ハッカーが洗練されたフィッシングでインフルエンサーを乗っ取り、Xは暗号の最も弱いリンクになる

新たなフィッシング・キャンペーンが暗号の中心を襲っている。長い間、開発者、トレーダー、投資家がアイデアを交換し、物語を形成するデジタルの町の広場と見なされてきたXのプラットフォームが、今、包囲されている。

ハッカーは、二要素認証を回避する高度なフィッシング攻撃によって暗号インフルエンサーのアカウントを乗っ取り、技術革新を促進する空間そのものを、操作や欺瞞に利用できる戦場に変えている。

この新たなフィッシング詐欺は、二要素認証をバイパスするほど高度な攻撃で、暗号コミュニティにとって最も重要なコミュニケーション・ハブのひとつを最大の脆弱性に変えてしまう。

暗号開発者のザック・コールは、フィッシング詐欺の脅威を警告し、いち早く警鐘を鳴らした。

検出ゼロ。今すぐアクティブに。完全なアカウント乗っ取り。従来のフィッシング詐欺とは異なり、この攻撃は偽のログインページや盗まれたパスワードには依存していない。その代わりに、X自身のアプリ認証システムを悪用し、2FAや標準的なセーフガードをすり抜ける特権的なアクセスを攻撃者に与える；

MetaMaskのセキュリティ研究者であるオーム・シャーは、このフィッシング攻撃が、暗号の世界内外のエンティティに対するより広範な攻撃キャンペーンであることを確認した。

暗号インフルエンサーが格好の標的である理由

暗号では、評判とリーチが通貨である。開発者、研究者、インフルエンサーのアカウントを乗っ取ることで、詐欺師は大規模なオーディエンスを即座に武器化し、信頼できる声を装って悪意のあるリンクを広めることができる。このキャンペーンが特に危険と感じられるのはそのためだ。暗号のオンライン・エコシステムを機能させるための薄い信頼ラインを侵食しているのだ。

この攻撃は、グーグルカレンダーへのリンクを含むXのダイレクトメッセージから始まる。メタデータを巧みに利用し、Xのプレビュー・システムを騙して「calendar.google.com」と表示させる。実際のドメインは「x(.)ca-lendar(.)com」であるにもかかわらず、この詐欺のために登録されたばかりのものだ。

コールの例では、ベンチャー・キャピタル大手のアンドリーセン・ホロウィッツを名乗るフィッシング・リンクを受け取った。

リンクをクリックするとX認証ページにリダイレクトされ、"Calendar "というラベルのアプリを承認するよう促される。さらに詳しく調べると、アプリ名にはキリル文字に似た "a "と "e "が含まれており、正規版と区別できることがわかった。

いったん認証されると、悪意のあるアプリはプロフィールの編集、コンテンツの投稿、ユーザーのフォローやアンフォローなど、広範囲に渡るパーミッションを要求し、実質的に攻撃者にアカウントの鍵を渡すことになる。一部の被害者は、calendly.comへのリダイレクトのような矛盾を発見するかもしれないが、ほとんどの場合、引き継ぎはシームレスである。

Xの「接続アプリ」をチェックし、不審な「カレンダー」の権限を即座に取り消すことだ。このエクスプロイトは盗まれたパスワードに依存しないため、セキュリティ衛生に強いユーザーであっても、アプリの接続を監査しない限り、脆弱性が残る。

暗号通貨のソーシャルメディア依存は時限爆弾だ

このキャンペーンは不快な真実を浮き彫りにしている。暗号はブロックチェーンが機能不全に陥ったときに崩壊するのではなく、コミュニケーション・チャンネルが侵害されたときに崩壊するのだ。Xは暗号の街の広場となったが、そのセキュリティの抜け穴は今や業界そのものを弱体化させる恐れがある。

ハッカーがアプリの認証のような日常的なプラットフォーム機能を武器にする中、「ユーザーはもっと注意すべきだった」というシナリオはもはや成り立たない。Xのようなプラットフォームが防御を強化するまでは、すべてのインフルエンサー、開発者、取引所のアカウントは公平なゲームだ。

暗号では、1つの乗っ取られたアカウントは単なる個人的な損失ではなく、市場の混乱を引き起こし、ウォレットから資金を流出させ、信頼を一瞬で破壊する可能性がある。問題は、Xが暗号の最も弱いリンクであるかどうかではなく、業界がいつまでそれを無視できるかということだ。