暗号通貨詐欺師がX'のインターフェイスの抜け穴を利用して、詐欺や偽のプレゼント、欺瞞的なTelegramチャンネルを拡散させている。BleepingComputerによると、Xのユーザー@rcwht_が最初に発見したユーザーインターフェースの欠陥により、詐欺師は一見正当なURLに悪意のあるコンテンツを細工することができる。

信頼の方向転換：悪用されるX'のインターフェース

BleepingComputerが特定した欠陥により、詐欺師はURLを操作し、あたかも正当なアカウントによって投稿されたかのようにツイートを表示しながら、ユーザーを詐欺的なコンテンツにリダイレクトさせることができる。例えば、以下のリンクは本物であるかのように見えるかもしれない：

https://x.com/itscrypto_news/status/1736650221243826564

しかし、その投稿とaccount_nameフィールドとの関連性を検証する際の欠陥により、ユーザーをElon Muskの投稿にリダイレクトしてしまう。BinanceやEthereum Foundationを含む有名なアカウントが、この脆弱性を悪用した詐欺師の被害に遭っている。

X'の特徴が詐欺の手口に転化

X'のアカウント名を検証することなく、投稿の検索にステータスIDを使用する仕組みは、詐欺師が知名度の高いアカウント名さえも改ざんすることを容易にする。

https://twitter.com/[アカウント名]/status/[status_id]

セキュリティ研究者MalwareHunterTeamは、数週間にわたり暗号関連のアカウントを標的とし、疑うことを知らない被害者に偽のエアドロップを実行する詐欺師を紹介している。

詐欺に迫る

詐欺師はBinanceやEthereumなどの正当なアカウントを模倣し、ユーザーを無関係なXユーザー'の暗号詐欺を宣伝するツイートにリダイレクトさせる。特に、zkSyncの偽ツイートは、同社になりすまし、暗号流出サイトを宣伝するページに誘導した。

Xリダイレクト暗号詐欺の例（画像ソース：BleepingComputer）

欺瞞に満ちたウェブをナビゲートする

X'の品質フィルターで有害なツイートを除外する設定> 通知> フィルター は、ある程度の保護を提供できるだろう。しかし、これは本物のコンテンツをフィルタリングしてしまう危険性がある。

Xクオリティフィルター（画像ソース：BleepingComputer）

特にモバイルでは、アドレスバーがないため、ユーザーが詐欺を正当なプロモーションと誤解する可能性がある。

搾取から守る

このリダイレクトはXの標準的な機能であることから、直ちに変更が加えられる可能性は低いと思われる。ユーザーは、Xのリンクをクリックする際にアドレスバーをよく見て、リダイレクトされていないこと、意図したツイートを訪問していることを確認することをお勧めする。

暗号をめぐる情勢に警戒を怠らない

進化し続ける暗号詐欺の世界では、警戒を怠らないことが最も重要です。X'の脆弱性は、詐欺師の試みを阻止するために、ユーザーが注意を払い、URLを確認し、追加のセキュリティ対策を採用する必要性を強調している。