十年网络安全专家险些中招,最新型钓鱼攻击正在蔓延
原文作者:Christoper Rosa
原文编译:AididiaoJP,Foresight News
连这位网络安全专家都险些中招
上周末,有消息称一个包含 160 亿条用户身份的庞大数据集开始在网上传播,其中既包含过去泄露的信息,也含有新近盗取的登录数据。目前尚不清楚是谁更新了这个数据集并将其重新发布。虽然该数据库中大部分是过往数据泄露事件的重新整理,但再次更新的数据让人感到不安。这个数据集被视为有 史以来最大规模 的单一泄露账户集合之一。
黑客们正在利用这些数据做出多种攻击,而我成为了他们的目标之一。
6 月 19 日针对我个人设备和账户发起的钓鱼攻击,是我十年网络安全职业生涯中遭遇过最精密的攻击。攻击者首先制造出我的账户正在多个平台遭受攻击的假象,随后冒充 Coinbase 员工主动提供「帮助」。他们将经典的社会工程学手段与跨短信、电话和伪造邮件的协同战术相结合,所有设计都旨在营造虚假的紧迫感、可信度和规模效应。这场虚假攻击波及面广且极具权威性,而这正是攻击如此具有欺骗性的关键所在。
下文将详细还原攻击过程,剖析我在此过程中察觉的危险信号,以及我采取的防护措施。同时我将分享关键教训和实用建议,帮助加密投资者在攻击不断升级的威胁环境中保障安全。
历史数据与新近泄露的数据可被黑客用于实施高度定向的多渠道攻击。再次印证了分层安全防护、清晰的用户沟通机制和实时响应策略的重要性。无论是机构还是个人用户,都能从这个案例中获得实用工具,包括验证协议、域名识别习惯和响应步骤,这些能帮助防止一时疏忽演变成重大安全漏洞。
SIM 卡劫持
攻击始于美国东部时间周四下午 3: 15 左右,一条匿名短信说有人正试图诱骗移动运营商将我的电话号码泄露给他人,这种攻击手段被称为 SIM 交换。
请注意这条信息并非来自短信号码,而是一个常规的 10 位数电话号码。正规企业发送短信都会使用短代码。如果你收到来自未知标准长度号码、声称是企业的短信,极可能是诈骗或钓鱼尝试。
这些信息还包含自相矛盾的内容。首条短信显示泄露来自旧金山湾区,而后续消息却说发生在阿姆斯特丹。
SIM 交换一旦成功将极其危险,因为攻击者可获取多数公司用于重置密码或访问账户的一次性验证码。不过这次并非真实的 SIM 交换,黑客是在为后续更精密的骗局做铺垫。
一次性验证码与密码重置
攻击随后升级,我陆续收到据称来自 Venmo 和 PayPal 的一次性验证码,通过短信和 WhatsApp 发送。这是让我相信有人正尝试登录我在各个金融平台的账户。与可疑的运营商短信不同,这些验证码确实来自看似合法的短代码。
Coinbase 钓鱼电话
收到短信约五分钟后,我接到了一个加州号码的来电。自称「Mason」的来电者操着纯正的美式口音,声称来自 Coinbase 调查团队。他说过去 30 分钟内,通过 Coinbase 聊天窗口出现了超过 30 次尝试重置密码并入侵账户的行为。据「Mason」描述,所谓攻击者已通过密码重置的第一层安全验证,但在第二层认证时失败。
他告诉我,对方能提供我身份证后四位、完整驾照号码、家庭住址和全名,但未能给出完整身份证号码或关联 Coinbase 账户的银行卡后四位。Mason 解释称,正是这个矛盾触发了 Coinbase 安全团队的警报,促使他们联系我以验证真假。
像 Coinbase 这样的正规交易所绝不会主动致电用户,除非你通过官网发起服务请求。了解更多交易所客服规范,请阅读这份 Coinbase 文档 。
安全检查
