• 發布單位:TWCERT/CC
• 更新日期:2023-06-12
• 點閱次數:14966

資安廠商 Scam Sniffer 發現一個被稱為「Pink Drainer」的駭侵團體，以假扮為加密貨幣新聞記者的方式，透過釣魚信件盜用受害者的 Discord 與 Twitter 社群媒體帳號，成功竊得近 300 萬美元。

根據 ScamSniffer 的鏈上監機器人觀測到的駭侵活動，Pink Drainer 在這次攻擊行動 中，成功竊得的總金額高達 2,997,307 美元的等值加密貨幣；受害者人數多達 1,932 人，單一受害者最大損失高達 327,000 美元，而遭到攻擊的區塊鏈網路則包括以太坊、Arbitrum、Polygon、BNB 和 Optimism。

資安專家指出，Pink Drainer 主要透過社交工程攻擊來竊取受害者的社群帳號，其手法十分細緻。駭侵者會先假冒為知名加密貨幣相關媒體如 Cointelegraph 與 Decrypt 等旗下的新聞記者，詐稱要對受害者進行專訪；得到受害者的信任之後，駭侵者會要求受害者進行所謂的 KYC（Know Your Customer）認證流程以證實其身分無誤，並將受害者導向用來竊取其 Discord 登入憑證的釣魚頁面。

Pink Drainer 將受害者導入的釣魚頁面中，含有惡意軟體 Carl verification bot，會以「Drag Me」指示，要求受害者將含有惡意 JavaScript 程式碼的按鈕加入瀏覽器的書籤中，藉以執行程式碼並竊取受害者的 Discord 登入憑證。

如果竊得的 Discord 帳號本身擁有許多追蹤者，駭侵者還會對這些追蹤者發動攻擊，利用假冒的加密貨幣贈與活動、鑄幣活動，或以釣魚網頁等其他詐騙方式，進一步進行詐騙。

建議加密貨幣投資人對於各種不請自來的邀約，包括投資機會、交友、訪問等，均應提高警覺，切勿接受不明邀請、連結與檔案，以免遭駭而蒙受損失。