Mandiant X 账号劫持及加密货币欺诈调查

重要信息概述

Mandiant，谷歌旗下的网络安全公司，表示上周其 X（前身为
Twitter）账号的劫持事件可能是由于“暴力破解密码攻击”造成的。这起账号劫持是与一个名为 CLINKSINK的服务相关的加密货币钓鱼活动的一部分。

根据 Mandiant 公司的调查，估计在最近的活动中，有超过 90 万美元的 Solana (SOL) 加密货币被盗，涉及到 35 个 CLINKSINK关联方。这些关联方通常会将被盗加密货币的大约 20% 分享给 DaaS 操作者，而后者自跨年夜以来已经获得了超过 18 万美元的 SOL。

与此同时，Mandiant 在承认“团队过渡及 X 的双因素认证（2FA）政策变化”导致了安全漏洞后，正面临外界的审查。

Mandiant 是近期多起 X 账号劫持事件中的一家，这些事件最近还影响到了美国证券交易委员会（SEC），该事件一度动摇了比特币市场。

Mandiant 的 X/Twitter 被黑事件解释，2FA 政策被评论者质疑

Mandiant 在其博客中指出，除了其 X 账号之外，其他 Mandiant 或谷歌云系统在这一长达数小时的事件中并未受到影响。

该公司在周三下午发布的声明中提到，可能是由于“暴力破解”攻击，攻击者通过尝试多个密码成功登录了社交媒体账号。

在 Mandiant 的帖子评论中，一些批评者指出，这一解释值得怀疑，因为 X 的政策是在“有限数量的登录失败尝试”之后会暂时锁定账号。

“如果密码是 123Password，那就不可能，因为有速率限制。”一名用户评论说。

X 并未提供引发该措施所需的确切失败尝试次数，因此 SC 媒体在个人 X 账号上进行了登录测试。我们在第六次尝试输入错误密码后收到了账号被锁定的通知。

没有关于失败登录尝试的警报发送到与账号相关的电子邮件地址，而在临时锁定期间，我们也能通过 Google/Gmail 的登录选项访问账号。

Mandiant 没有详细说明导致泄露的双因素认证（2FA）政策变化，但这可能指的是 X 在 2023 年 3 月 20 日对于非高级用户删除了短信形式的
2FA 选项。

如果是这种情况，Mandiant 的账号在被攻陷时可能没有 2FA 保护。X 用户仍然可以免费使用身份验证应用或安全密钥等 2FA 方法。

“我们已对流程进行更改，以确保这种情况不会再发生，”Mandiant 在声明中表示。

谷歌发言人拒绝向 SC 媒体提供有关此次事件的更多细节。

CLINKSINK 关联方冒充合法加密货币网站以提取钱包资金

在攻陷了关注者超过 12.3 万的 Mandiant X 账号后，劫持者将账号名改为 @phantomsolw，冒充合法的 Phantom 加密货币钱包。

在被黑账号的一条推文中，CLINKSINK 关联方推广了一项声称可以通过点击链接领取免费 $PHNTM 代币的机会。点击链接后，用户会被要求连接他们的
Solana 钱包并签署交易以领取宣传的代币空投。

与钓鱼网站相关的 JavaScript 基于 CLINKSINK 的提取器会进行检查，以验证受害者是否安装了 Phantom 桌面钱包，并能够调查连接的
Solana 钱包以检查详细信息，包括余额。CLINKSINK 还会将提取的资金分配给关联方和操作者账户，通常按照 80% 和 20% 的比例分配。

在 Mandiant 被劫的事件中，由于 Phantom 识别出该站点为恶意网站并阻止用户连接他们的钱包，该钓鱼计划未能成功。

劫持者随后删除了钓鱼推文，并转而利用 Mandiant 账号嘲讽该公司，发布诸如“找到书签可在你拿回账号时查看”等消息。

Mandiant 还发现了其他合法的加密工具，如 DappRadar 和 BONK