昨天恐怕是Twitter上上下下有史以来最忙乱的一天。
美西时间7月15日中午12点,Twitter——全球最为著名的社交媒体平台,在无声无息中突然被黑客大规模攻击,安全防线全面崩溃。
在几分钟之内,区块链行业内能叫得上名字的大V和官推全部被盗,公开发出同一条文字相同的推文,以慈善的名义向人索要比特币。被“强行乞讨”的官推包括币安、Gemini、Coinbase、Kucoin、Bitfinex、Tron、Bitcoin.org,以及有影响力的个人账号Charlie Lee、 孙宇晨等等等等。
部分被盗账号截图,图片来自engadget
除了币圈的人之外,就连包括美国前总统奥巴马,下一届美国总统竞选人拜登、说唱歌手侃爷,特斯拉CEO马斯克,亚马逊CEO贝佐斯,以及Apple 和Uber 的官方推特等在内的知名账号都纷纷发出了「我!名人!打钱!懂?」的信息。
黑客利用奥巴马的Twitter演戏,图片来自网络
黑客的戏也演得挺全,甚至以奥巴马的身份,在那条诈骗推文下面留言:“已经发了4万美金咯!”
截止目前为止,该诈骗账户已经产生了370余笔交易,总计诈骗金额已经达到12万美元。
目前,Twitter已经开始对黑客展开调查,而由于涉及到重要政治人物,美国联邦调查局(FBI)也已经对黑客的身份展开调查。FBI的介入说明此次事件已经上升到国家安全层面。
在Twitter上骗比特币也太容易了
此次黑客攻击事件,是 Twitter 公司历史上最严重的一次安全事件。无论Twitter公司的危机公关部门之后如何解释这件事,都无法将责任从自己身上洗下去。并且这种安全事故早在几年前就已经发生过。
从 2018 年开始,就有骗子冒充科技大佬及知名加密货币爱好者伊隆 · 马斯克(Elon Musk)。他们使用马斯克的头像,选择一个相似的用户名,然后发布一条仿佛天上掉馅饼一般的推文:借给我一些加密货币,我会还你更多。
此次事件发布的信息与2018年高度相似(此为本次事件截图)
这些骗子甚至会去马斯克的名下企业官推回复消息,例如去SpaceX回复消息,好让假账户看上去更真实。骗子还会通过水军散播虚假推文,也是为了增加真实性。这种【高仿号】诈骗的行为居然在Twitter上持续了数天之久。
尽管Twitter后来封禁了这些高仿号,但根据《独立报》在2018年11月的一份报告中显示,2018年在Twitter上冒充马斯克的诈骗者已经骗取了价值数十万美元的比特币。
而对于这次的事件,美国著名科技记者尼克 · 斯塔特(Nick Statt)表示:“这些知名大公司的官推和名人们的账号,都被卷入了这场Twitter史上最大的黑客攻击事件中,发布比特币诈骗信息。并且从美国东部时间下午4点开始发布诈骗推文直到5点45分这一个多小时中,Twitter始终没有做出任何回应和措施,大部分受害者也正是在这一个多小时中跌进诈骗陷阱的。”
两小时后 Twitter 简单地表示:公司已经禁用了认证账户的发推功能,或者已经重置了他们的密码,同时公司正在努力调查攻击的根本原因。
但是就在 Twitter 说明情况之前,许多用户已经发不出推文了。
Twitter对于此次事件的回应,图片来自Twitter截图
2018 年和这次的事件让人们看清楚了三件事。第一,总会有人上当受骗,每一次有人上当受骗,都会让其他诈骗者看到其中的巨大利益;第二,Twitter 对这种安全事件的处理缓慢,远不及该公司一早许下的会严肃对待这些问题的承诺;第三,Twitter的安全政策和技术手段往往是在诈骗事件发生后才制定实施的,这种做法几乎等于【亡羊补牢】。
既然事情已经发生,那么搞清楚黑客使用什么方式盗取用户账户密码才是最关键的事情。
大面积的盗号,黑客真的只为了骗钱?
根据《Vice》杂志的安全记者约瑟夫 · 考克斯(Joseph Cox)的报道,地下黑客社区的成员之间分享的屏幕截图显示,有人可以访问 Twitter 内部用于管理账户的工具。
考克斯表示:“有两名地下黑客社区的网友向媒体提供了一个内部控制面板的屏幕截图,称Twitter 的员工就是使用这个内部控制面板管理账户。” 而一名消息人士称,Twitter 的这个控制面板是用来更改某些账户的所有权。目前,Twitter 已经删除了这些控制面板的截图,并以【内容违反社区规则】封禁了发布这些截图的账户。”
根据考斯克的说法,这次安全事故并不是一次简单的黑客攻击。根据他的猜测,此次Twitter被攻击有可能存在两种情况:1.黑客成功破解了Twitter的用户管理系统;2.Twitter公司内部出现了内鬼,他利用职权盗取大V的账号并牟取私利。
图片来自The Verge
而根据Twitter公司说法,公司的安全人员检测到了一种协同式社交工程攻击。黑客成功锁定了一些具有访问内部系统和工具权限的员工,并通过社交工程攻击的方式盗取了他们电脑中的文件和权限。
那么什么又是社交工程攻击呢?
