黑客警报:网络犯罪分子接管了流行的Twitter帐户,将用户暴露于比特币骗局

Prominent Twitter Accounts Compromised

如果您想在短短几个小时内赚到10万美元以上,该怎么办?只要您不担心触犯法律,如果被抓到可能会入狱,那根本就没有那么困难。您只需要在Twitter上劫持一些受欢迎的帐户并运行前所未有的比特币骗局即可。

昨天,黑客攻击了Twitter中一些最具影响力的用户。受害人包括政治家巴拉克·奥巴马(Barack Obama),乔·拜登(Joe Biden)和迈克·彭博格(Mike Bloomberg),企业家埃隆·马斯克(Elon Musk),杰夫·贝索斯(Jeff Bezos)和比尔·盖茨(Bill Gates),音乐家坎耶·韦斯特(Kanye West)和维兹·哈里法(Wiz Khalifa),以及苹果和优步的公司账户。不少与加密货币相关的账户也被劫持,它们都被利用在绝对简单的比特币骗局中。

你给我一个比特币,我给你两个比特币

黑客利用被入侵的帐户向数百万追随者承诺向他们提供金钱,以换取处理加密货币交易的权利。用户被告知,如果他们向推文中指定的地址发送一些比特币,此后不久,他们将在自己的钱包中收到两倍的金额。除了一些帐户引用COVID-19危机作为赠品的原因,而另一些帐户声称这样做纯粹是出于慷慨的事实之外,所有推文都几乎相同。

对于与加密货币相关的帐户,黑客采用了略有不同的策略。他们没有在推特上宣传赠品,而是链接了最近注册的域名,这些域名使用相同的比特币地址推动了相同的计划。

不是这种类型的第一个骗局 ,但是可以公平地说,以前从未有过如此规模的骗局 。为了给人们一种紧迫感,大多数推文都声称赠品只能持续30分钟,这似乎已经得到了回报。

天真的用户向骗子发送了价值超过10万美元的加密货币

这次攻击当然是史无前例的,但是骗局本身并没有创新之处。黑客甚至不费心使用多个比特币地址来更有效地掩盖其踪迹。

您可能会认为,缺乏成熟度,再加上人们现在应该真正知道互联网上的“一分钱”计划行不通的事实,对于黑客来说,这将是一个巨大的机会。情况并非如此。

因为黑客使用了一个比特币地址,所以很容易看到人们已经汇了多少钱。根据Blockchain.info的数据 ,截至撰写本文时,骗子的比特币钱包的传入交易总计12.8 BTC或约11.7万美元。有人可能会说,鉴于潜在的受害者人数众多,这并不算多,但是考虑到一些骗局推文在发布后仅几分钟就被删除,这不是一个坏问题。

Twitter:这是对我们员工的社会工程攻击

Twitter确实采取了迅速的行动,鉴于涉及到大量备受关注的帐户,因此这真的不足为奇。这些推文被立即删除,几个小时后,一些帐户所有者仍然无法发送推文或重置密码,而微博平台的安全团队正在清理混乱。

毫不奇怪,人们想知道黑客是如何进入的,许多人还记得Twitter 宣布将其3.3亿用户的纯文本密码意外粘贴到内部文件中的那天。当时,社交媒体平台要求所有用户更改密码,尽管它确实指出只有员工才能访问登录数据。我们还没有发现由于该漏洞而导致任何泄漏的证据,但是当知名人士昨天开始推动比特币骗局时,一些安全专家认为,也许这些密码毕竟已经找到了通往外部世界的途径。但是事实证明,2018年5月的bug与它无关。

调查仍在进行中,但Twitter的支持团队已经宣布 ,黑客组织了对一些社交媒体员工的“协调性社会工程攻击”。确实,在发布第一条诈骗推文后不久,出现了一些屏幕截图,表明尽管黑客无法访问受感染帐户的密码,但他们控制了可以代表受害者发布的后端工具。据Motherboard消息人士称 ,骗子行贿Twitter员工后可能已经获得了使用这些工具的权限。

无论如何,如果您想知道社交网络对人们的生活有多大影响,那应该是一个很好的例子。著名的Twitter和Facebook帐户的所有者必须知道,他们张贴的每个词都能引起其追随者和粉丝的各种反应,因此,他们必须非常认真地承担这一责任。社交媒体用户必须学会不信任他们在互联网上看到的所有内容,即使这些内容似乎来自他们欣赏的人。

同时,Twitter要做很多调查,还有很多教训要学习。

July 16, 2020

发表评论