最近几个月，越来越多加密项目、从业者，以及政客、明星的社交媒体账号被盗，随后发布诈骗信息。近期，部分Bitget员工亲历了类似的钓鱼攻击，在找回账号后，我们逐渐抽丝剥茧，发现黑客的新型攻击手法不断升级，已具有高度的迷惑性和隐蔽性。因此，我们准备了这篇文章，希望为整个行业的安全防护助力。

Bitget员工遭遇钓鱼攻击

5月中旬，一位负责商务拓展的Bitget员工收到来自合作方的推特私信，邀请他讨论一个潜在的合作。双方很快约定好会议时间，并开展了会议。会议中，对方发送了一些安装文件，以“功能测试”的名义，邀请Bitget员工体验。

之后的几天中，该员工陆续收到来自朋友和行业伙伴的问询 —— 你是不是给我发了一条奇怪的推特私信？意识到异常后，他与Bitget安全团队快速行动，通过绑定的邮箱等信息找回了账号。

针对加密推特账号的黑客攻击及获利方式

在随后的安全排查中，我们逐渐复盘出详细的黑客攻击手法，以及他们如何从中获利：

第一步：黑客通过已掌握的社交媒体账号，向“受害者”发送私信，引导其联系某Telegram账号，进一步商讨合作

❗安全提醒：

1. 这些私信不一定来自可疑的小号，甚至可能来自验证过的官方账号，但诈骗的私信并非官方团队发送

2. 此时，黑客已悄悄掌握这些官方账号的权限，并引导受害者前往Telegram进行下一步的诈骗

3. 黑客通常会在发送私信后立即删除，因此即使黑客可能已经发送了数百条私信，号主都并未察觉

第二步：受害人联系黑客的Telegram后，对方会提议进行在线会议，并在会议中邀请下载和安装特定文档

❗安全提醒：

1. 黑客的Telegram通常会伪装成某真实的员工，相关信息或许来自LinkedIn等平台，其账号ID可能与真实员工高度相似，比如混淆I（大写的i）和l（小写的L）

2. 黑客会在安装文件里植入了恶意代码，诱骗受害者安装，从而获取其电脑访问权限，并进一步盗取社交媒体账号，甚至是加密货币或法币资产

第三步：获取受害者设备权限后，黑客会先尝试直接盗取资产。随后，其会通过受害者的推特和Telegram账号，物色新的受害者，并通过该账号发送推特私信，引导其联系黑客控制的Telegram账号，以便进行后续的诈骗

❗安全提醒：

1. 如此前提到的，黑客会在发送私信后立即删除，让号主难以察觉自己的账号已被入侵

#p#分页标题#e#

2. 这也解释了为何诈骗信息可能来自验证后的官方账号，而这些账号却没有采取任何措施 —— 他们也还蒙在鼓里

第四步：当下一位受害者与黑客在Telegram上建立联系后，黑客会根据其伪装的身份，选择恰当的诈骗方式

❗安全提醒：

1. 若黑客伪装成交易所的工作人员，通常会以上币合作的名义，诱骗受害者转账

2. 若黑客伪装成项目方的工作人员，通常会以参加早期投资的名义，诱骗受害者转账

3. 若黑客伪装成投资机构的工作人员，通常会以投资合作等名义，诱骗受害者转账

4. 若其伪装的身份难以直接完成金钱获利，则将以此为踏板，诱骗其关系网内的其他人安装木马程序，进而获取对方账号权限，成为黑客新的诈骗工具

小结

本文提到的黑客攻击和获利手法，与以往的相同点是，黑客依然需要通过植入木马（安装特定的文件）的方式，实现对受害者设备的控制。但不同的是，黑客在手法上做了诸多优化：

1. 通过已掌握的验证推特账号私信受害者，可以大幅增加可信度，提升诈骗成功率

2. 私信后立即删除，让号主察觉不到异常，从而长期潜伏在该账号中 —— 过往的案例中，黑客获取账号后可能立即发布诈骗推文，以虚假活动、Scam代币等方式，快速收割，但该方式也会立即惊动号主与公众，引起警惕

3. 黑客用于与受害者进一步沟通的Telegram账号也经过精心伪装，通常会使用与官方人员高度相似的ID

如何识别与防范类似的钓鱼攻击