Ілон Маск's X щоб запровадити шахрайський перемикач самознищення, автоматично блокуючи тих, хто вперше згадує криптовалюту

Соцмережа X готує новий захисний захід, спрямований на припинення поширеної форми криптовиманювання (phishing), яка використовує викрадені облікові записи для просування шахрайських токенів.

Невдовзі компанія автоматично блокуватиме будь-який обліковий запис, який уперше в історії згадує криптовалюту, — про це заявив керівник з продукту компанії Нікіта Бір (Nikita Bier). Користувачам потрібно буде пройти додаткову верифікацію, перш ніж їм знову дозволять публікувати дописи.

Бір сказав, що функція націлена на ключову мотивацію, що лежить в основі цих атак. «Це має вбити 99% мотивації», — написав він, маючи на увазі поточну хвилю фішингу, яка змушує користувачів віддати свої облікові дані, а потім використовує їхні облікові записи, щоб просувати криптошахрайства.

Зміни було представлено у відповідь на докладний першоджерельний опис від користувача X, який втратив контроль над своїм обліковим записом після того, як повірив фішинговому листу, замаскованому під повідомлення про порушення авторських прав.

Атакувальник, як зазначив користувач, використав піксельно точну підроблену сторінку входу, щоб зібрати двофакторні коди, а потім заблокував користувача й почав просувати шахрайські криптопроєкти з його облікового запису.

Криптошахрайства на X

Ці типи атак були надзвичайно поширеними в X — спадок епохи до того, як платформу придбав Ілон Маск, і коли вона ще називалася Twitter.

Одна з найпоширеніших тактик — шахрайство «подвой свої гроші», коли користувачам кажуть надіслати криптовалюту в обмін на обіцянку більшого. Інші просувають фейкові мемкоїни або шахрайські ейрдропи, часто використовуючи викрадені облікові записи, щоб надати цьому більшої довіри.

Імітація (підміна особи) — один із найпотужніших інструментів. Облікові записи, що видають себе за відомих особистостей, неодноразово змушували підписників переходити за шкідливими посиланнями, які імітують легітимні криптоплатформи.

Транзакції з криптовалютою незворотні, тож щойно користувач потрапляє на таку атаку, його кошти зникають.

Найвідоміший приклад стався у 2020 році, коли хакери отримали доступ до внутрішніх систем Twitter і взяли під контроль великі облікові записи, зокрема Apple, Барака Обами та Ілона Маска.

Вони використали ці облікові записи, щоб просувати фейковий розіграш біткоїна, заробивши понад $100,000, перш ніж дописи прибрали. Цей прорив, здійснений через соціальну інженерію проти співробітників Twitter, призвів до того, що хакеру призначили покарання у вигляді 5-річного терміну.

X неодноразово робила спроби посилити безпеку. Серед них були зачистки ботів, обмеження для API та виявлення за поведінковими ознаками. Останній крок — автоматично блокувати облікові записи, які вперше публікують дописи про криптовалюту, — базується на цих зусиллях і має на меті перекрити цю тактику в її корені: зробити викрадені облікові записи марними для шахрайств.

Бір також піддав критиці Google за неспроможність зупинити фішингові листи на рівні електронної пошти, вказавши пальцем на те, яку частку відповідальності має техногігант за те, що не захистив своїх користувачів від фішингових атак.