背景概述
近期 Web3 項目方 / 名人的 X 賬號被盜并被用于發(fā)送釣魚推文的事件頻發(fā),黑客善于利用各種手段盜取用戶賬號,較為常見的套路如下:
· 誘導(dǎo)用戶點擊假冒的 Calendly/Kakao 會議預(yù)約鏈接,從而竊取用戶賬號的授權(quán)或控制用戶的設(shè)備;
· 私信誘騙用戶下載帶木馬的程序(假冒游戲、會議程序等),木馬除了會盜取私鑰 / 助記詞之外,可能還會竊取 X 賬號權(quán)限;
· 利用 SIM Swap 攻擊,竊取依賴手機號的 X 賬號權(quán)限。
慢霧安全團隊協(xié)助解決了多起類似事件,如 7 月 20 日,TinTinLand 項目方 X 賬號被盜,攻擊者置頂了一條含有釣魚鏈接的推文。在慢霧安全團隊的協(xié)助下,TinTinLand 及時解決了賬號被盜問題,并對 X 賬號進行了授權(quán)審查和安全加固。
考慮到屢屢出現(xiàn)受害者,許多用戶對于如何增強 X 賬號安全性不太了解,慢霧安全團隊將在本文為大家講解如何對 X 賬號做授權(quán)排查和安全設(shè)置,以下是具體操作步驟。
授權(quán)排查
我們以 Web 端為例,打開 x.com 頁面后,點擊側(cè)邊欄的「More」,找到「Settings and privacy」選項,這里主要用于設(shè)置賬號的安全和隱私。
進入「Settings」欄目后,選擇「Security and account access」以對賬號的安全和授權(quán)訪問進行設(shè)置。
查看授權(quán)過的應(yīng)用
很多釣魚方式是利用用戶誤點擊授權(quán)應(yīng)用鏈接,導(dǎo)致把 X 賬號的發(fā)推權(quán)限授權(quán)出去,隨后賬號被用于發(fā)送釣魚信息。
排查方法:選擇「Apps and sessions」欄目,查看賬號授權(quán)給了哪些應(yīng)用,如下圖,演示賬號授權(quán)給了這 3 個應(yīng)用。
選擇具體的應(yīng)用后可以看到相對應(yīng)的權(quán)限,用戶可通過「Revoke app permissions」移除權(quán)限。
查看委托情況
排查方法:Settings → Security and account access → Delegate
如果發(fā)現(xiàn)當(dāng)前賬號開啟了允許邀請管理,那么需要進入「Members you』ve delegated」查看當(dāng)前賬號共享給了哪些賬號,在不需要共享后應(yīng)第一時間取消委派。
查看異常登錄日志
如果用戶懷疑賬號被惡意登錄,可以通過排查登錄日志來查看異常登錄的設(shè)備,日期和地點。
排查方法:Settings → Security and account access → Apps and sessions → Account access history
如下圖,進入 Account access history 可以查看登錄設(shè)備的型號,登錄日期,IP 和地區(qū),如果發(fā)現(xiàn)異常登錄信息,則說明賬號可能被盜了。
查看登錄設(shè)備
如果 X 賬號被盜后發(fā)生惡意登錄,用戶可以通過查看當(dāng)前賬號的登錄設(shè)備,然后將惡意登錄的設(shè)備踢下線。
排查方法:選擇「Log out the device shown」,將賬號從某個設(shè)備注銷退出。
安全設(shè)置
2FA 驗證
用戶可以通過開啟 2FA 驗證,為賬號開啟雙重驗證保險,避免密碼泄漏后賬號直接被接管的風(fēng)險。
配置方法:Settings → Security and account access → Security→ Two-factor authentication
可以設(shè)置如下 2FA 來增強賬號的安全性,如短信驗證碼、身份驗證器和安全密鑰。
額外的密碼保護
除了設(shè)置賬號密碼和 2FA 外,用戶還可以開啟額外的密碼保護來進一步增強 X 賬號安全性。
配置方法:Settings → Security and account access → Security → Additional password protection
總結(jié)
定期檢查授權(quán)應(yīng)用和登錄活動是確保賬號安全的關(guān)鍵,慢霧安全團隊建議用戶定期根據(jù)排查步驟對 X 賬號進行授權(quán)排查,從而加強賬號的安全性,降低被黑客攻擊的風(fēng)險。如果發(fā)現(xiàn)賬號被黑,請立即采取措施,修改賬號密碼,進行授權(quán)排查,撤銷可疑授權(quán),并對賬號進行安全增強設(shè)置。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
