网络钓鱼攻击日益复杂

网络钓鱼攻击变得更加复杂

甚至这位网络安全老兵也差点中招

上周末，有消息称，一个包含 160 亿用户凭据的庞大数据集在网上流传，其中结合了先前泄露的信息和新获取的登录数据。目前尚不清楚是谁编译了该数据集或谁重新发布了它。虽然大部分内容是由过去泄露事件中重新利用的数据组成，但由于包含了新的凭据，因此特别危险。这个数据集现在被认为是迄今为止已知的最大的单一用户帐户泄露集合之一。

黑客毫不犹豫地通过各种攻击途径利用这些数据。我可能就是他们的目标之一。

6 月 19 日，我个人（非 Galaxy）的设备和帐户遭受了网络钓鱼攻击，这是我在职业生涯中遇到的最复杂的攻击，包括在网络安全领域工作的 10 年。攻击者首先伪装成我的帐户正在多个平台上受到攻击，然后冒充 Coinbase 员工，声称可以帮助我阻止攻击。他们将经典社会工程与跨短信、电话和欺骗性电子邮件的协调策略相结合——所有这些都是为了营造一种虚假的紧迫感、合法性和规模感。虚假的攻击感觉范围很广且具有权威性，这正是真实攻击如此具有说服力的原因。

接下来是对攻击如何展开、我在过程中注意到的危险信号以及我采取的保护措施的详细分解。我还将分享关键经验教训和实用建议，以帮助数字资产投资者在类似威胁不断演变的情况下保持安全。

这次事件表明，旧数据与新泄露的凭据相结合，可用于高度定向的多渠道攻击。它再次强调了分层安全、清晰的用户沟通实践和实时响应策略的重要性。机构和个人用户都将在这个故事中找到实用的工具，包括验证协议、域名意识习惯和响应步骤，这些可以帮助防止一时的困惑演变成重大违规行为。

SIM 卡交换

攻击始于东部时间周四下午 3:15 左右，一条来自不明发件人的短信，暗示有人试图欺骗移动运营商将我的电话号码转移给其他人，这种攻击被称为 SIM 卡交换。

🚩 你可以看到，这个请求不是来自短代码电话号码，而是来自一个普通的 10 位数号码。合法的公司在发送短信时会使用短代码。如果你收到一条来自未知的标准长度电话号码的短信，声称来自一家企业，那么这很可能是一个骗局或网络钓鱼尝试。

🚩这些消息还包含冲突的信息。第一条消息表明，转移尝试来自旧金山湾区。后面的消息说它发生在阿姆斯特丹。

如果 SIM 卡交换成功，将非常危险，因为攻击者可以获取大多数公司用来重置密码或访问你帐户的一次性代码。但这一次并不是真的；黑客们只是在诱导我落入一个更精心设计的骗局。

一次性代码和密码重置

攻击紧随其后，我通过短信和 WhatsApp 收到了来自 Venmo 和 PayPal 的一次性代码。这是为了加剧不确定性，让我相信有人试图登录我在各个货币平台上的帐户。与可疑的运营商消息不同，这些消息确实来自看似合法的短代码。

Coinbase 网络钓鱼电话

收到第一条消息约五分钟后，我接到了一个来自加利福尼亚电话号码的电话。来电者自称 Mason，说着一口流利的美国口音。他声称自己来自 Coinbase 调查团队。他说，在过去 30 分钟内，有人通过 Coinbase 聊天尝试重置我的密码并获取我的帐户访问权限超过 30 次。“Mason” 说，所谓的攻击者已经通过了密码重置所需的第一轮安全检查，但未能通过第二层身份验证。

他告诉我，此人能够提供我社会安全号码的后四位数字、我的完整驾照号码、家庭住址和全名。但是，他们未能提供完整的社会安全号码，或连接到我的 Coinbase 个人资料的银行帐户或卡的后四位数字。Mason 解释说，这种差异提醒了 Coinbase 的安全团队与我联系并采取措施来控制威胁并阻止攻击。

🚩像 Coinbase 这样信誉良好的交易所永远不会主动给你打电话，除非你通过支持网站发起通话。要了解有关交易所客户支持的注意事项的更多信息，请阅读此 Coinbase 文档。

