最近几个月，越来越多加密项目、从业者，以及政客、明星的社交媒体账号被盗，随后发布诈骗信息。近期，部分Bitget员工亲历了类似的钓鱼攻击，在找回账号后，我们逐渐抽丝剥茧，发现黑客的新型攻击手法不断升级，已具有高度的迷惑性和隐蔽性。因此，我们准备了这篇文章，希望为整个行业的安全防护助力。

5月中旬，一位负责商务拓展的Bitget员工收到来自合作方的推特私信，邀请他讨论一个潜在的合作。双方很快约定好会议时间，并开展了会议。会议中，对方发送了一些安装文件，以“功能测试”的名义，邀请Bitget员工体验。

之后的几天中，该员工陆续收到来自朋友和行业伙伴的问询 —— 你是不是给我发了一条奇怪的推特私信？意识到异常后，他与Bitget安全团队快速行动，通过绑定的邮箱等信息找回了账号。

在随后的安全排查中，我们逐渐复盘出详细的黑客攻击手法，以及他们如何从中获利：

第一步：黑客通过已掌握的社交媒体账号，向“受害者”发送私信，引导其联系某Telegram账号，进一步商讨合作

❗安全提醒：

这些私信不一定来自可疑的小号，甚至可能来自验证过的官方账号，但诈骗的私信并非官方团队发送

此时，黑客已悄悄掌握这些官方账号的权限，并引导受害者前往Telegram进行下一步的诈骗

黑客通常会在发送私信后立即删除，因此即使黑客可能已经发送了数百条私信，号主都并未察觉

第二步：受害人联系黑客的Telegram后，对方会提议进行在线会议，并在会议中邀请下载和安装特定文档

❗安全提醒：

黑客的Telegram通常会伪装成某真实的员工，相关信息或许来自LinkedIn等平台，其账号ID可能与真实员工高度相似，比如混淆I（大写的i）和l（小写的L）

黑客会在安装文件里植入了恶意代码，诱骗受害者安装，从而获取其电脑访问权限，并进一步盗取社交媒体账号，甚至是加密货币或法币资产

第三步：获取受害者设备权限后，黑客会先尝试直接盗取资产。随后，其会通过受害者的推特和Telegram账号，物色新的受害者，并通过该账号发送推特私信，引导其联系黑客控制的Telegram账号，以便进行后续的诈骗

❗安全提醒：

如此前提到的，黑客会在发送私信后立即删除，让号主难以察觉自己的账号已被入侵

这也解释了为何诈骗信息可能来自验证后的官方账号，而这些账号却没有采取任何措施 —— 他们也还蒙在鼓里

第四步：当下一位受害者与黑客在Telegram上建立联系后，黑客会根据其伪装的身份，选择恰当的诈骗方式

❗安全提醒：

若黑客伪装成交易所的工作人员，通常会以上币合作的名义，诱骗受害者转账

若黑客伪装成项目方的工作人员，通常会以参加早期投资的名义，诱骗受害者转账

若黑客伪装成投资机构的工作人员，通常会以投资合作等名义，诱骗受害者转账

若其伪装的身份难以直接完成金钱获利，则将以此为踏板，诱骗其关系网内的其他人安装木马程序，进而获取对方账号权限，成为黑客新的诈骗工具

本文提到的黑客攻击和获利手法，与以往的相同点是，黑客依然需要通过植入木马（安装特定的文件）的方式，实现对受害者设备的控制。但不同的是，黑客在手法上做了诸多优化：

通过已掌握的验证推特账号私信受害者，可以大幅增加可信度，提升诈骗成功率

私信后立即删除，让号主察觉不到异常，从而长期潜伏在该账号中 —— 过往的案例中，黑客获取账号后可能立即发布诈骗推文，以虚假活动、Scam代币等方式，快速收割，但该方式也会立即惊动号主与公众，引起警惕

黑客用于与受害者进一步沟通的Telegram账号也经过精心伪装，通常会使用与官方人员高度相似的ID

警惕各种邀约，即使其来自“官方”账号。在接收到邀约时，多从其他渠道确认邀约人的身份。如果是“熟人”，聊天之前先看看之前的聊天记录是否还存在。

不要随意下载和打开对方在会议中发给你的文件。如果需要安装Teams或者Zoom之类的会议客户端，请到Teams或者Zoom的官网下载，这一点非常重要。

在交流过程中，仅授权视频和语音的权限。不要给予Zoom或者Teams其他权限，防止黑客可以远程控制你的电脑。

交流期间不要因为任何原因远离电脑。如果实在需要，可以找另外一个人一起看着屏幕，小心黑客趁你不在，操作你的电脑。

不要备份助记词到电脑或者手机中，能启用MFA（多因素认证）的地方尽量启用。

涉及资金的手机使用iPhone并升级到最新版本，打开锁定模式，尽可能少用于对外交流，并与工作及社交的电脑或手机分开。

即使防护得再严密，仍然有可能“中招”。一旦发现账号被盗，反应速度将决定损失的程度。

关闭电脑，断网，及时阻断黑客对电脑的侵害。

资金安全检查（如涉及钱包授权），攻击者有可能接触了你的本地钱包（如浏览器插件、私钥存储），应立即将资产转移到全新钱包（建议重新生成私钥，不使用同一助记词）。

立即在其他设备/邮箱中找回账号。趁账号登录状态未失效，使用绑定邮箱或手机号登录并重置密码，并立刻退出所有其他设备的会话。一旦找回账号，第一时间关闭所有第三方登录授权，防止黑客继续操控账户。

通报并警示身边人。提醒他人不要相信近期的私信内容，同时标记异常账号，让更多人知情避免连锁受害。

以上案例并非个例，而是整个加密行业每位用户都可能面临的挑战。在Bitget，我们不仅搭建防护机制，也希望与你一起，把“安全意识”真正变成能力。Bitget“反欺诈月”正在进行中，我们推出了一系列反诈内容与互动活动，欢迎进入 活动专题页，一起提升识骗能力，守住安全边界。