慢霧：X 帳號安全排查加固指南

作者：耀，慢霧科技

背景概述

近期 Web3 項目方 / 名人 的 X 帳號被盜並被用於發送釣魚推文的事件頻發，黑客善於利用各種手段盜取用戶帳號，較為常見的套路如下：

• 誘導用戶點擊假冒的 Calendly/Kakao 會議預約鏈接，從而竊取用戶帳號的授權或控制用戶的設備；
• 私信誘騙用戶下載帶木馬的程序（假冒遊戲、會議程序等），木馬除了會盜取私鑰 / 助記詞之外，可能還會竊取 X 帳號權限；
• 利用 SIM Swap 攻擊，竊取依賴手機號的 X 帳號權限。

慢霧安全團隊協助解決了多起類似事件，如 7 月 20 日，TinTinLand 項目方 X 帳號被盜，攻擊者置頂了一條含有釣魚鏈接的推文。在慢霧安全團隊的協助下，TinTinLand 及時解決了帳號被盜問題，並對 X 帳號進行了授權審查和安全加固。

考慮到屢屢出現受害者，許多用戶對於如何增強 X 帳號安全性不太了解，慢霧安全團隊將在本文為大家講解如何對 X 帳號做授權排查和安全設置，以下是具體操作步驟。

授權排查

我們以 Web 端為例，打開 x.com 頁面後，點擊側邊欄的「More」，找到「Settings and privacy」選項，這裡主要用於設置帳號的安全和隱私。

進入「Settings」欄目後，選擇「Security and account access」以對帳號的安全和授權訪問進行設置。

查看授權過的應用

很多釣魚方式是利用用戶誤點擊授權應用鏈接，導致把 X 帳號的發推權限授權出去，隨後帳號被用於發送釣魚信息。

排查方法：選擇「Apps and sessions」欄目，查看帳號授權給了哪些應用，如下圖，演示帳號授權給了這 3 個應用。

選擇具體的應用後可以看到相對應的權限，用戶可通過「Revoke app permissions」移除權限。

查看委託情況

排查方法：Settings → Security and account access → Delegate

如果發現當前帳號開啟了允許邀請管理，那麼需要進入「Members you've delegated」查看當前帳號共享給了哪些帳號，在不需要共享後應第一時間取消委派。

查看異常登錄日誌

如果用戶懷疑帳號被惡意登錄，可以通過排查登錄日誌來查看異常登錄的設備，日期和地點。

排查方法：Settings → Security and account access → Apps and sessions → Account access history

如下圖，進入 Account access history 可以查看登錄設備的型號，登錄日期，IP 和地區，如果發現異常登錄信息，則說明帳號可能被盜了。

查看登錄設備

如果 X 帳號被盜後發生惡意登錄，用戶可以通過查看當前帳號的登錄設備，然後將惡意登錄的設備踢下線。

排查方法：選擇「Log out the device shown」，將帳號從某個設備註銷退出。

安全設置

2FA 驗證

用戶可以通過開啟 2FA 驗證，為帳號開啟雙重驗證保險，避免密碼泄漏後帳號直接被接管的風險。

配置方法：Settings → Security and account access → Security → Two-factor authentication

可以設置如下 2FA 來增強帳號的安全性，如短信驗證碼、身份驗證器和安全密鑰。

額外的密碼保護

除了設置帳號密碼和 2FA 外，用戶還可以開啟額外的密碼保護來進一步增強 X 帳號安全性。

配置方法：Settings → Security and account access → Security → Additional password protection

總結

定期檢查授權應用和登錄活動是確保帳號安全的關鍵，慢霧安全團隊建議用戶定期根據排查步驟對 X 帳號進行授權排查，從而加強帳號的安全性，降低被黑客攻擊的風險。如果發現帳號被黑，請立即採取措施，修改帳號密碼，進行授權排查，撤銷可疑授權，並對帳號進行安全增強設置。