為了防止這類攻擊持續蔓延,BitMEX 目前已禁止用戶關閉電郵「登入通知」功能,用戶提款前也必須先通過 API 進行電郵驗證。另外,BitMEX 還建議用戶儘速「增加密碼強度、啟用雙重身份驗證(2FA),同時配合密碼管理器使用」。
BitMEX 觀察發現,近全數受害者都沒有收到有關帳戶異動的電郵通知,因此才決定要求用戶加強防護措施。除此之外,BitMEX 還提醒用戶切勿使用跟社交平台相同的登入密碼,同時也電郵地址必須保密,並定期檢查電腦是否有惡意軟體。
根據 BitMEX 的說法,駭客為了牟取不義之財,攻擊策略越來越複雜,最初階的駭客會先取得用戶電郵地址,再通過「忘記密碼」進行重設,由此取得帳戶控制權;另外,也有些駭客會先將受害者資金轉移到另一個同樣由駭客控制的帳戶,而不是直接發出提款請求;而其他駭客則是登入受害者帳戶後,將電郵「登入通知」功能關閉。
BitMEX 最後總結道,為了進一步保護用戶資金,目前也正考慮是否強制執行 2FA 登入方式。
