刚看到一个爆料了:黑客直接用买到的社工数据做了个假身份证,然后用AI生成了个假头像视频,骗过Okx的人工审查重置了所有验证信息,盗走价值300多万刀的资产!
这简直匪夷所思了,而且苦主说,他并没有泄露他的邮箱密码,手机号,还有谷歌验证,而是通过忘记密码,绕开了这些防火墙,进而修改了手机号,邮箱,还有验证。不过我们猜测,苦主的很多信息被泄露了,kyc信息,账号 id ,邮箱之类的,都被泄露了。
流程作案大致如下:
- 打开OKX网站,并且点击找回密码
- 输入想要盗取的手机号,然后下一步
- 按照提示,准备好AI制作的视频,视频中包含身份信息和人脸
- 修改密码,修改二次验证,修改所有可以可以修改的东西
- 然后把币全部提现!
而且文中表示,AI生成的视频,很假。但是这里,我们不做评价。目前能想出来的应对只能是保护好自己隐私和图片,毕竟今年各行各业经济不景气,各种攻击只会越来越多,只能说,还好我穷,对于黑客没有什么价值。这里建议对于重要的资产,最好各种安全措施都用上。
OKX目前没有表态,希望OKX可以,加大安全的力度吧。
而没有几天,又有一用户在X上面爆料,自己的500W,15分钟内被提完。同样是OKX的交易所。不得不说,这让我对OKX有了些许担心吧。
update:应该是Web3.0的钱包,点了虚假的地址,授权后,钱包的钱被转走了。