Autor: Yao, tecnología de niebla lenta

 

Resumen de antecedentes

Recientemente, ha habido incidentes frecuentes en los que las cuentas X de los desarrolladores/celebridades del proyecto Web3 han sido robadas y utilizadas para enviar tweets de phishing. Los piratas informáticos son buenos utilizando varios medios para robar cuentas de usuarios. Las rutinas más comunes son las siguientes:

  • Inducir a los usuarios a hacer clic en enlaces falsos de reserva de reuniones de Calendly/Kakao para robar la autorización de la cuenta del usuario o controlar el dispositivo del usuario;

  • Los mensajes privados engañan a los usuarios para que descarguen programas con troyanos (juegos falsos, programas de conferencias, etc.) Además de robar claves privadas/frases mnemotécnicas, los troyanos también pueden robar permisos de cuentas X;

  • Utilice el ataque SIM Swap para robar permisos de cuentas X que dependen del número de teléfono móvil.

El equipo de seguridad de SlowMist ha ayudado a resolver muchos incidentes similares. Por ejemplo, el 20 de julio, la cuenta del grupo X del proyecto TinTinLand fue robada y el atacante fijó un tweet que contenía un enlace de phishing en la parte superior. Con la ayuda del equipo de seguridad de SlowMist, TinTinLand resolvió rápidamente el problema del robo de cuentas y llevó a cabo una revisión de autorización y refuerzo de seguridad de la cuenta X.

Teniendo en cuenta la frecuente aparición de víctimas, muchos usuarios no saben mucho sobre cómo mejorar la seguridad de la cuenta X. En este artículo, el equipo de seguridad de SlowMist explicará cómo realizar comprobaciones de autorización y configuraciones de seguridad en la cuenta X.

Solución de problemas de autorización

Tomemos el lado web como ejemplo. Después de abrir la página x.com, haga clic en "Más" en la barra lateral y busque la opción "Configuración y privacidad", que se utiliza principalmente para configurar la seguridad y privacidad de la cuenta.

 

Después de ingresar a la columna "Configuración", seleccione "Seguridad y acceso a la cuenta" para configurar la seguridad y el acceso autorizado de la cuenta.

Ver aplicaciones autorizadas

Muchos métodos de phishing utilizan a los usuarios para hacer clic por error en enlaces de aplicaciones autorizadas, lo que da como resultado la autorización del permiso de twitteo de la cuenta X, y luego la cuenta se usa para enviar mensajes de phishing.

Método de solución de problemas: seleccione la columna "Aplicaciones y sesiones" para verificar a qué aplicaciones está autorizada la cuenta. Como se muestra en la figura siguiente, la cuenta de demostración está autorizada para estas 3 aplicaciones.

Después de seleccionar una aplicación específica, puede ver los permisos correspondientes. Los usuarios pueden eliminar permisos a través de "Revocar permisos de la aplicación".

Consulta el estado de la comisión

Método de solución de problemas: Configuración → Seguridad y acceso a la cuenta → Delegar

Si descubre que la cuenta actual ha habilitado la administración de invitaciones, debe ingresar "Miembros que ha delegado" para verificar con qué cuentas se ha compartido la cuenta actual. Debe cancelar la delegación lo antes posible después de que ya no sea necesario compartirla.

Ver registro de inicio de sesión anormal

Si el usuario sospecha que se ha iniciado sesión en la cuenta de forma maliciosa, puede consultar el registro de inicio de sesión para ver el dispositivo, la fecha y la ubicación de inicio de sesión anormales.

Acceso a la cuenta: Configuración → Seguridad y acceso a la cuenta → Aplicaciones y sesiones → Historial de acceso a la cuenta

 

Como se muestra a continuación, ingrese al Historial de acceso a la cuenta para ver el modelo, la fecha de inicio de sesión, la IP y la región del dispositivo conectado. Si se encuentra información de inicio de sesión anormal, es posible que la cuenta haya sido robada.

Ver dispositivo de inicio de sesión

Si se produce un inicio de sesión malicioso después de que se roba la cuenta X, el usuario puede verificar el dispositivo de inicio de sesión de la cuenta actual y luego desconectar el dispositivo de inicio de sesión malicioso.

Método de solución de problemas: seleccione "Cerrar sesión en el dispositivo mostrado" para cerrar sesión en la cuenta desde un dispositivo.

 

 

Configuraciones de seguridad

Verificación 2FA

Los usuarios pueden habilitar el seguro de doble verificación para sus cuentas activando la verificación 2FA para evitar el riesgo de que sus cuentas sean tomadas directamente si se filtran sus contraseñas.

Vaya a Configuración → Seguridad y acceso a la cuenta → Seguridad → Autenticación de dos factores

Se pueden configurar las siguientes 2FA para mejorar la seguridad de la cuenta, como códigos de verificación por SMS, autenticadores y claves de seguridad.

Protección adicional con contraseña

Además de configurar contraseñas de cuentas y 2FA, los usuarios también pueden habilitar protección de contraseña adicional para mejorar aún más la seguridad de las cuentas X.

Vaya a Configuración → Seguridad y acceso a la cuenta → Seguridad → Protección de contraseña adicional

Resumir

Verificar periódicamente las aplicaciones autorizadas y las actividades de inicio de sesión es la clave para garantizar la seguridad de la cuenta. El equipo de seguridad de SlowMist recomienda que los usuarios realicen periódicamente verificaciones de autorización en la cuenta X de acuerdo con los pasos de solución de problemas, fortaleciendo así la seguridad de la cuenta y reduciendo el riesgo de ser atacados por piratas informáticos. Si descubre que su cuenta ha sido pirateada, tome medidas inmediatas para cambiar la contraseña de la cuenta, solucionar problemas de autorización, revocar autorizaciones sospechosas y realizar configuraciones de mejora de seguridad en la cuenta.