黑客警報:網絡犯罪分子接管了流行的Twitter帳戶,將用戶暴露於比特幣騙局

Prominent Twitter Accounts Compromised

如果您想在短短幾個小時內賺到10萬美元以上,該怎麼辦?只要您不擔心觸犯法律,如果被抓到可能會入獄,那根本就不那麼困難。您只需要在Twitter上劫持一些受歡迎的帳戶並運行前所未有的比特幣騙局即可。

昨天,黑客攻擊了Twitter中一些最具影響力的用戶。受害人包括政治家巴拉克·奧巴馬(Barack Obama),喬·拜登(Joe Biden)和邁克·彭博格(Mike Bloomberg),企業家埃隆·馬斯克(Elon Musk),傑夫·貝索斯(Jeff Bezos)和比爾·蓋茨(Bill Gates),音樂家坎耶·韋斯特(Kanye West)和維茲·哈里法(Wiz Khalifa),以及蘋果和優步的公司賬戶。不少與加密貨幣相關的賬戶也被劫持,它們都被利用在絕對簡單的比特幣騙局中。

你給我一個比特幣,我給你兩個比特幣

黑客利用被入侵的帳戶向數百萬追隨者承諾向他們提供金錢,以換取處理加密貨幣交易的權利。用戶被告知,如果他們向推文中指定的地址發送一些比特幣,此後不久,他們將在自己的錢包中收到兩倍的金額。除了一些帳戶引用COVID-19危機作為贈品的原因,而另一些帳戶聲稱這樣做純粹是出於慷慨的事實之外,所有推文都幾乎相同。

對於與加密貨幣相關的帳戶,黑客採用了略有不同的策略。他們沒有在推特上宣傳贈品,而是鏈接了最近註冊的域名,這些域名使用相同的比特幣地址推送了相同的方案。

不是此類騙局的第一個騙局 ,但可以公平地說,以前從來沒有如此規模的騙局 。為了給人們一種緊迫感,大多數推文都聲稱贈品只能持續30分鐘,這似乎已經得到了回報。

天真的用戶向騙子發送了價值超過10萬美元的加密貨幣

這次攻擊當然是史無前例的,但是騙局本身並沒有創新之處。黑客甚至不費心使用多個比特幣地址來更有效地掩蓋其踪跡。

您可能會認為,缺乏成熟度,再加上人們現在應該真正知道互聯網上的“一分錢”計劃行不通的事實,對於黑客來說,這將是一個巨大的機會。情況並非如此。

因為黑客使用了一個比特幣地址,所以很容易看到人們已經匯了多少錢。根據Blockchain.info的數據 ,截至撰寫本文時,騙子的比特幣錢包的傳入交易總計12.8 BTC或約11.7萬美元。有人可能會說,鑑於潛在的受害者人數眾多,這並不算多,但考慮到一些騙局推文在發布後僅幾分鐘就被刪除,這並不是一個不好的報酬。

Twitter:這是對我們員工的社會工程攻擊

Twitter確實迅速採取了行動,考慮到涉及到大量備受關注的帳戶,Twitter真的不會感到驚訝。這些推文被立即刪除,幾個小時後,一些帳戶所有者仍然無法發送推文或重置密碼,而微博平台的安全團隊正在清理混亂。

毫不奇怪,人們想知道黑客是如何進入的,許多人還記得Twitter 宣布將其3.3億用戶的純文本密碼意外粘貼到內部文件中的那天。當時,社交媒體平台要求所有用戶更改其密碼,儘管它確實指出只有員工才能訪問登錄數據。我們還沒有發現由於該漏洞而導致任何洩漏的證據,但是當知名人士昨天開始推動比特幣騙局時,一些安全專家認為,也許這些密碼畢竟已經找到了通往外部世界的途徑。但是事實證明,2018年5月的bug與它無關。

這項調查仍在進行中,但Twitter的支持團隊已經宣布 ,黑客組織了對某些社交媒體員工的“協同社會工程攻擊”。確實,在發布第一條詐騙推文後不久,出現了一些屏幕截圖,表明儘管黑客無法訪問受感染帳戶的密碼,但他們控制了可以代表受害者發布的後端工具。據Motherboard消息人士稱 ,騙子行賄Twitter員工後可能已經獲得了使用這些工具的權限。

無論如何,如果您想知道社交網絡對人們的生活有多大影響,那應該是一個很好的例子。著名的Twitter和Facebook帳戶的所有者必須知道,他們張貼的每個詞都能引起其追隨者和粉絲的各種反應,因此,他們必須非常認真地承擔這一責任。社交媒體用戶必須學會不信任他們在互聯網上看到的所有內容,即使這些內容似乎來自他們欣賞的人。

同時,Twitter要做很多調查,還有很多教訓要學習。

July 16, 2020

發表評論