背景概述
近期 Web3 項目方/名人的 X 賬號被盜并被用于發(fā)送釣魚推文的事件頻發(fā),黑客善于利用各種手段盜取用戶賬號����,較為常見的套路如下:
誘導用戶點擊假冒的 Calendly/Kakao 會議預約鏈接����,從而竊取用戶賬號的授權(quán)或控制用戶的設備���;
私信誘騙用戶下載帶木馬的程序(假冒游戲、會議程序等)���,木馬除了會盜取私鑰/助記詞之外,可能還會竊取 X 賬號權(quán)限��;
利用 SIM Swap 攻擊���,竊取依賴手機號的 X 賬號權(quán)限���。
慢霧安全團隊協(xié)助解決了多起類似事件,如 7 月 20 日���,TinTinLand 項目方 X 賬號被盜����,攻擊者置頂了一條含有釣魚鏈接的推文����。在慢霧安全團隊的協(xié)助下�,TinTinLand 及時解決了賬號被盜問題��,并對 X 賬號進行了授權(quán)審查和安全加固��。
授權(quán)排查
我們以 Web 端為例,打開 x.com 頁面后��,點擊側(cè)邊欄的“More”��,找到“Settings and privacy”選項,這里主要用于設置賬號的安全和隱私���。
查看授權(quán)過的應用
很多釣魚方式是利用用戶誤點擊授權(quán)應用鏈接,導致把 X 賬號的發(fā)推權(quán)限授權(quán)出去��,隨后賬號被用于發(fā)送釣魚信息。
排查方法:選擇“Apps and sessions”欄目�����,查看賬號授權(quán)給了哪些應用��,如下圖��,演示賬號授權(quán)給了這 3 個應用���。
查看委托情況
排查方法:Settings → Security and account access → Delegate
查看異常登錄日志
如果用戶懷疑賬號被惡意登錄���,可以通過排查登錄日志來查看異常登錄的設備����,日期和地點。
排查方法:Settings → Security and account access → Apps and sessions → Account access history
查看登錄設備
如果 X 賬號被盜后發(fā)生惡意登錄����,用戶可以通過查看當前賬號的登錄設備,然后將惡意登錄的設備踢下線��。
排查方法:選擇“Log out the device shown”��,將賬號從某個設備注銷退出�。
安全設置2FA 驗證
用戶可以通過開啟 2FA 驗證�,為賬號開啟雙重驗證保險�����,避免密碼泄漏后賬號直接被接管的風險�����。
配置方法:Settings → Security and account access → Security → Two-factor authentication
額外的密碼保護
除了設置賬號密碼和 2FA 外�����,用戶還可以開啟額外的密碼保護來進一步增強 X 賬號安全性��。
配置方法:Settings → Security and account access → Security → Additional password protection
總結(jié)
定期檢查授權(quán)應用和登錄活動是確保賬號安全的關(guān)鍵,慢霧安全團隊建議用戶定期根據(jù)排查步驟對 X 賬號進行授權(quán)排查,從而加強賬號的安全性�,降低被黑客攻擊的風險�����。如果發(fā)現(xiàn)賬號被黑,請立即采取措施�,修改賬號密碼����,進行授權(quán)排查�����,撤銷可疑授權(quán)���,并對賬號進行安全增強設置�����。
