网络安全专家布赖恩-克雷布斯(Brian Krebs)发现了关于复杂的网络钓鱼活动所带来的危险的令人震惊的新细节。 克雷布斯在博客中披露了亚当-格里芬(Adam Griffin)和托尼(Tony)这两名受害者的故事,他们因技术精准和情感操纵相结合的社交工程攻击而损失了数百万美元的加密货币。 亚当-格里芬(Adam Griffin)是西雅图的一名消防员兼营长,他在 2024 年 5 月成为一个令人信服的网络钓鱼骗局的受害者。 骗子冒充谷歌代表,使用了真实的谷歌电话号码,并通过合法的 google.com 域名发送安全警报。 克雷布斯解释说,格里芬接到一个电话,警告他的 Gmail 账户有可疑活动。 几分钟后,他的手机上出现了谷歌提示,询问 "是你在试图恢复账户吗? 格里芬回忆说:"我一点击'是',他们就访问了我的 Gmail,而我的 Gmail 与 Google Photos 是同步的。 他并不知道,盗贼的目标是他的谷歌照片中存储的一张图片,其中包含他的加密货币钱包的种子短语。 几分钟之内,他们就从他的钱包里盗走了价值 45 万美元的资金。
克雷布斯报告中提到的另一位受害者托尼(Tony)也遭遇了类似的骗局,损失了 45 个比特币,相当于当时的 470 万美元。 托尼在照顾年幼的孩子时分心了,他接到了一个假冒谷歌代表的电话,该代表说服他通过网络钓鱼提示确认账户恢复。 随后,攻击者利用他的凭据访问了一个模仿硬件钱包提供商 Trezor 的钓鱼网站,托尼无意中在该网站上输入了他的加密货币种子短语。
攻击者利用谷歌表单和谷歌助手等合法工具制作了极具说服力的钓鱼邮件。 正如 Krebs 所指出的,"攻击者利用了电子邮件直接由 Google Forms(从 google.com 域名)发出这一事实"。 这种策略绕过了传统的电子邮件过滤解决方案,增加了成功的可能性。 一旦受害者上钩,骗子就会升级情感压力。 格里芬和托尼都接到了其他冒充者的电话,包括来自 Coinbase 和 Trezor 的假冒代表,这些人利用恐惧和紧迫感来操纵他们的决定。 克雷布斯警告说:"即使是有安全意识的人也往往低估了来自电话网络钓鱼欺诈的复杂多变的威胁,但他们这样做是在自寻死路。 格里芬和托尼后来都成了更强大的安全实践的直言不讳的倡导者。 格里芬承认:"我知道我肯定犯了错误,但我也知道谷歌在保护用户方面可以做得更好。 建议包括
禁用 Google Authenticator 云同步: 默认情况下,一次性验证码可通过 Gmail 账户访问,因此如果账户被入侵,这些验证码就很容易受到攻击。 使用物理安全密钥: 这些抵御网络钓鱼的工具提供了额外的防御层。 核实可疑电话: Krebs 强调说:"挂断、查找、回拨"。 一定要通过经过验证的电话号码联系公司。 加强密码: 对电子邮件账户使用独特的长口令,避免重复使用旧密码。 对于那些管理大量加密货币的人,Krebs 建议加入谷歌的高级保护计划,该计划提供更高的安全功能。 格里芬和托尼的故事严酷地提醒我们数字时代的高风险。 随着攻击者不断改进他们的方法,个人必须保持警惕,采取积极主动的安全措施来保护自己的数字身份和资产。 用布莱恩-克雷布斯(Brian Krebs)的话说:"要知道,你的电子邮件凭据很可能就是打开你整个数字身份的钥匙。
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局