内容创作者成网络攻击目标：网络犯罪分子的新型狩猎场

社交媒体内容创作者目前面临严峻挑战：品牌支出减少、广告收入下降、竞争激烈，还包括来自AI生成内容创作者和冒充者的竞争。研究表明，约半数从业者年收入仅15,000美元或更少，仅十分之一超过100,000美元。雪上加霜的是，内容创作者正成为网络犯罪分子日益流行的攻击目标。最近滥用特斯拉和红牛等品牌的鱼叉式网络钓鱼活动突显了潜在风险。

账户被盗可能产生毁灭性影响，不仅对受害者本人，还包括其粉丝和潜在品牌客户。如果你是社交媒体内容创作者，现在可能是重新审视账户安全最佳实践的时候了。

黑客为何盯上内容创作者？

威胁行为者通常在网上潜在受害者身上寻找几个要素。如果他们想要劫持社交媒体账户，他们会选择粉丝数量尽可能多的账户。这意味着他们的诈骗或恶意软件将广泛传播。理想情况下，他们还希望 targeting 那些通过数月或数年在线提供建议与受众建立长期信任的内容创作者。信任也可以通过验证状态徽章获得。无论哪种方式，都意味着粉丝更可能不假思索地点击这些账户中的链接。

不言而喻，黑客还需要这些账户易于入侵。任何仅用单一弱密码保护的账户对机会主义网络犯罪分子来说都是礼物。

攻击手法揭秘

在针对内容创作者的攻击中，攻击始于社交媒体账户本身——无论是X（前身为Twitter）、YouTube、TikTok、Instagram还是其他平台。在极少数情况下，最终目标是国家支持的虚假信息。但更多时候我们谈论的是出于经济动机的网络犯罪。获取账户访问权限有几种方式：

鱼叉式网络钓鱼：高度针对性的网络钓鱼攻击，旨在诱骗个人交出登录凭证。这些攻击可能使用目标的公开信息使其看起来更真实。网络钓鱼电子邮件或短信也可能被设置了恶意链接或附件，悄悄在受害者设备上安装信息窃取恶意软件。

凭证填充/暴力破解：暴力破解攻击是一种试错形式，自动化软件尝试使用流行密码（密码喷洒）或先前泄露的密码（凭证填充）攻击大量账户/网站。当某个用户名/密码组合有效时，他们就能入侵。

SIM卡交换：黑客通过社会工程手段让电信工作人员将受害者的电话号码转移到他们控制的SIM卡上。这使他们能够拦截常用于验证和访问社交媒体的双因素认证（2FA）代码。

需要指出的是，AI正在帮助网络犯罪分子通过使用 flawless 本地语言制作更具说服力的网络钓鱼电子邮件来实现其目标。它还通过收集可用于这些攻击和SIM卡交换攻击的目标背景信息来支持攻击活动。AI还可以使暴力破解攻击更快、更有效。

入侵后的连锁反应

获得高价值内容创作者账户的访问权限后，网络犯罪分子可能希望立即在线将其出售给出价最高者，或者自己使用。无论哪种方式，它最有可能被用于宣传加密货币投资骗局和其他快速致富计划，旨在骗取粉丝的辛苦积蓄。或者发布可能在粉丝机器上安装恶意软件的恶意链接。

威胁行为者还可能试图勒索受害者支付赎金以重新获得访问权限；例如威胁发布粗俗或煽动性内容。他们可能能够访问粉丝联系数据库，这些数据库可以被出售和/或用于直接向粉丝发送垃圾邮件和网络钓鱼攻击。理论上，被劫持的账户也可能被滥用以发布与该内容创作者相关品牌的虚假声明。

如果威胁行为者还设法入侵内容创作者的电子商务账户（使用上述相同技术），他们可能能够转移来自粉丝的进账资金。

底线是粉丝面临身份盗窃相关的安全风险，品牌和内容创作者声誉受损，以及内容创作者可能遭受直接损失。

关键防护措施

面对可能是生存风险的情况，内容创作者需要制定行动计划。这应基于坚实的账户安全最佳实践：

• 长而强且唯一的密码，更难被密码喷洒工具破解
• 基于应用的双因素认证（例如Google Authenticator或Microsoft Authenticator等应用），而非可被拦截的基于短信的2FA代码
• 提高网络钓鱼意识，特别是黑客通常用来引诱内容创作者的一些诱饵，如看似有利可图的大品牌赞助协议
• 工作和个人使用分开的设备和电子邮件账户，业务设备配备更高级别的安全控制
• 所有设备安装来自信誉良好提供商的安全软件，应能防止恶意下载并阻止网络钓鱼电子邮件
• 始终保持设备和PC软件/操作系统为最新版本，这将意味着最安全的版本
• 绝不从非官方应用商店下载应用，因为它们可能隐藏信息窃取恶意软件

内容创作者的声誉最终决定了他们的商业成功。必须不惜一切代价加以保护。