1. 商業

推特史上最大資安醜聞!盜用比爾蓋茲、歐巴馬帳號的只是一個17歲少年

圖片來源:MORAN on Unsplash

7 月 15 日 Twitter 爆發史上最大規模安全漏洞事件,埃隆.馬斯克、比爾.蓋茲、巴拉克.歐巴馬、喬.拜登等眾多名人在內的 130 個 Twitter 帳戶遭受到駭客攻擊。調查發現,幕後黑手竟是一名 17 歲少年。

據外媒消息,大規模名人推特遭駭客襲擊事件水落石出,幕後策畫者為來自佛羅里達州的 17 歲少年格雷厄姆.克拉克(Grahamlvan Clark)。

圖片來源:WGNTV

 格雷厄姆·克拉克。

另外兩名同謀分別為來自英國的梅森.謝波德(Mason Sheppard),以及佛羅里達州奧多義的尼瑪.法茲利(Nima Fazeli)。目前三人均已遭逮捕。

主謀格雷厄姆.克拉克(Grahamlvan Clark)面臨包括詐騙罪在內的 30 多項重罪指控,並以成年人標準接受審判。

消息一出,有網友調侃,「如此天才少年,應該懲罰他到國家安全局工作。」

但也有網友回應,「天才少年沒錯,不過主要還是因為 Twitter 的安全性做的太差。」

至於駭客們如何成功盜取名人帳戶,Twitter 最新官方回應是採取了手機魚叉式網絡釣魚攻擊( phone spear phishing attack)。本次 FBI 調查人員針對駭客的攻擊行為做出了詳細說明。

駭客攻擊事件回顧

7 月 15 日,Twitter 爆發史上最大規模安全漏洞事件,包括埃隆.馬斯克(Elon Musk),比爾.蓋茲(Bill Gates),巴拉克.歐巴馬(Barack Obama)、喬.拜登(Joe Biden)等眾多名人在內的 130 個 Twitter 帳戶遭受到駭客攻擊。

其中,45 位名人帳戶被登錄並發布比特幣募集推文。

圖片來源:Twitter

推文內容大致相似:

我在回饋社會。所有發送到一下地址的比特幣都會被加倍寄回!如果你寄 1000 美元,我就寄回 2000 美元。只做 30 分鐘。

所用推文最後全部附上了駭客的比特幣錢包代碼。

事件一出,Twitter 官方立刻採取措施,限制了部分 Twitter 帳戶發布推文和重置密碼等功能,從規模和影響來看,這場駭客攻擊是 Twitter 史上爆發的最大的安全漏洞事件。

由於這些名人帳號均有數百萬粉絲,駭客們精心策畫的比特幣騙局單日收到了超過 10 萬美元的比特幣。

希爾斯伯勒州州檢察長安德魯.沃倫(Andrew Warren)說:

駭客們利用名人推特,旨在從包括佛羅里達州在內的全國普通美國人那裡偷錢。這種大規模的欺詐行為是精心策畫的,我們絕不允許。

隨後,美國執法部門對其展開了調查,最後將目標鎖定在了 17 歲的克拉克(Clark)、19 歲的謝波德(Sheppard)和 22 歲的法茲利(Fazeli)三人身上。

接受成年人的審判

據調查人員介紹,他們是在 OGusers 論壇上發現了嫌疑人的蹤跡。OGusers 是一個駭客論壇,包括貼文、私人訊息、IP 地址、電子郵件地址以及眾多參與者的用戶訊息。

在 Twitter 事件發生的當天,OGusers 論壇上一個名為「Chaewon」的帳號發布了一篇貼文,聲稱可以更改與任何 Twitter 帳戶關聯的電子郵件地址,價格為 250 美元,並可以直接訪問 2500 美元至 3000 美元的帳戶。如有需求可與 Discourt 用戶聯系。

與此同時,OGuser 數據庫顯示,一位名「Rolex」的帳戶表示,他可以控制註冊到「Rolex#0373」的 Discord 帳戶,因此,調查人員基本確定了法茲利(Fazeli)。

另外,在今年 2 月初,Chaewon 還有一項盜版電玩遊戲帳戶的購買記錄,該項交易的收付款地址正是本次事件的比特幣集群(比特幣集群是一組錢包,可以綁定到單個個人或實體)。調查人員使用該帳戶的 IP 地址,綁定到另一個名為「Mas」的 OGuser 帳戶。最終發現該用戶所使用的電子郵箱地址與謝波德( Sheppard)擁有的帳戶相關聯。由此,兩位犯罪嫌疑人已經確定。

此外,對於如何發現克拉克(Clark)的犯罪行徑,研究人員沒有給出說明。

不過,據 WFLA 稱,希爾斯伯勒州檢察官安德魯.沃倫(Andrew Warren)已對這名 17 歲少年提起 30 多項重罪指控,包括一項有組織的欺詐罪,17 項通信欺詐罪、1 項欺詐性使用個人訊息的犯罪案件、10 項欺詐性使用個人訊息罪和 1 項未經授權訪問電腦的罪名。由於事件的嚴重性,佛羅里達州法院表示,將酌情考慮以成年人的標準對其進行審判。

同時,另兩名成年人也在加利福尼亞州接受審查,謝波德被指控串謀實施電匯欺詐,串謀洗錢以及故意訪問受保護的電腦 3 項罪名。 法茲利(Fazeli)被指控協助故意訪問受保護電腦一項罪名。

他們是如何做到的?

在 Twitter 最新聲明中指出,駭客們通過魚叉式網絡釣魚,引導其內部員工登錄不安全網站,泄露了 Twitter 系統的訪問和管理權限。近日,首席法律官馬克.拉施(Mark Rasch)對駭客的這種攻擊手段進行了詳細說明。

  • 駭客通過全球最大的職場社交平台 LinkedIn,獲取 Twitter 員工的手機號和其他私人聯繫訊息。
  • 隨後致電員工,透過獲取到的個人訊息與員工建立信任,並確認其是否為 Twitter 系統授權人員。
  • 將他們引導到一個模仿內部 Twitter VPN 的網絡釣魚頁面。當目標員工進入時,攻擊者便獲得了訪問憑據。

為了繞過 Twitter 所採用的兩層身份訊息驗證,駭客在員工將信息輸入到虛假的 Twitter 登錄頁面後的幾秒鐘內,便將憑據輸入了真實的 Twitter VPN 門戶。一旦員工輸入了一次性密碼,攻擊者就進入了。

調查研究人員介紹,駭客們的計畫之所以能取得成功,新冠疫情起到了關鍵作用。首先受疫情影響,大部分員工在家辦公,他們使用的個人設備往往不能達到公司電腦的控制和訪問限制的程度,另外,他們使用的 VPN 服務,可能尚未經過全面審核,而每個員工都擁有完全訪問權限的帳戶。不過,最重要的是,在家辦公阻礙了員工面對面的相互驗證,他們依賴的網路或手機訊息愈來愈存在不安全性。

那麽,如何預防駭客的網絡攻擊?

調查人員表示,對於如 Twitter 這樣的技術服務商而言,最直接方法是使用硬體或證書檢查,以確保單獨使用竊取的憑據對入侵無效。另外,公司也必須加強網路監管,對駭客社區常用的轉移技術有所了解,並與其他目標公司共享訊息。

資料來源:CNBC微信

https://www.bnext.com.tw/
Contributor
Do you like 數位時代's articles? Follow on social!
Comments to: 推特史上最大資安醜聞!盜用比爾蓋茲、歐巴馬帳號的只是一個17歲少年