鈦媒體注：本文來自于微信公眾號硅谷洞察（ID：guigudiyixian），鈦媒體經(jīng)授權(quán)發(fā)布。

美西時間7月15日中午12點，Twitter——全球最為著名的社交媒體平臺，在無聲無息中突然被黑客大規(guī)模攻擊，安全防線全面崩潰。

在幾分鐘之內(nèi)，區(qū)塊鏈行業(yè)內(nèi)能叫得上名字的大V和官推全部被盜，公開發(fā)出同一條文字相同的推文，以慈善的名義向人索要比特幣。被“強(qiáng)行乞討”的官推包括幣安、Gemini、Coinbase、Kucoin、Bitfinex、Tron、Bitcoin.org，以及有影響力的個人賬號Charlie Lee、 孫宇晨等等等等。

部分被盜賬號截圖，圖片來自engadget

除了幣圈的人之外，就連包括美國前總統(tǒng)奧巴馬，下一屆美國總統(tǒng)競選人拜登、說唱歌手侃爺，特斯拉CEO馬斯克，亞馬遜CEO貝佐斯，以及Apple 和Uber 的官方推特等在內(nèi)的知名賬號都紛紛發(fā)出了「我！名人！打錢！懂？」的信息。

黑客利用奧巴馬的Twitter演戲，圖片來自網(wǎng)絡(luò)

黑客的戲也演得挺全，甚至以奧巴馬的身份，在那條詐騙推文下面留言：“已經(jīng)發(fā)了4萬美金咯！”

截止目前為止，該詐騙賬戶已經(jīng)產(chǎn)生了370余筆交易，總計詐騙金額已經(jīng)達(dá)到12萬美元。

目前，Twitter已經(jīng)開始對黑客展開調(diào)查，而由于涉及到重要政治人物，美國聯(lián)邦調(diào)查局（FBI）也已經(jīng)對黑客的身份展開調(diào)查。FBI的介入說明此次事件已經(jīng)上升到國家安全層面。

在Twitter上騙比特幣也太容易了

此次黑客攻擊事件，是 Twitter 公司歷史上最嚴(yán)重的一次安全事件。無論Twitter公司的危機(jī)公關(guān)部門之后如何解釋這件事，都無法將責(zé)任從自己身上洗下去。并且這種安全事故早在幾年前就已經(jīng)發(fā)生過。

從 2018 年開始，就有騙子冒充科技大佬及知名加密貨幣愛好者伊隆 · 馬斯克(Elon Musk)。他們使用馬斯克的頭像，選擇一個相似的用戶名，然后發(fā)布一條仿佛天上掉餡餅一般的推文：借給我一些加密貨幣，我會還你更多。

此次事件發(fā)布的信息與2018年高度相似（此為本次事件截圖）

這些騙子甚至?xí)ヱR斯克的名下企業(yè)官推回復(fù)消息，例如去SpaceX回復(fù)消息，好讓假賬戶看上去更真實。騙子還會通過水軍散播虛假推文，也是為了增加真實性。這種【高仿號】詐騙的行為居然在Twitter上持續(xù)了數(shù)天之久。

盡管Twitter后來封禁了這些高仿號，但根據(jù)《獨立報》在2018年11月的一份報告中顯示，2018年在Twitter上冒充馬斯克的詐騙者已經(jīng)騙取了價值數(shù)十萬美元的比特幣。

而對于這次的事件，美國著名科技記者尼克 · 斯塔特(Nick Statt)表示：“這些知名大公司的官推和名人們的賬號，都被卷入了這場Twitter史上最大的黑客攻擊事件中，發(fā)布比特幣詐騙信息。并且從美國東部時間下午4點開始發(fā)布詐騙推文直到5點45分這一個多小時中，Twitter始終沒有做出任何回應(yīng)和措施，大部分受害者也正是在這一個多小時中跌進(jìn)詐騙陷阱的。”

兩小時后 Twitter 簡單地表示：公司已經(jīng)禁用了認(rèn)證賬戶的發(fā)推功能，或者已經(jīng)重置了他們的密碼，同時公司正在努力調(diào)查攻擊的根本原因。

