新型釣魚攻擊橫掃 X 平台　繞過雙重驗證盜取加密圈名人帳號

加密貨幣業界近日爆出新型網路釣魚攻擊事件，目標鎖定多位知名人士的 X（前稱 Twitter）帳號。這波攻擊手法異常逼真，不僅能繞過「雙重驗證（2FA）」，甚至能完整奪取帳號控制權，令人憂心後續衍生的損害。

根據加密貨幣開發者 Zak Cole（扎克·科爾）於 15 日在其 X 帳號上的說法，這項攻擊目前仍在持續蔓延、且尚未遭偵測，對整個社群構成即時威脅。他強調，該攻擊並非傳統的釣魚網站或密碼竊取手法，而是透過「濫用 X 平台本身的應用存取功能」，巧妙繞過用戶驗證流程，進而入侵帳號。

這波攻擊集「簡單」與「精密」於一體。攻擊者透過 DM 發送包含惡意連結的訊息，表面上看似前往 Google 日曆等合法平台，搭配 X 自動產生的「預覽圖片」，讓用戶誤以為真。扎克·科爾表示，他所接收到的訊息甚至冒用了創投機構安德森·霍洛維茲名人的身分，藉以提高可信度。

此外，MetaMask 的資安專家 Ohm Shah（奧姆·沙）指出，目前已有多起帳號遭此方式入侵的真實案例，受害者甚至包括成人內容平台 OnlyFans 上的網紅帳號，顯示這類攻擊已不限於加密圈名人，而是全面擴散至擁有高關注度的人士。

由於 X 是許多加密貨幣項目用於推廣與社群溝通的關鍵管道，一旦帳號遭駭，不僅可能造成個資外洩，還可能被用於詐騙投資人與粉絲，引發更大規模的「二次損害」。過往曾有類似案例，駭客接手帳號後進行「拉抬出貨（Pump and Dump）」、「虛假 NFT 發行」等詐騙，甚至企圖竊取使用者加密錢包。

面對此類「新型釣魚騙局」，專家呼籲 X 使用者務必格外當心，即便訊息看似來自官方，也應在點擊任一連結前再次核對來源。同時建議定期檢查帳號的「應用授權設定」，以及加強帳號的安全性措施，減少遭受攻擊的風險。

評論：這起事件凸顯目前加密社群在社群平台安全上的脆弱性，也顯示攻擊者手法日趨先進。對於以 X 為主要宣傳平台的項目方與 KOL 或 Web3 創作者而言，重新檢視自身的安全策略已刻不容緩。關鍵詞如「釣魚攻擊」、「雙重驗證」、「帳號脅持」與「社交媒體安全」將是這波事件的重點探討議題。