最近几个月，越来越多加密项目、从业者，以及政客、明星的社交媒体账号被盗，随后发布诈骗信息。近期，部分Bitget员工亲历了类似的钓鱼攻击，在找回账号后，我们逐渐抽丝剥茧，发现黑客的新型攻击手法不断升级，已具有高度的迷惑性和隐蔽性。因此，我们准备了这篇文章，希望为整个行业的安全防护助力。

5月中旬，一位负责商务拓展的Bitget员工收到来自合作方的推特私信，邀请他讨论一个潜在的合作。双方很快约定好会议时间，并开展了会议。会议中，对方发送了一些安装文件，以“功能测试”的名义，邀请Bitget员工体验。

之后的几天中，该员工陆续收到来自朋友和行业伙伴的问询 —— 你是不是给我发了一条奇怪的推特私信？意识到异常后，他与Bitget安全团队快速行动，通过绑定的邮箱等信息找回了账号。

在随后的安全排查中，我们逐渐复盘出详细的黑客攻击手法，以及他们如何从中获利：

第一步：黑客通过已掌握的社交媒体账号，向“受害者”发送私信，引导其联系某Telegram账号，进一步商讨合作

❗安全提醒：

1. 这些私信不一定来自可疑的小号，甚至可能来自验证过的官方账号，但诈骗的私信并非官方团队发送

2. 此时，黑客已悄悄掌握这些官方账号的权限，并引导受害者前往Telegram进行下一步的诈骗

3. 黑客通常会在发送私信后立即删除，因此即使黑客可能已经发送了数百条私信，号主都并未察觉

第二步：受害人联系黑客的Telegram后，对方会提议进行在线会议，并在会议中邀请下载和安装特定文档

❗安全提醒：

1. 黑客的Telegram通常会伪装成某真实的员工，相关信息或许来自LinkedIn等平台，其账号ID可能与真实员工高度相似，比如混淆I（大写的i）和l（小写的L）

2. 黑客会在安装文件里植入了恶意代码，诱骗受害者安装，从而获取其电脑访问权限，并进一步盗取社交媒体账号，甚至是加密货币或法币资产

第三步：获取受害者设备权限后，黑客会先尝试直接盗取资产。随后，其会通过受害者的推特和Telegram账号，物色新的受害者，并通过该账号发送推特私信，引导其联系黑客控制的Telegram账号，以便进行后续的诈骗

❗安全提醒：

1. 如此前提到的，黑客会在发送私信后立即删除，让号主难以察觉自己的账号已被入侵