但是就在 Twitter 說明情況之前，許多用戶已經(jīng)發(fā)不出推文了。

Twitter對于此次事件的回應(yīng)，圖片來自Twitter截圖

2018 年和這次的事件讓人們看清楚了三件事。第一，總會有人上當(dāng)受騙，每一次有人上當(dāng)受騙，都會讓其他詐騙者看到其中的巨大利益；第二，Twitter 對這種安全事件的處理緩慢，遠(yuǎn)不及該公司一早許下的會嚴(yán)肅對待這些問題的承諾；第三，Twitter的安全政策和技術(shù)手段往往是在詐騙事件發(fā)生后才制定實施的，這種做法幾乎等于【亡羊補(bǔ)牢】。

既然事情已經(jīng)發(fā)生，那么搞清楚黑客使用什么方式盜取用戶賬戶密碼才是最關(guān)鍵的事情。

大面積的盜號，黑客真的只為了騙錢？

根據(jù)《Vice》雜志的安全記者約瑟夫 · 考克斯(Joseph Cox)的報道，地下黑客社區(qū)的成員之間分享的屏幕截圖顯示，有人可以訪問 Twitter 內(nèi)部用于管理賬戶的工具。

考克斯表示：“有兩名地下黑客社區(qū)的網(wǎng)友向媒體提供了一個內(nèi)部控制面板的屏幕截圖，稱Twitter 的員工就是使用這個內(nèi)部控制面板管理賬戶。” 而一名消息人士稱，Twitter 的這個控制面板是用來更改某些賬戶的所有權(quán)。目前，Twitter 已經(jīng)刪除了這些控制面板的截圖，并以【內(nèi)容違反社區(qū)規(guī)則】封禁了發(fā)布這些截圖的賬戶。”

根據(jù)考斯克的說法，這次安全事故并不是一次簡單的黑客攻擊。根據(jù)他的猜測，此次Twitter被攻擊有可能存在兩種情況：1.黑客成功破解了Twitter的用戶管理系統(tǒng)；2.Twitter公司內(nèi)部出現(xiàn)了內(nèi)鬼，他利用職權(quán)盜取大V的賬號并牟取私利。

而根據(jù)Twitter公司說法，公司的安全人員檢測到了一種協(xié)同式社交工程攻擊。黑客成功鎖定了一些具有訪問內(nèi)部系統(tǒng)和工具權(quán)限的員工，并通過社交工程攻擊的方式盜取了他們電腦中的文件和權(quán)限。

那么什么又是社交工程攻擊呢？

首先，攻擊者會冒充客服人員通過電話或電子郵件的方式與攻擊對象取得聯(lián)系。建立信任關(guān)系之后，再以客服的身份將被攻擊者的注冊郵箱更改為屬于攻擊者的郵箱地址，再將密碼重置的郵件發(fā)送到新的地址中取得用戶的密碼。經(jīng)過以上幾個步驟，攻擊者便完全掌握了賬號信息。

而黑客只要不通過Twitter發(fā)送任何詐騙信息的話，用戶就永遠(yuǎn)不會知道賬號密碼已經(jīng)被黑客獲取了。這就意味著黑客完全可以在收集了大量的賬號后，在一個特定的時間節(jié)點集中發(fā)送推文，從而制造大規(guī)模的事件。

至少從這次事件來看，是這樣的。并且Twitter對這次事件的處理不力，還有可能將此次事件的影響擴(kuò)大。

雖然此次黑客入侵的動機(jī)和來源尚不清楚，但合作入侵世界領(lǐng)導(dǎo)人、名人和大公司已認(rèn)證賬戶的做法令人恐懼。Twitter已經(jīng)成為全球最大社交媒體之一，許多醫(yī)療和服務(wù)機(jī)構(gòu)都通過Twitter來發(fā)布信息。例如，伊利諾伊州林肯國家氣象局在認(rèn)證賬戶被禁言前，剛剛發(fā)布了一條龍卷風(fēng)警告。那些依賴這個賬號了解龍卷風(fēng)后續(xù)情況的用戶們，這下可能要倒霉了。

