美国前总统奥巴马、股神巴菲特、硅谷“钢铁人”马斯克、世界首富贝佐斯、苹果官方账号……在短时间内,美国重量级政商巨头官方认证 Twitter 账号都发了一条散出诈骗气味的推文。
“所有汇入我比特币账户的汇款,我都会双倍返还。”
“你汇给我 1,000 美元,我就汇给你 2,000 美元,仅限接下来半小时内。”
▲ 目前受害账号已冻结,这是稍早截图。(Source:Twitter)
而在政商巨头官方账号向百万粉丝发出这条消息后,哪怕推文看起来就像诈骗,还是有不少粉丝真的汇款价值 12 万美元的加密货币。
可惜这不是大老联手发福利,给的钱也有去无回。这是 Twitter 系统史无前例最大规模遇到骇客攻击。
无法想像的作案手法
“马斯克”推文要发钱的时候,粉丝可能还半信半疑,毕竟他一向天马行空不按常理出牌。但当奥巴马、贝佐斯也做出不符合人设的举动时,为什么还有人相信?
因为用户的常识中,Twitter 至少会将政商巨头的账号保护到滴水不漏,如此大规模名人账号短时间被集体攻陷,实在超越大部分人的想像。
Twitter 保护账号的最佳方法是:
使用不在其他网站使用过的强密码、使用登入验证、需电子邮件和电话号码以请求重设密码连结或代码。
名人当然不会发给骗子重置密码需要的资讯,那么骇客到底如何重置密码?
目前的调查显示:这是一场大规模骇客活动,他们贿赂 Twitter 一名员工,完成这场空前规模的名人账号入侵。
据 Vice 报导,各地下骇客圈流传共享一张 Twitter 内部管理工具的屏幕截图,此工具用于账号接管,可能透过重置账号电子邮件账号,然后重设密码。
Vice 表示已与骇客交谈,骇客称贿赂 Twitter 员工,以使用内部工具更改名人账号的电子邮件地址,进而控制这些账号。
we spoke to two hackers and we were able to independently verify they were in control of hijacked accounts today. One of them said they paid the Twitter employee to help them take over accounts; not sure on the specifics here at the moment
— Jason Koebler (@jason_koebler) July 16, 2020
Vice 援引一位消息人士称:“我们找了一名内线,为我们完成所有工作。”
第二个消息来源补充:他们付钱给 Twitter 员工。
Twitter 宣布仍在调查,并确认此次攻击涉及内部系统、有权限员工的协助。
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Twitter 发言人向 Vice 表示:“Twitter 仍在调查此员工是自己劫持账号还是让骇客使用工具。”
很难想像被贿赂的 Twitter 员工竟有如此高的权限,成为这场大规模骇客攻击成功的关键。这群骇客没有展现惊人的高超技术,而是展现金钱对人心的巨大杀伤力。
难以置信的 Twitter 安全系统
Twitter 表示,被骗的 Twitter 用户已向比特币账户发送 12 万美元加密货币。
但最令人恐惧的不是金钱骗局。Twitter 是最具影响力的社交平台之一,最有影响力的账号如此轻易被攻陷,这次是骗取钱财,以后可能会操纵金融市场、操纵大选。
美国总统特川普的 Twitter 经常打击金融市场,引发国际关系危机,如果他的账号被骇客控制,后果不堪设想,毕竟总统候选人拜登的 Twitter 账号这次也是受害者。
其他被劫持的账号包括前总统竞选人 Mike Bloomberg 和加密货币平台 Coinbase、Gemini。被劫账号声称与名为 CryptoForHealth 的组织合作,称只要先将比特币发送到某个地址,就会还你更多比特币。
Twitter 目前采取锁定账号、限制用户发文、限制内部访问权限和发起调查等方式。“我们锁定被盗用的账号,只有在我们确定可安全操作时,才会恢复原始账号所有者的访问权限。”Twitter 还表示,已采取“调查期间限制访问内部系统和工具”措施。
无论 Twitter 怎么做,此次 Twitter 的安全系统已沦为群嘲现场。
Twitter 网友讽刺形同虚设的 Twitter 资讯安全系统,就像用一根薯条锁住门。
live look at twitter’s security system pic.twitter.com/cit8dHK0fV
— Logan Hall (@loganclarkhall) July 15, 2020
也有 Twitter 网友放图讽刺,面对骇客,Twitter 高举双手任由搜身……
Twitter security: pic.twitter.com/QDEb7PGqVm
— Anis ⣢ (@0xUID) July 16, 2020
FBI 旧金山分部正在领导调查 Twitter 骇客行动。不过,白宫发言人表示,川普计划继续推文,他的账号在这次攻击过程很安全,白宫也与 Twitter 保持联络,以确保川普的账号安全。
- Hackers Convinced Twitter Employee to Help Them Hijack Accounts
(本文由 PingWest 授权转载;首图来源:Unsplash)
延伸阅读:
- 美国政商名人 Twitter 账号集体被骇,发出比特币两倍券骗局
