Twitter 版「無間道」:歐巴馬、蓋茲等名人帳號被盜,竟是因為有內鬼?

作者 | 發布日期 2020 年 07 月 17 日 17:00 | 分類 社群 , 網路 , 資訊安全 Telegram share ! follow us in feedly


美國前總統歐巴馬、股神巴菲特、矽谷「鋼鐵人」馬斯克、世界首富貝佐斯、蘋果官方帳號……在短時間內,美國重量級政商巨頭官方認證 Twitter 帳號都發了一條散出詐騙氣味的推文。

「所有匯入我比特幣帳戶的匯款,我都會雙倍返還。」

「你匯給我 1,000 美元,我就匯給你 2,000 美元,僅限接下來半小時內。」

▲ 目前受害帳號已凍結,這是稍早截圖。(Source:Twitter)

而在政商巨頭官方帳號向百萬粉絲發出這條消息後,哪怕推文看起來就像詐騙,還是有不少粉絲真的匯款價值 12 萬美元的加密貨幣。

可惜這不是大老聯手發福利,給的錢也有去無回。這是 Twitter 系統史無前例最大規模遇到駭客攻擊。

無法想像的作案手法

「馬斯克」推文要發錢的時候,粉絲可能還半信半疑,畢竟他一向天馬行空不按常理出牌。但當歐巴馬、貝佐斯也做出不符合人設的舉動時,為什麼還有人相信?

因為用戶的常識中,Twitter 至少會將政商巨頭的帳號保護到滴水不漏,如此大規模名人帳號短時間被集體攻陷,實在超越大部分人的想像。

Twitter 保護帳號的最佳方法是:

使用不在其他網站使用過的強密碼、使用登入驗證、需電子郵件和電話號碼以請求重設密碼連結或代碼。

名人當然不會發給騙子重置密碼需要的資訊,那麼駭客到底如何重置密碼?

目前的調查顯示:這是一場大規模駭客活動,他們賄賂 Twitter 一名員工,完成這場空前規模的名人帳號入侵。

據 Vice 報導,各地下駭客圈流傳共享一張 Twitter 內部管理工具的螢幕截圖,此工具用於帳號接管,可能透過重置帳號電子郵件帳號,然後重設密碼。

Vice 表示已與駭客交談,駭客稱賄賂 Twitter 員工,以使用內部工具更改名人帳號的電子郵件地址,進而控制這些帳號。

Vice 援引一位消息人士稱:「我們找了一名內線,為我們完成所有工作。」

第二個消息來源補充:他們付錢給 Twitter 員工。

Twitter 宣布仍在調查,並確認此次攻擊涉及內部系統、有權限員工的協助。

Twitter 發言人向 Vice 表示:「Twitter 仍在調查此員工是自己劫持帳號還是讓駭客使用工具。」

很難想像被賄賂的 Twitter 員工竟有如此高的權限,成為這場大規模駭客攻擊成功的關鍵。這群駭客沒有展現驚人的高超技術,而是展現金錢對人心的巨大殺傷力。

難以置信的 Twitter 安全系統

Twitter 表示,被騙的 Twitter 用戶已向比特幣帳戶發送 12 萬美元加密貨幣。

但最令人恐懼的不是金錢騙局。Twitter 是最具影響力的社交平台之一,最有影響力的帳號如此輕易被攻陷,這次是騙取錢財,以後可能會操縱金融市場、操縱大選。

美國總統特川普的 Twitter 經常打擊金融市場,引發國際關係危機,如果他的帳號被駭客控制,後果不堪設想,畢竟總統候選人拜登的 Twitter 帳號這次也是受害者。

其他被劫持的帳號包括前總統競選人 Mike Bloomberg 和加密貨幣平台 Coinbase、Gemini。被劫帳號聲稱與名為 CryptoForHealth 的組織合作,稱只要先將比特幣發送到某個地址,就會還你更多比特幣。

Twitter 目前採取鎖定帳號、限制用戶發文、限制內部訪問權限和發起調查等方式。「我們鎖定被盜用的帳號,只有在我們確定可安全操作時,才會恢復原始帳號所有者的訪問權限。」Twitter 還表示,已採取「調查期間限制訪問內部系統和工具」措施。

無論 Twitter 怎麼做,此次 Twitter 的安全系統已淪為群嘲現場。

Twitter 網友諷刺形同虛設的 Twitter 資訊安全系統,就像用一根薯條鎖住門。

也有 Twitter 網友放圖諷刺,面對駭客,Twitter 高舉雙手任由搜身……

FBI 舊金山分部正在領導調查 Twitter 駭客行動。不過,白宮發言人表示,川普計劃繼續推文,他的帳號在這次攻擊過程很安全,白宮也與 Twitter 保持聯絡,以確保川普的帳號安全。

(本文由 PingWest 授權轉載;首圖來源:Unsplash

延伸閱讀:

關鍵字: , , ,