安全检查

在发布了这个不受欢迎的消息后，Mason 主动提出通过阻止其他攻击途径和进入 Coinbase 的访问点来保护我的帐户。他首先关注我的 API 连接和关联钱包，声称他将撤销它们的访问权限以减少我的总体风险。他列出了几个连接，包括 Bitstamp、TradingView、MetaMask 钱包和我不太熟悉的几个连接。我以为我一定是设置过这些连接但忘记了。

在这个阶段，我的警惕性降低了。我甚至感到放心，因为听到 Coinbase 正在采取积极措施来保护我的帐户。

到目前为止，Mason 还没有索要任何个人信息、钱包地址、双因素身份验证代码或一次性密码，这些都是网络钓鱼者通常会索要的东西。整个互动感觉既安全又预防。

巧妙的施压策略

接下来是通过营造紧迫感和脆弱感来向我施压的第一次尝试。在完成他的“安全检查”后，Mason 声称，由于我的帐户已被标记为高风险，因此我在 Coinbase One 订阅服务下的帐户保护已终止。他解释说，这意味着我 Coinbase 钱包中的任何资产都不再受 FDIC 保险的保护。Mason警告说，如果所谓的攻击者成功访问钱包并窃取资金，将没有任何追索权。Coinbase 和政府都不会赔偿我的损失。

事后看来，这句话本应该是一个明显的信号。与银行余额不同，加密资产从未受到 FDIC 保险的保护，虽然 Coinbase 可能会将客户的美元存放在受 FDIC 保险的银行中，但交易所本身并不是受保机构。

Mason 还警告说，24 小时的倒计时已经开始，之后我的帐户将被锁定。他说，解锁需要一个漫长而复杂的过程。此外，他说，如果所谓的攻击者在此期间以某种方式获得了我的完整社会安全号码，他们可能会绕过锁定并访问我的资金，即使帐户被冻结。

ℹ️ 后来我咨询了真正的 Coinbase 支持团队，他们告诉我锁定你的帐户是他们推荐的保护你帐户的方法。解锁帐户是一个简单而安全的过程。你提供身份证照片和自拍照，交易所会验证是否是你请求解锁并及时恢复访问权限。

接下来，我收到了两封电子邮件。第一封是 Coinbase Bytes 的订阅确认邮件，Coinbase Bytes 是该公司的时事通讯，攻击者只需通过 Coinbase 的公开注册表提交我的电子邮件地址即可触发。这似乎是为了用来自 Coinbase 的合法电子邮件淹没我的收件箱，从而建立信心并加强他们正在进行的网络钓鱼计划的合法性。

第二封也是更令人不安的电子邮件来自 no-reply@info.coinbase.com，声明我的 Coinbase One 帐户保护已被删除。该消息来自看似合法的 Coinbase 域名。如果它来自可疑或不熟悉的域名，很容易将其驳回。但因为它似乎来自一个官方的 Coinbase 地址，所以看起来像是真的。

提议的补救步骤

Mason 接着建议，为了保护我的帐户，我们应该将我的资产锁定在一个名为 Coinbase Vault 的多重签名钱包中。他恳求我在 Google 上搜索 “Coinbase Vault”，并访问 Coinbase 关于该服务的文档，以消除我对这是否是 Coinbase 多年来提供的一项合法服务的疑虑。

我告诉他，在没有尽职调查的情况下，我不愿意做出如此剧烈的改变。他同意了，并鼓励我花时间彻底研究它。我还坚持联系我的移动运营商，以保护我的帐户免受潜在的 SIM 卡交换攻击。他支持这个决定，并说我应该先处理它。他告诉我他会在 30 分钟后回电话，继续进行下一步。在我们结束通话后，我收到了一条短信，确认了我们的对话和新安排的后续预约。

后续电话和 Coinbase Vault

在联系我的移动运营商并确认没有任何尝试转移我的 SIM 卡后，我开始更改我所有帐户的密码。不久之后，Mason 回电话给我，我们开始讨论下一步。

在此期间，我证实了 Coinbase Vault 确实是 Coinbase 提供的一项合法服务。它是一种多重签名钱包解决方案，旨在通过要求额外的签名者授权交易来加强资产安全。但是，它不是一种自我托管解决方案。资产仍然保留在 Coinbase 管理的热钱包中，但多重签名要求和 24 小时的提款延迟增加了安全性。这种设置被认为是一种混合模式，它比标准的热钱包提供更多的保护，但它不符合真正的冷存储的条件。