告知这个「坏消息」后,Mason 提出通过封锁额外攻击渠道来保护我的账户。他从 API 连接和关联钱包着手,声称将撤销它们的访问权限以降低风险。他列举了多个连接对象,包括 Bitstamp、TradingView、MetaMask 钱包等,其中有些我并不认识,但我假设可能是自己曾经设置却忘记了。
此时我的戒备心已降低,甚至因 Coinbase「主动保护」而感到安心。
至此 Mason 尚未索要任何个人信息、钱包地址、双重验证码或一次性密码,这些通常都是钓鱼者的常见索要信息,整个互动过程安全性很高且具有预防性。
隐性施压手段
接下来出现了首次施压尝试,通过制造紧迫感和脆弱感。完成所谓「安全检查」后,Mason 声称由于我的账户被标记为高风险,Coinbase One 订阅服务的账户保护已被终止。这意味着我的 Coinbase 钱包资产不再受 FDIC 保险覆盖,若攻击者成功盗取资金,我将无法获得任何赔偿。
现在回想起来这套说辞本应成为明显的破绽。与银行存款不同,加密资产从来不受 FDIC 保险保护,虽然 Coinbase 可能将客户美元存放在 FDIC 承保银行,但交易所本身并非受保机构。
Mason 还警告 24 小时倒计时已经开始,逾期账户将被锁定。解锁将需要复杂冗长的流程。更可怕的是,他声称若攻击者在此期间获取我的完整社会安全号,甚至能在账户冻结状态下盗取资金。
后来我咨询真正的 Coinbase 客服团队得知,锁定账户正是他们推荐的安全措施。解锁过程其实简单安全:提供身份证照片和自拍,交易所验证身份后即可快速恢复访问。
随后我收到两封邮件。第一封是 Coinbase Bytes 新闻订阅确认函,这只是攻击者通过官网表单提交我的邮箱触发的正常邮件。这显然是企图用 Coinbase 官方邮件混淆我的判断,以增强骗局可信度。
第二封更令人不安的邮件来自 no-reply@info.coinbase.com,声明我的 Coinbase One 账户保护已被取消。这封看似来自正规 Coinbase 域名的邮件极具迷惑性——若来自可疑域名本可轻易识破,但因其显示为官方地址而显得真实可信。
建议的补救措施
Mason 接着提议将我的资产转入名为 Coinbase Vault 的多签钱包来确保安全。他甚至让我谷歌搜索「Coinbase Vault」查阅官方文档,以证明这是 Coinbase 多年来的正规服务。
我表示在未充分调查前不愿做如此重大变更。他表示理解并鼓励我仔细研究,同时支持我先联系运营商防范 SIM 交换。他称 30 分钟后会回电继续后续步骤。挂断后我立即收到短信确认此次通话及预约。
回电与 Coinbase Vault
确认运营商处无 SIM 转移尝试后,我立即修改了所有账户密码。Mason 如约回电,我们开始讨论下一步。
此时我已核实 Coinbase Vault 确为 Coinbase 提供的真实服务,这是一种通过多签授权和 24 小时延迟提现增强安全性的托管方案,但并非真正的自托管冷钱包。
Mason 随后发来 vault-coinbase.com 的链接,声称可复查首次通话中讨论的安全设置。完成复查后即可将资产转入 Vault,此刻我的网络安全的专业性终于出现。
输入他提供的案例编号后,打开的页面显示着所谓的「已移除 API 连接」和「创建 Coinbase Vault」按钮。我立即检查网站 SSL 证书,发现这个注册仅一个月的域名与 Coinbase 毫无关联。虽然 SSL 证书通常能营造合法性假象,但正规企业证书都有明确归属,这一发现让我立即停止操作。