請輸入圖說

兩條推特中間相差三個小時，圖片來自Twitter截圖

想象一下，假設(shè)是帶著某種政治意圖的人控制了這些賬號，那么極有可能會導(dǎo)致國際誤會。并且現(xiàn)在距離美國大選已經(jīng)不到四個月的時間了，這樣大規(guī)模的黑客攻擊無疑讓人們開始恐懼更加嚴(yán)重的后果。

同時，雖然Twitter公司在事件之后封禁所有認(rèn)證賬戶的發(fā)推權(quán)限是不得已而為之，但這種方法仍然需要商榷。

避免同類事件？加強(qiáng)監(jiān)管才是硬道理

作為成功的社交軟件，人們可以在Twitter自由自在的發(fā)表自己的言論和看法，但是頻繁出現(xiàn)的安全事件，只會讓人們對社交平臺的信任越來越低，最終導(dǎo)致用戶流失。

可是，這樣的事件就無法做出有效的預(yù)警和避免嗎？答案是否定的，在言論自由的現(xiàn)代社會，社交平臺作為各種信息的集散點，也應(yīng)該擔(dān)起屬于自己的責(zé)任。

小探認(rèn)為，如果要避免同類事件的發(fā)生，Twitter至少需要改善以下三點。

首先，平臺下場監(jiān)督任何金錢活動。在認(rèn)證賬號發(fā)布任何涉及金錢的抽獎、返利活動時，需要官方平臺監(jiān)督發(fā)布者根據(jù)既定的規(guī)則進(jìn)行公平抽取并公示。并且建立相對完備和快速的申訴渠道，這樣就能避免活動發(fā)起者不發(fā)獎的出現(xiàn)。

其次，完善且反應(yīng)迅速的審核和預(yù)警機(jī)制。在一個合格的社交網(wǎng)絡(luò)中，用戶能自由自在的上傳和發(fā)表自己的內(nèi)容和看法。但是在言論自由的情況下，對重要信息的審核就尤為重要。而在今年的疫情期間，Twitter在審核消息方面的成果就顯得非常失敗，比如對于注射消毒液就能殺死新冠這樣的謠言。

雖然當(dāng)時許多用戶發(fā)推諷刺這種說法并配上『佯裝注射』的圖片，但這種類型的推文卻沒有被打上的風(fēng)險標(biāo)記，且官方也未將專業(yè)衛(wèi)生機(jī)構(gòu)的辟謠信息置于該類信息搜索頁的頂部，這就會讓我一些醫(yī)學(xué)常識匱乏的人信以為真，從而導(dǎo)致危險發(fā)生。

部分Twitter用戶發(fā)推諷刺該說法，但頁面中完全沒有相應(yīng)提示，圖片來自Twitter截圖

第三，對于相關(guān)政府賬號的區(qū)別保管。如上面所說，有許多社會服務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)、國家領(lǐng)導(dǎo)人等通過Twitter進(jìn)行公告發(fā)布，而這些消息通常與社會民生和國際關(guān)系息息相關(guān)，保證這種類型賬號的安全比其他類型的賬號更為重要。那么，為了防止這類賬號被盜而導(dǎo)致社會動蕩甚至國際誤會的產(chǎn)生，Twitter是否可以通過技術(shù)手段對這些賬號進(jìn)行特殊的保護(hù)或者設(shè)置特別的登錄驗證方式來保證賬號的絕密性和安全性呢？

當(dāng)然，上面的一切猜測都需要Twitter公司有所作為才能成為現(xiàn)實。而目前，我們只需要等Twitter對此次事件的細(xì)節(jié)公示和一個滿意的答復(fù)。

總之，無論平臺做出怎樣的防范措施，還是會有不法分子會通過各種各樣的方式來進(jìn)行詐騙。與其讓平臺列舉出形形色色的管理條款，不如我們自己從一開始就擦亮眼睛，識別詐騙信息。

畢竟，最可怕的黑客，是我們貪婪的欲望；而最好的防御，就是抵抗欲望的堅強(qiáng)意志。

0

0

0

掃描下載App