然后，Mason 向我提供了一个链接，声称它允许我查看我们在第一次通话中讨论的安全设置。他说，一旦完成审查，我们就可以继续将我的资产转移到 Coinbase Vault。这时，我的直觉和网络安全经验发挥了作用。

Mason 向我发送了一个指向 vault-coinbase.com 的链接，并给了我一个案件编号。输入后，案件编号解锁了一个门户，该门户似乎确认了尝试进行的帐户访问以及我们据称“删除”的 API 和第三方钱包连接。该过程以一个标有 “创建 Coinbase Vault” 的按钮结束。

在这一点上，我变得可疑起来。域名看起来不太对劲，我开始了我的调查。

首先，我检查了该网站的 SSL 证书，发现它仅在一个月前颁发，并且没有明确归属于 Coinbase。虽然 SSL 证书可以营造出合法性的外观，但它们通常注册到经过验证的公司，而该证书缺少与 Coinbase 的任何正式关联。这是一个危险信号，让我停止了进一步的行动。

🚩Coinbase 表示 它绝不会使用与其自身没有正式关联的域名。如果该公司要使用第三方服务，它更可能托管在 Coinbase 子域名上，例如 vault.coinbase.com。此外，涉及交易所帐户的任何操作都应始终通过该公司的官方应用程序或直接在其网站上进行。

我向 Mason 表达了我的担忧，并告诉他，如果我要将我的资金转移到 Coinbase Vault，我只会通过官方 Coinbase 应用程序这样做才感到安心。他回答说，使用该应用程序将导致钱包创建和转移延迟 48 小时。在此期间，我的帐户仍将在 24 小时内被锁定，使其暴露且不受保护，因为我的 Coinbase One 保护据称已被删除。

我告诉他，如果没有仔细考虑和进一步研究，我不愿意做出如此重大的改变。他再次鼓励我花时间，并没有公开地迫使我继续进行。他说他会将案件升级到“三级支持”，希望他们可以在我决定如何继续进行的同时恢复我的 Coinbase One 保护。

结束通话后，我感到沮丧和不安，我继续验证我的所有其他帐户的安全性。

“三级支持”电话

大约半小时后，我接到了一个来自德克萨斯州号码的电话。这位来电者是另一个人，听起来像是美国人，声称来自三级调查团队。他说他正在跟进我恢复 Coinbase One 帐户保护的请求。据他说，该请求已升级，但在获得批准之前需要七天的审查过程。他警告说，在此期间，我的帐户将仍然没有保险，并且容易受到进一步的攻击。

Mason 明显的同伙还声称正在审查我的资产，并建议我可能需要开设不同的 Vaults 以保护各种区块链上的资产。这给我的印象是他可以访问我的帐户，并且通过建议我需要为每个链使用哪些 Vaults 来真正地提供帮助。然而，事后看来，他从未提及任何特定资产——相反，他含糊地提到了以太坊、比特币和其他区块链。

他还提到他正在法律部门开一个工单，通过电子邮件将聊天记录发送给我。然后，他再次开始鼓励我使用 Coinbase Vault，他将其描述为保护我资金的最佳选择。作为替代方案，他推荐了一个名为 SafePal 的第三方钱包，他声称该钱包符合 Coinbase 的安全要求并触发我帐户保护的恢复。虽然 SafePal 是一个合法的硬件和软件自我托管钱包，但现在我相信，这个建议是为了建立信任，并使将我的资产转移到恶意的 “Coinbase Vault” 的推动看起来更可信。

我继续对 vault-coinbase.com 域名表示严重担忧，但来电者再次试图缓解我的担忧。在这一点上，我相信攻击者意识到他们不会说服我转移我的资产，并最终放弃了网络钓鱼尝试。

对 Coinbase 支持的后续电话

在挂断与第二个虚假的 Coinbase 代表的电话后，我直接访问了 Coinbase.com 并提交了一个支持请求，以验证攻击者的说法。我登录了我的帐户，打开了一个支持工单，并立即收到了一位合法的 Coinbase 代表的联系。他证实，没有任何人试图访问我的帐户或发起任何密码重置。

