访问其Google账户的权限。
确认后发生的情况:
- 诈骗者获得对目标Google账户的完全访问权限。
- 由于用户的设备已被信任,诈骗者也能成功登录Zoom并加入会议。
- 此时,两人——真正的账户持有者与诈骗者——同时存在于账户中,但受害者毫无察觉。
在长达一小时的会议期间,诈骗者(伪装成‘助理’和‘高管’)进行详尽且逼真的业务对话,与此同时,另一名诈骗者利用对Google账户的访问权限窃取资金。
为什么双重验证(2FA)无效?
本案例中,目标用户已在加密货币交易所通过Google Authenticator启用了2FA,但依然未能阻止攻击者。
关键漏洞: 默认情况下,Google Authenticator通过用户的Google账户同步密钥(种子)。一旦诈骗者攻破主Google账户,这些同步的2FA密钥也随之暴露。结果,所有由Authenticator保护的令牌均面临风险。
Google并未向普通用户清晰传达此风险。同步设置通常默认开启,或在文档中描述时未强调相关安全威胁。
针对技术人员的实际防护措施
对于从事加密货币开发或管理关键账户的开发者与IT专业人员,必须采取特定的技术措施以降低此类攻击风险。
必需设置与实践清单:
- 关闭Google Authenticator中的同步功能: 在应用设置中明确禁用通过Google账户同步密钥的功能,防止主账户泄露导致密钥被窃取。
- 使用独立的硬件或软件2FA解决方案: 考虑切换至独立方案,如YubiKey,或不通过云服务同步数据的认证应用(例如关闭同步功能的Authy或Aegis)。
- 配置交易所限额与延迟: 在加密货币交易所中,始终启用:
* 仅允许向‘白名单’(地址簿)中预设的地址提现。
* 对任何新增地址的首次提现设置延迟(例如24小时)。
- 关键验证推送通知: 绝不未经核实上下文就确认登录或授权请求。若当前并无登录特定服务的预期,请忽略或拒绝该请求。
- 账户隔离: 不要使用单一主邮箱(尤其是公开邮箱)登录所有关键服务,如交易所、银行或云存储。为高风险操作创建独立账户。
案例核心启示
- 社会工程是主要攻击路径。 当今最危险的攻击依赖于操控人类行为,而非利用技术缺陷。
- 2FA同步存在隐藏威胁。 使用通过Google账户同步的Google Authenticator,相当于创建了一个单一故障点。
- 时机是诈骗者的工具。 精准协调行动(发送链接、启动会议、触发验证请求)营造出合乎逻辑的情境,使用户无意识地授予权限。
- 分心是策略的一部分。 长时间、逼真的互动(通话、消息)用于掩盖用户在其他服务中发生的异常活动(登录提醒、设置变更)。
- 公开信息是攻击目标来源。 诈骗者分析专业社交平台和聊天群组中的公开资料,识别目标并构建个性化叙事。
此次攻击展示了威胁的演变:诈骗者如今投入时间设计复杂、多阶段的场景,绕过传统技术防御。应对措施不能仅停留在系统配置层面——还需提升对心理操控的认知,并重新评估个人账户安全架构,尤其对管理数字资产者而言至关重要。
— Editorial Team
暂无评论。