首先,攻击者会冒充客服人员通过电话或电子邮件的方式与攻击对象取得联系。建立信任关系之后,再以客服的身份将被攻击者的注册邮箱更改为属于攻击者的邮箱地址,再将密码重置的邮件发送到新的地址中取得用户的密码。经过以上几个步骤,攻击者便完全掌握了账号信息。
若黑客有政治性目的,那后果会十分严重,图片来自网络
而黑客只要不通过Twitter发送任何诈骗信息的话,用户就永远不会知道账号密码已经被黑客获取了。这就意味着黑客完全可以在收集了大量的账号后,在一个特定的时间节点集中发送推文,从而制造大规模的事件。
至少从这次事件来看,是这样的。并且Twitter对这次事件的处理不力,还有可能将此次事件的影响扩大。
虽然此次黑客入侵的动机和来源尚不清楚,但合作入侵世界领导人、名人和大公司已认证账户的做法令人恐惧。Twitter已经成为全球最大社交媒体之一,许多医疗和服务机构都通过Twitter来发布信息。例如,伊利诺伊州林肯国家气象局在认证账户被禁言前,刚刚发布了一条龙卷风警告。那些依赖这个账号了解龙卷风后续情况的用户们,这下可能要倒霉了。
两条推特中间相差三个小时,图片来自Twitter截图
想象一下,假设是带着某种政治意图的人控制了这些账号,那么极有可能会导致国际误会。并且现在距离美国大选已经不到四个月的时间了,这样大规模的黑客攻击无疑让人们开始恐惧更加严重的后果。
同时,虽然Twitter公司在事件之后封禁所有认证账户的发推权限是不得已而为之,但这种方法仍然需要商榷。
避免同类事件?加强监管才是硬道理
作为成功的社交软件,人们可以在Twitter自由自在的发表自己的言论和看法,但是频繁出现的安全事件,只会让人们对社交平台的信任越来越低,最终导致用户流失。
可是,这样的事件就无法做出有效的预警和避免吗?答案是否定的,在言论自由的现代社会,社交平台作为各种信息的集散点,也应该担起属于自己的责任。
小探认为,如果要避免同类事件的发生,Twitter至少需要改善以下三点。
首先,平台下场监督任何金钱活动。在认证账号发布任何涉及金钱的抽奖、返利活动时,需要官方平台监督发布者根据既定的规则进行公平抽取并公示。并且建立相对完备和快速的申诉渠道,这样就能避免活动发起者不发奖的出现。
Twitter应该严格监督任何与金钱来往有关的推文,图片来The Verge
其次,完善且反应迅速的审核和预警机制。在一个合格的社交网络中,用户能自由自在的上传和发表自己的内容和看法。但是在言论自由的情况下,对重要信息的审核就尤为重要。而在今年的疫情期间,Twitter在审核消息方面的成果就显得非常失败,比如对于注射消毒液就能杀死新冠这样的谣言。
虽然当时许多用户发推讽刺这种说法并配上『佯装注射』的图片,但这种类型的推文却没有被打上的风险标记,且官方也未将专业卫生机构的辟谣信息置于该类信息搜索页的顶部,这就会让我一些医学常识匮乏的人信以为真,从而导致危险发生。
部分Twitter用户发推讽刺该说法,但页面中完全没有相应提示,图片来自Twitter截图
第三,对于相关政府账号的区别保管。如上面所说,有许多社会服务机构、政府机构、国家领导人等通过Twitter进行公告发布,而这些消息通常与社会民生和国际关系息息相关,保证这种类型账号的安全比其他类型的账号更为重要。那么,为了防止这类账号被盗而导致社会动荡甚至国际误会的产生,Twitter是否可以通过技术手段对这些账号进行特殊的保护或者设置特别的登录验证方式来保证账号的绝密性和安全性呢?
当然,上面的一切猜测都需要Twitter公司有所作为才能成为现实。而目前,我们只需要等Twitter对此次事件的细节公示和一个满意的答复。
图片来自网络
总之,无论平台做出怎样的防范措施,还是会有不法分子会通过各种各样的方式来进行诈骗。与其让平台列举出形形色色的管理条款,不如我们自己从一开始就擦亮眼睛,识别诈骗信息。
毕竟,最可怕的黑客,是我们贪婪的欲望;而最好的防御,就是抵抗欲望的坚强意志。
转自:硅谷洞察