他立即建议我锁定我的帐户，并开始收集有关攻击的详细信息，他将这些信息升级到 真正的 Coinbase 调查团队。我提供了所有相关信息，包括欺诈性域名、电话号码和使用的攻击途径，希望调查人员会迅速采取行动来调查和减轻威胁。

我主要担心的是 Coinbase One Protection 删除电子邮件，该电子邮件来自 no-reply@info.coinbase.com。我问攻击者如何能够欺骗来自合法 Coinbase 域的电子邮件。他承认这非常令人担忧，并向我保证 Coinbase 的安全团队将彻底调查此事。

他还解释说，锁定你的帐户是在怀疑发生违规事件时保护它的最安全和最推荐的方法。当需要解锁帐户时，Coinbase 使用一个安全流程，该流程涉及提交身份证照片和自拍照，然后根据文件中的信息进行验证。

ℹ️ 在联系交易所或托管机构的客户支持时，始终通过 官方渠道 进行。像 Coinbase 这样合法的公司绝不会主动与你联系。

主要收获

幸运的是，我没有成为这次网络钓鱼攻击的受害者。然而，作为一名前网络安全专业人士，我发现这次差点发生的事件令人深感不安。我相信，如果不是我在该领域的培训和多年的经验，我可能已经被蒙蔽了。如果攻击者只是给我打了个冷电话，我会忽略该电话，他们的尝试会立即失败。使这次网络钓鱼计划有效的原因是他们使用了一系列协调的虚假旗帜策略来营造一种紧迫感和合法性。

虽然我采取了强有力的预防措施，但也落入了一些策略的圈套。通过反思这两点，我希望提供明确的建议，以帮助读者在类似情况下导航和保护他们的资产。考虑到这一点，让我们花点时间回顾一下一些危险信号、主要收获和建议，以帮助数字资产投资者在当今的数字环境中保持安全。

危险信号

🚩协调的虚假旗帜尝试制造混乱和紧迫感

攻击者首先发送了一系列 SIM 卡交换警报和一次性代码请求，据称来自 Venmo 和 PayPal 等服务。这些警报通过短信和 WhatsApp 发送，旨在制造多个平台受到攻击的错觉。这些消息可能仅使用我的电话号码和电子邮件地址触发——不幸的是，这些信息很容易获得。我不相信攻击者在这个阶段可以访问任何更深层的帐户数据。

🚩同时使用短代码和完整电话号码

网络钓鱼消息是从 SMS 短代码和常规的完整电话号码组合发送的。虽然公司通常使用短代码进行官方通信，但攻击者可以欺骗或回收它们。但是，合法的服务永远不会从标准电话号码发送安全警报。应始终以怀疑的态度对待来自完整号码的消息。

🚩请求通过非官方或不熟悉的域名进行交互

攻击者要求我访问托管在 vault-coinbase.com 上的网络钓鱼网站，该域名乍一看似乎是合法的，但与 Coinbase 没有任何关联。在输入任何信息之前，请务必仔细检查域名和 SSL 证书。与敏感帐户相关的操作应仅在该公司的官方域名或应用程序上进行。

🚩未经请求的电话和后续通信

Coinbase 和大多数其他金融机构不会给你打电话，除非你首先发起支持请求。接到一个自称来自“三级调查团队”的人的电话是一个主要的危险信号，尤其是当与恐吓策略和保护你帐户的复杂指令相结合时。

🚩未经请求的紧迫性和后果

网络钓鱼攻击者经常使用恐惧和紧迫性来迫使受害者在没有思考的情况下采取行动。在本例中，帐户锁定、资产盗窃和保险范围删除的威胁是经典的社会工程策略。

🚩绕过官方渠道的请求

任何避免使用公司官方应用程序或网站的建议，尤其是当与 “更快” 或 “更安全” 的替代方案搭配使用时，都应该敲响警钟。攻击者可能会提供看起来合法的链接，但会重定向到恶意域名。

