用奥巴马的账户发诈骗信息,黑客如何制造史上最大盗号事件?
2020-07-25 12:00

用奥巴马的账户发诈骗信息,黑客如何制造史上最大盗号事件?

本文来自公众号:SME科技故事(ID:SMELab),作者:Chris Velazco,题图来自:视觉中国


上周三,一名(或者多名)黑客控制了一系列名人及大牌厂商的推特账号。在登陆上这些账户之后,黑客用它们发布了一系列大同小异的诈骗消息,声称“自己将在全球疫情期间回馈社会”,并附上了一个名为cryptoforhealth.com的网址(现已注销)


那些访问网站的人被告知,如果他们将比特币发送到指定的地址,就会获得双倍金额的回报。而且假如捐款总数超过了一定的门槛,所有人还都会获得奖金。就是这么拙劣的诈骗手法,竟然也让黑客成功赚了一笔。


双双中招的拜登/奥巴马推特


第一个被攻破的账户是埃隆·马斯克(Elon Musk),紧随其后的是比尔·盖茨(Bill Gates)、优步(Uber)、苹果(Apple)、坎耶·韦斯特(Kanye West)、杰夫·贝佐斯(Jeff Bezos)、迈克·布隆伯格(Mike Bloomberg)、乔·拜登(Joe Biden)和美国前总统巴拉克·奥巴马(Barack Obama)等人。


这些账户中的大多数都发布了大意相同的一条消息:如果有人在30分钟内将比特币发送到指定的地址,推特账户所有者将返赠回双倍金额的比特币。这些夸张的声明成功骗过了一些人,但很显然受骗者将自己的比特币拱手奉上之后并不会得到任何回报。



推特官方的反应还算迅速,他们很快发现异常情况。为了防止更多诈骗信息被分享,推特临时关闭了所有认证用户的发布功能,并对诈骗信息进行了删帖清理。从首则诈骗信息发出到推特终于夺回“账号主权”并为认证用户们恢复功能,一共经过了大约3个小时。


短短三小时,已然在网络世界引起轩然大波。推特在事发的同时就宣布对此次黑客攻击展开全面调查,第二天美国联邦调查局(FBI)也宣布介入此事件进行调查。


这个事件是主流社交媒体平台迄今为止所遭受的最严重入侵,而对此大家最关心的问题显然是:这些账户是如何被黑客入侵的?


被盗的约130个账号均为粉丝数极多影响力极大的账户


目前推特的调查仍在进行中,有确切结论性的消息很少。而关于黑客攻击事件,这是该公司到目前为止已确认的内容:


1. 它的一些员工因为访问“内部系统和工具”而遭到了黑客的社会工程攻击。


2. 黑客能做到“控制”这些已认证且备受关注的账户,并“代表”他们本人发布推文。


3. 在黑客攻击事件发生后,推特官方已采取措施限制访问上述内部系统和工具,直到更详尽的调查结果出来为止。


推特的旧金山总部


但令人不安的是,黑客入侵后发布的一些新闻报道却与推特的官方说法背道而驰。


如前所述,推特表示他们内部的一些员工遭受了社会工程攻击。“社会工程”是一个具有多种含义的术语,不过它通常指的是一方欺骗或者操纵了另一方,以获取信息或是获得机密资源的访问权。


(注:在计算机科学领域,社会工程学指的是通过与他人的合法交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系,这一行为一般是被认作侵犯隐私权的。)


美国前头号黑客凯文·米特尼克(Kevin David Mitnick) 社会工程学的开山鼻祖


在黑客入侵数小时后,Motherboard网站发布的一份报告对情况进行了更为直率的描述。据一位自称接管了部分账户的匿名者称,黑客贿赂了至少一名推特内部员工,以获得强大的平台内部控制权。


Motherboard的采访显示,某些推特员工可以使用一个控制面板,通过这个面板他们可以更改与特定推特账户相连的电子邮件地址。通过改变任意账户的相关信息,黑客就能够暂时将账户所有权转移给自己。


所以具体是推特“有内鬼”还是只是居家办公的员工被黑客套路了,现在还不好说。



大家的另一大关注点是:黑客骗走了多少钱?


关于黑客在这一诈骗中的最终收益具体数额目前还不清楚。早些时候,监控了推文中给出的网站地址的人发现,那个地址很快就接收了近6万美元比特币转账。截止本文撰写(7月16日)时,发送到上述地址的总金额为12.86874316比特币,相当于118995.75美元。


这一数值与另一匿名消息来源提供给TechCrunch的一个账户吻合,它声称一个名为“Kirk”的黑客是此次事件的幕后主使,他在几个小时内就赚了超过十万美元。不过,与该地址关联的钱包中的许多加密货币已被转移。目前,那里面只剩大约141美元。


目前尚不清楚这些比特币转账中有多少是受骗者的。因为在类似的骗局中,黑客往往会提前将看似合法的交易“播撒”在区块链的账本上,以引诱持怀疑态度的潜在受骗者上当。所以这个数值是“饵料”与“上钩数”的总合,具体还有待调查计算。



现在,各大政府机构最关心的显然是推特账户的安全问题。


参议员Senator Josh Hawley (R-Missouri)起草了一封致推特CEO Jack Dorsey的信,质疑此次事件中推特是否有违约的地方、个人数据丢失的可能性,以及推特为防止黑客入侵采取的种种措施是否到位。但Dorsey尚未公开回答这些问题。


除了个别政府成员,推特还面临着贸易监管机构和管理机构的严格审查。美国有线电视新闻网(CNN Business)的布莱恩·冯(Brian Fung)指出,推特有可能成为联邦贸易委员会调查的对象。


同时英国广播公司(BBC)也指出,尽管黑客入侵的受害者主要来自美国,但由于该公司的安全情况,也可能会引起欧盟的注意。如果欧盟监管机构发现推特在保护其用户方面的努力松懈,那么这家社交媒体巨头将面临巨额罚款。


推特的首席执行官Jack Dorsey现在显然已经忙得焦头烂额。在调查真相、堵上系统漏洞、向公众解释清楚的同时还要面临股市下跌、监管部门的压力、黑客的潜在威胁等等问题。


现年44岁的杰克·帕特里克·多西(Jack Patrick Dorsey)


在这次黑客袭击的余波中,一个大问题仍然悬而未决:黑客们仅仅是为了钱吗?拿到了几乎所有当世名人的社交媒体账号,意味着他们能暂时性地左右股市、宣扬理念、甚至动荡政坛。就算是将账号的临时使用权在黑市卖出都会是天价。


然而这波黑客仅仅只是搞了一个如此拙劣的骗局并赚到了十几万美元?数字隐私专家雷·沃尔什(Ray Walsh)告诉我们的记者,这些黑客要么“非常缺乏想象力,要么非常克制”。


但网络上的很多声音认为,这些技术过人的黑客只是单纯的有点蠢。


原文链接:

https://www.engadget.com/everything-we-know-about-the-twitter-bitcoin-scam-hack-202447973.html?


本文来自公众号:SME科技故事(ID:SMELab),作者:Chris Velazco

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP

相关推荐