Coinbase 明确表示 绝不会使用非官方域名。即便使用第三方服务,也应是 vault.coinbase.com 这类子域名。涉及交易所账户的任何操作都应通过官方 APP 或网站进行。
我向 Mason 表明疑虑,强调只愿通过官方 APP 操作。他辩称 APP 操作会导致 48 小时延迟,而账户 24 小时后就将锁定。我再次拒绝仓促决定,他遂表示将案例升级至「三级支持团队」尝试恢复我的 Coinbase One 保护。
挂断电话后,我持续验证其他账户安全,不安感愈发强烈。
「三级支持团队」来电
约半小时后,德州号码来电。另一位美式口音者自称三级调查员,正处理我的 Coinbase One 恢复申请。他声称需要 7 天审核期,期间账户仍无保险。他还「贴心」建议为不同链上资产开设多个 Vault,看似专业,实则从未提及具体资产,仅模糊指称「以太坊、比特币等」。
他提到将向法务部门申请发送聊天记录,随后又开始推销 Coinbase Vault。作为备选,他推荐了名为 SafePal 的第三方钱包,虽然 SafePal 确是正规硬件钱包,但这显然是为骗取信任的铺垫。
当我再次质疑 vault-coinbase.com 域名时,对方仍试图消除疑虑。至此攻击者可能意识到难以得逞,最终放弃了本次的钓鱼攻击。
联系 Coinbase 真客服
与第二位假客服结束通话后,我立即通过 Coinbase.com 提交申请。真正的客服代表迅速确认我的账户并无异常登录或密码重置请求。
他建议立即锁定账户,并收集攻击详情提交调查团队。我提供了所有欺诈域名、电话号码和攻击途径,特别询问了 no-reply@info.coinbase.com 的发件权限问题。客服承认这非常严重,承诺安全团队将彻底调查。
联系交易所或托管商客服时,务必通过官方渠道。正规企业绝不会主动联系用户。
经验总结
虽然侥幸未受骗,但作为前网络安全从业者,这次险些中招的经历令我深感不安。若非专业训练,我可能已被骗。若仅是普通陌生来电,我定会直接挂断。正是攻击者精心设计的连环行动,营造出紧迫感和权威性,才使得这场钓鱼如此危险。
我总结出以下危险信号和防护建议,希望能帮助加密投资者在当前网络环境中保障资金安全。
危险信号
协同虚假警报制造混乱与紧迫感
攻击者首先通过一系列 SIM 卡交换警报和来自 Venmo、PayPal 等服务的一次性验证码请求(同时通过短信和 WhatsApp 发送),刻意制造多个平台同时遭受攻击的假象。这些信息很可能仅需获取我的手机号码和电子邮箱即可触发,这些信息很容易被获取。在此阶段,我认为攻击者尚未掌握更深层的账户数据。
短代码与普通电话号码混用
钓鱼信息采用了 SMS 短代码和常规电话号码的组合发送。虽然企业通常使用短代码进行官方通讯,但攻击者可以伪造或回收利用这些短代码。但需要注意的是,正规服务永远不会使用普通电话号码发送安全警报。来自标准长度号码的信息应始终保持怀疑态度。
要求通过非官方或不熟悉的域名进行操作
攻击者要求我访问托管在 vault-coinbase.com 上的钓鱼网站,这个域名初看似乎正常,但实际上与 Coinbase 毫无关联。在输入任何信息前,务必仔细检查域名名称和 SSL 证书。涉及敏感账户的操作应仅在公司的官方域名或应用程序上进行。
未经请求的来电和后续通讯
Coinbase 和大多数其他金融机构绝不会在你未主动发起支持请求的情况下致电。接到自称来自「三级调查团队」的电话是一个重大危险信号,特别是当这种来电与恐吓策略和复杂的账户保护说明同时出现时。
未经请求的紧急情况和后果警告
