文章提供:图文资通组
文章来源:https://www.bnext.com.tw/article/58491/twitter-hacker-bitcoin
发佈日期:2020.07.16 消息来源:数位时代 #资讯安全 #社交工程攻击 #恶意连结
Twitter名人帐号遭大规模骇客攻击,美国时间週三下午包括特斯拉CEO马斯克、微软创办人比尔盖兹、亚马逊CEO贝佐斯、美国民主党总统候选人乔·拜登、前美国总统欧巴马、饶舌歌手肯伊·威斯特(Kanye West)等数十位备受瞩目的帐号被盗,且发布的内容都跟比特币有关。
Twitter官方回应,骇客可能透过Twitter内部管理员工具,狭持Twitter名人帐户,以散播密码货币诈骗,目前官方还在调查了解,骇客进行哪些恶意行动。
Twitter政商名人帐号被盗,向用户敲诈比特币
骇客发起的第一波攻击,主要瞄准多家知名密码货币公司的帐户,如bitcoin、ripple、coindesk、coinbase等,但不久后受害者扩大到政治、娱乐、科技领域的名人。週三下午,一向敢说敢言的特斯拉CEO马斯克在推特发布一条怪异推文:「因为covid-19,所有将比特币发送到这个地址的用户,任何付款我将加倍回馈。」
接着美国总统候选人乔·拜登也发布类似内容:「我将回馈社会,所有发送比特币至以下地址,我将加倍奉还。假如你送出1,000美元,我将回馈2,000美元,限时30分钟。」这种像似病毒一般的内容在Twitter名人社群之间扩散,连曾痛批比特币毫无价值的的股神巴菲特也中镖,甚至入侵到企业帐户,苹果、Uber等公司。不过美国总统川普的Twitter帐号却逃过一劫,主要是他採用特殊锁钥保护模式。
3小时骗取350万元,Twitter不是第一次被骇
这种鼓励用户将比特币匯入特定地址,是一种密码货币的诈骗手法,透过名人的名气,诱使大量追随者受骗匯款。3小时内,该比特币钱包价值达118,000美元(约新台币350万元)。Twitter大规模集体遭骇事件,让Twitter股票在盘后交易下跌3%。
虽然第一时间Twitter迅速将贴文删除,并关闭通过验证用户的发文权,试图取得控制权,但同一帐户又再次发布相同贴文。安全研究人员发现到,攻击者已完全控制受害者帐户,并更改该帐户的电子邮件地址,让用户难以重新获得访问权限。
週三晚间,Twitter官方回应,检测到骇客成功入侵内部员工内部系统与工具,发动社交工程攻击(social engineering attack),目前官方已锁住被盗的帐户,并暂时关闭用户的访问权限。
但,这不是Twitter首次被骇,去年八月骇客攻击Twitter执行长杰克·多西(Jack Dorsey)的帐户,发布种族歧视的言论及炸弹威胁,当时的骇客骗过电信公司,透过「调包SIM卡」方式,将多西的电话号码转移至第三方SIM卡,让第三方可以控制其帐号。
此次Twitter集体攻击事件,显示社交软体仍不安全。拥有强大号召力、影响力的社群名人,已成为骇客攻击目标。为防止社群帐号被盗,IT安全专家梅尔·夏克尔(Mel Shakir)就建议,别只仰赖密码,知名社群用户应使用双重认证,包括指纹等生物特徵认证或实体安全密钥,降低被骇的风险。
一般民众在使用社群网路时,不要轻易相信和点击一些不明来源的连结,或洩漏自身个人隐私资讯,在遇到一些和区块链、AI、虚拟币等相关投资或消费,应多方查证资讯。