9月28日,安全社区披露一起针对加密领域人士的高隐蔽性钓鱼攻击事件。攻击者利用X平台的第三方应用授权机制,绕过常规密码及双重验证(2FA)等安全措施,已导致多位行业知名人士账号遭到劫持。
据悉,此次攻击通过伪装成Google Calendar的活动邀请链接进行传播,诱导用户点击并授权名为“Calendar”的恶意应用。该链接实际包含经过伪装的字符,并在授权过程中请求获得对X账号的完全控制权限,从而在用户不知情下实现账号接管。
安全专家紧急提醒,所有X平台用户,尤其是加密行业从业者及投资者,应立即检查账号的授权应用列表,及时撤销任何可疑的“Calendar”应用权限,以防范潜在资产与信息泄露风险。
对投资者的影响:
- 若投资者账号被劫持,可能面临关联加密资产被盗、虚假消息诱导交易等直接财务风险;
- 账号发布的可信度受损,可能被用于散布虚假利好或利空信息,扰乱市场秩序;
- 事件暴露出第三方平台集成安全漏洞,可能影响投资者对相关平台及关联项目的信任度;
- 提醒投资者加强账号安全管理,定期审查授权应用,启用多重验证,降低社交工程攻击风险。