雪花飄飄,Twitter淪陷,但原因簡單到想打人
本周四,包括美國副總統拜登、特斯拉首席執行官埃隆·馬斯克在內的,大量擁有極高知名度的實名驗證Twitter賬戶被攻擊劫持用來散播騙取加密貨幣的信息。由于影響力廣泛,該事件有望成為2020年最為重大的互聯網安全事件之一,同時也是Twitter誕生以來遭遇的最為嚴重的安全事件。
Twitter賬戶被劫持
攻擊者同時劫持了比爾·蓋茨、埃隆·馬斯克、巴拉克·奧巴馬、杰夫·貝佐斯、喬·拜登、邁克·彭博、蘋果、優步的Twitter賬戶以及加密貨幣交易所Binance、Coinbase、KuCoin和Gemini、CoinDesk等頂級加密貨幣媒體賬戶,并發布了騙取加密貨幣的虛假推文:
Twitter的反應是鎖定受影響的賬戶,刪除攻擊者發布的推文,并限制所有經過驗證的賬戶的功能,但速度不夠快,無法阻止許多易受騙用戶陷入騙局并向攻擊者匯款。
從公布的詐騙推文來看,此類騙局非常常見,至少特斯拉首席執行官馬斯克的賬戶此前就不止一次被劫持發送類似的信息。但是此事件非同尋常之處在于,騙子同時劫持了大量高知名度賬號,影響范圍和潛在威脅性大得多。
網絡安全公司RiskIQ已經識別出約400個與該騙局有關的域名和鏈接,從而有效地遏制了攻擊者的基礎結構。
在Twitter鎖定被劫持的賬戶并刪除欺詐性推文之前,攻擊者已經已收到近12萬美元的比特幣(編者按:收益與事件嚴重性嚴重不成比例)。下圖為硅谷網絡安全公司Anchain.ai發布的與此次攻擊有關的加密貨幣交易數據分析:
截至本文發稿,Anchain.ai創始人方春生博士向安全牛透露,進入詐騙賬戶的比特幣已經有50%被轉移。
攻擊手法簡單到想打人
當受感染的賬戶開始以協調的方式發布推文時,許多人猜測攻擊者使用了價值連城的零日漏洞或者極為高妙的技術或經年累月的潛伏隱忍才最終實現對Twitter高價值賬號的大規模入侵。
但結果是,攻擊者選擇了一個最容易的切入點——內部人員。
一些用戶發現被劫持的賬戶已與一個特定的電子郵件地址相關聯:
Motherboard最先發布消息來源說,Twitter內部人員(管理員)被賄賂或強迫使用內部用戶管理工具來重置受影響賬戶的電子郵件地址和密碼。其他人則推測,攻擊者設法入侵了Twitter員工的公司賬戶。
周四晚些時候,Twitter證實了最后的猜測,攻擊者使用的方法是沒有太高技術含量的社工攻擊:
- “我們發現有人認為這是有組織的社會工程攻擊,攻擊者成功利用內部系統和工具鎖定了我們的部分員工,并控制了許多高知名度(包括經過實名驗證的)賬戶和推文。我們正在調查攻擊者已經掌握和分享的信息,以及其他惡意活動。”Twitter解釋說。
- “我們已鎖定了被盜用的賬戶,只有在我們確定可以安全地進行操作時,才會恢復對原始賬戶所有者的訪問權限。在內部,我們已采取重要措施來限制正在進行的調查期間對內部系統和工具的訪問。隨著我們調查的繼續,還會有更多更新。”
攻擊凸顯更大難題
根據英國廣播公司的報道,用于注冊CryptoForHealth域名的電子郵件地址用于注冊具有相同名稱的Instagram賬戶。攻擊者在其上發布了一條消息,內容為:“這是一次慈善攻擊。您的錢會去到正確的地方。”
許多人指出,鑒于美國政客在很大程度上依賴Twitter來向公民宣傳其思想和行動,因此攻擊者本可以利用對這些賬戶的訪問來造成更大的損失。
比特幣騙局可能只是煙幕
美國參議員喬什·霍利(Josh Hawley)向Twitter要求提供有關黑客攻擊的更多信息,包括并回答該攻擊是否威脅到美國總統唐納德·特朗普(Donald Trump)賬戶的安全(尚未發布此消息來掩蓋欺詐消息)。
Ping Identity首席客戶信息官Richard Bird指出:“Twitter的黑客事件突顯了不良行為者是如何使用流量巨大的社交媒體渠道造成嚴重破壞的。”
“這一漏洞的消息令人極為擔憂,因為它確實將注意力集中在技術安全的固有弱點上,當我們進入總統大選并應對由新冠肺炎大流行引發的挑戰時,這已成為全國的關注重點。對流行的社交媒體渠道的虛假宣傳和利用只會加劇公民之間網絡信息交流時的焦慮和擔憂。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
