网络安全公司CloudSEK的一项研究显示,暗网市场和论坛上,带有黄金认证徽章的X(原推特,Twitter)帐户的销售量正在增加。
这项名为“暗网淘金热 – Twitter Gold”的研究指出,在 X (以前称为 Twitter)上很容易获得金色(Gold)认证徽章,这吸引了恶意行为者购买和入侵账户,以进一步开展其恶意活动。
报告进一步指出,威胁行为者可以利用 Twitter Gold 认证帐户传播虚假信息、进行网络钓鱼攻击并窃取用户的敏感数据,这使个人和企业面临严重风险。
“被黑客攻击或泄露的 Twitter 帐户可能会被用来大规模传播网络钓鱼活动。这反过来又损害了帐户被盗的公司的声誉和品牌,清楚地表明公司缺乏严格的安全政策和薄弱的事件响应计划,”报告的部分内容写道。
X Gold 是2023 年推出的一项高级功能。除了蓝色和灰色的勾号之外,它还为帐户提供金色徽章,代表权威和品牌知名度。
根据这项研究,这些类型的X帐户可以在暗网平台上广泛购买,价格从基本帐户的 35 美元到拥有大量关注者的帐户的 2000 美元不等。
为了获取这些账户的访问权限,威胁行为者正在采用暴力破解密码和凭据盗窃等技术。获得这些账户后,这些帐户将被用于各种恶意活动,例如网络钓鱼、诈骗活动和冒充真实帐户。
“当一个未使用和不活动的账户被替换为威胁行为者的数据时,主要用户将无法恢复该帐户。一旦帐户被完全接管,威胁行为者就会订阅 Twitter Gold 套餐 30 天。
研究强调:“威胁行为者提供的服务套餐可确保买家在 30 天内使用该账户不会遇到任何麻烦,与此同时,诈骗活动也通过该账户达到了目的。”
报告以以太坊联合创始人Vitalik Buterin为例,称2023 年 9 月,他的 X 账户遭到网络攻击,攻击者控制了 Buterin 的个人资料,并通过发布欺骗性信息来利用他的大量粉丝,向毫无戒心的用户提供免费的不可替代代币(NFT)。
推文中嵌入的恶意链接将用户引导至一个虚假网站,旨在从他们的加密钱包中盗取加密货币。尽管黑客只活跃了大约 20 分钟,黑客还是在删除欺诈性帖子之前成功窃取了价值 691,000 美元的数字资产。
报告还提出了一些减少企业危害的建议。报告建议对员工进行有关工作场所网络安全程序的教育和培训,同时还建议更新密码规定,如定期更改账户密码,并让员工意识到使用破解软件的风险。