🚩未经验证的案件编号或支持工单

提供一个 “案件编号” ，该编号可解锁对自定义构建的网络钓鱼门户的访问权限，从而营造出合法性的错觉。任何真正的服务都不会要求用户通过带有案件编号的自定义外部链接来验证其身份或采取任何行动。

🚩真假信息混合

攻击者经常将真实的个人详细信息（如电子邮件或部分 SSN）与模糊或不准确的详细信息混合在一起，以显得可信。对“链”、“钱包”或“安全审查” 的任何不一致或模糊的引用都应引起怀疑。

🚩在替代建议中使用真实的公司名称

引入像 SafePal 这样受信任的名称，即使它们是合法的，也可能是一种误导策略。它在引导受害者采取恶意行动的同时，给人一种选择和合法性的错觉。

🚩在没有验证的情况下提供过多的帮助

攻击者表现得很有耐心，鼓励我进行自己的研究，并且最初没有索要敏感信息。这种行为模仿了真正的支持人员，并使骗局看起来很专业。任何看起来“过于好”的未经请求的支持都应该引起怀疑。

积极的步骤和建议

ℹ️ 通过推送通知或批准提示为你的交易所启用交易级别的验证

在你的交易所设置中，启用双因素身份验证和基于推送的验证。这可确保任何发送或转移资金的尝试都需要发送到你的受信任设备的实时确认，从而防止未经授权的交易。

ℹ️ 始终通过合法、经过验证的渠道与服务提供商联系

在本例中，我通过登录官方平台并提交支持请求，直接联系了我的移动运营商和 Coinbase。当帐户安全面临风险时，这是与客户支持人员互动的最安全和唯一适当的方式。

ℹ️ 交易所客户支持代理永远不会要求你移动、访问或保护你的资金

他们也永远不会请求或提供你的钱包助记词、索要你的两步验证码或尝试远程访问或在你设备上安装软件。

ℹ️ 考虑使用多重签名钱包或冷存储解决方案来进一步保护你的资产

多重签名钱包需要多个批准才能授权交易，而冷存储使你的私钥完全离线。这两种方法都是保护长期持有资产免受远程网络钓鱼或恶意软件攻击的有效方法。

ℹ️ 为官方 URL 添加书签，避免单击未经请求的消息中的链接

自己键入地址或使用受信任的书签是避免欺骗域名的最佳方式。

ℹ️ 使用密码管理器来检测可疑网站，并在所有帐户中维护强大而唯一的密码

密码管理器通过拒绝在虚假或未知域名上自动填充来帮助防止网络钓鱼尝试。定期轮换密码，如果你怀疑有任何恶意攻击，请立即轮换你的密码。

ℹ️ 定期查看连接的应用程序、API 密钥和第三方集成

撤销对你不再使用或无法识别的任何应用程序或服务的访问权限。

ℹ️ 尽可能启用实时帐户警报

对于登录、提款或安全设置更改的通知可为未经授权的活动提供关键的早期警告。

ℹ️ 向服务提供商的官方支持团队报告所有可疑活动或通信

早期报告有助于防止更广泛的攻击，并有助于平台范围内的安全工作。

结论

对于金融机构、IT 安全团队和执行领导层而言，这次攻击强调了旧数据在被重新用于实时社会工程时，如何能够绕过即使是最成熟的安全环境。威胁参与者不再仅仅依靠蛮力攻击，而是执行协调的、跨渠道的策略，这些策略反映了合法的 工作流程 ，以获取信任和欺骗用户。

这需要更广泛的关注，不仅要保护系统和网络，还要教育和授权个人识别威胁并采取行动保护自己。人们通常是第一道防线，许多员工在他们的职业和个人数字生活中都面临风险。无论是在交易台上工作还是在家管理加密资产，每个人都必须了解个人妥协会如何转移到机构风险。

为了在这些威胁中保持领先地位，机构必须投资于分层防御，例如域名监控、自适应身份验证、防网络钓鱼的 MFA 和清晰的通信协议。同样重要的是，他们必须培养一种网络安全素养文化，让从工程师到高管的每位员工都了解自己在保护企业中扮演的角色。在今天的环境中，安全不仅仅是一项技术职能，而是一项从个人到整个组织的共同责任。

• 原文链接： galaxy.com/insights/rese...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～