网络钓鱼攻击者经常利用恐惧和紧迫感迫使受害者在未加思考的情况下采取行动。在本案例中,关于账户锁定、资产被盗和保险覆盖被取消的威胁都是典型的社会工程学手段。
要求绕过官方渠道
任何建议避免使用公司官方应用程序或网站的说辞,特别是当这些建议声称提供「更快」或「更安全」的替代方案时,都应该立即引起警觉。攻击者可能会提供看似合法但实际上指向恶意域名的链接。
未经核实的案件编号或支持工单
提供「案件编号」来介绍一个定制构建的网络钓鱼门户,这种做法制造了合法性的假象。没有任何正规服务会要求用户通过带有案件编号的外部定制链接来验证身份或执行操作。
真假信息混杂
攻击者经常将真实的个人信息(如电子邮箱或部分社会安全号码)与模糊或不准确的信息混合使用,以增强可信度。任何不一致之处或对「链」、「钱包」或「安全审查」的模糊提及都应引起怀疑。
在替代方案建议中使用真实公司名称
引入像 SafePal 这样可信的名称(即使这些公司确实合法)可能是一种转移注意力的策略。这种做法在提供看似有选择余地和合法性的同时,实际上将受害者导向恶意操作。
过度热心却不进行验证
攻击者表现得很有耐心,鼓励我自己进行研究,而且最初并未索要敏感信息。这种行为模仿了真正的客服人员,使得骗局显得很专业。任何「好得不像真的」的未经请求的帮助都应引起怀疑。
主动防护措施和建议
在交易所启用交易级验证
在交易所设置中启用双重认证和基于验证码的验证。这确保任何尝试发送或转移资金的操作都需要发送到你信任的设备进行实时确认,从而防止未经授权的交易。
始终通过合法、已验证的渠道联系服务提供商
在本案例中,我通过直接登录官方平台并提交支持请求来联系我的移动服务提供商和 Coinbase。当账户安全受到威胁时,这是与客服人员互动最安全也是唯一恰当的方式。
交易所客服人员绝不会要求你移动、访问或保护资金
他们也不会要求或提供你的钱包助记词,不会索要你的双重验证码,更不会试图远程访问或在你的设备上安装软件。
考虑使用多重签名钱包或冷钱包储存解决方案
多重签名钱包需要多方批准才能授权交易,而冷钱包则使你的私钥完全保持离线状态。这两种方法都能有效保护长期持有的资产免受远程钓鱼或恶意软件攻击。
收藏官方网址并避免点击来自未经请求信息的链接
手动输入网址或使用可信的收藏夹是避免域名欺骗的最佳方式。
使用密码管理器识别可疑网站并维护强密码
密码管理器通过在虚假或未知域名上拒绝自动填充来帮助防止钓鱼尝试。定期更换密码,如果怀疑遭受恶意攻击,应立即更改密码。
定期审查关联应用、API 密钥和第三方集成
撤销任何你不再使用或无法识别的应用或服务的访问权限。
在可用处启用实时账户提醒
登录、提款或安全设置变更的通知能提供未经授权活动的关键早期预警。
向服务提供商的官方支持团队报告所有可疑活动
早期报告有助于防止更广泛的攻击,并为平台整体的安全防护做出贡献。
结论
对于金融机构、IT 安全团队和高管层来说,这次攻击突显了历史数据在被重新利用并与实时社会工程学相结合时,黑客能够绕过甚至最成熟的安全防护。威胁行为者不再仅仅依赖暴力攻击,而是执行协调的跨渠道策略,通过模仿合法工作流程来获取信任并欺骗用户。
我们不仅要保护系统和网络安全,还要识别威胁并采取行动保护自己。无论是在加密机构上班还是在家管理加密资产,每个人都必须理解个人安全漏洞如何演变成系统性风险的。
为了防范这些威胁,机构必须分层防御,如域名监控、自适应认证、防钓鱼的多因素认证以及清晰的通讯协议。同样重要的是企业必须培养网络安全素养文化,让从工程师到高管的每个员工都理解自己在保护企业中的角色。在当今环境中,安全不仅是一项技术职能,更是从个人到整个组织都需要共同承担的责任。
