上周四,包括美国副总统拜登、特斯拉首席执行官埃隆·马斯克在内的,大量拥有极高知名度的实名验证Twitter账户被攻击劫持用来散播骗取加密货币的信息。由于影响力广泛,该事件有望成为2020年最为重大的互联网安全事件之一,同时也是Twitter诞生以来遭遇的最为严重的安全事件。
Twitter账户被劫持
攻击者同时劫持了比尔·盖茨、埃隆·马斯克、巴拉克·奥巴马、杰夫·贝佐斯、乔·拜登、迈克·彭博、苹果、优步的Twitter账户以及加密货币交易所Binance、Coinbase、KuCoin和Gemini、CoinDesk等顶级加密货币媒体账户,并发布了骗取加密货币的虚假推文:
Twitter的反应是锁定受影响的账户,删除攻击者发布的推文,并限制所有经过验证的账户的功能,但速度不够快,无法阻止许多易受骗用户陷入骗局并向攻击者汇款。
从公布的诈骗推文来看,此类骗局非常常见,至少特斯拉首席执行官马斯克的账户此前就不止一次被劫持发送类似的信息。但是此事件非同寻常之处在于,骗子同时劫持了大量高知名度账号,影响范围和潜在威胁性大得多。
网络安全公司RiskIQ已经识别出约400个与该骗局有关的域名和链接,从而有效地遏制了攻击者的基础结构。
在Twitter锁定被劫持的账户并删除欺诈性推文之前,攻击者已经已收到近12万美元的比特币(编者按:收益与事件严重性严重不成比例)。下图为硅谷网络安全公司Anchain.ai发布的与此次攻击有关的加密货币交易数据分析:
截至本文发稿,Anchain.ai创始人方春生博士向安全牛透露,进入诈骗账户的比特币已经有50%被转移。
攻击手法简单到想打人
当受感染的账户开始以协调的方式发布推文时,许多人猜测攻击者使用了价值连城的零日漏洞或者极为高妙的技术或经年累月的潜伏隐忍才最终实现对Twitter高价值账号的大规模入侵。
但结果是,攻击者选择了一个最容易的切入点——内部人员。
一些用户发现被劫持的账户已与一个特定的电子邮件地址相关联:
Motherboard最先发布消息来源说,Twitter内部人员(管理员)被贿赂或强迫使用内部用户管理工具来重置受影响账户的电子邮件地址和密码。其他人则推测,攻击者设法入侵了Twitter员工的公司账户。
周四晚些时候,Twitter证实了最后的猜测,攻击者使用的方法是没有太高技术含量的社工攻击:
我们发现有人认为这是有组织的社会工程攻击,攻击者成功利用内部系统和工具锁定了我们的部分员工,并控制了许多高知名度(包括经过实名验证的)账户和推文。我们正在调查攻击者已经掌握和分享的信息,以及其他恶意活动。
Twitter解释说:
我们已锁定了被盗用的账户,只有在我们确定可以安全地进行操作时,才会恢复对原始账户所有者的访问权限。在内部,我们已采取重要措施来限制正在进行的调查期间对内部系统和工具的访问。随着我们调查的继续,还会有更多更新。
攻击凸显更大难题
根据英国广播公司的报道,用于注册CryptoForHealth域名的电子邮件地址用于注册具有相同名称的Instagram账户。攻击者在其上发布了一条消息,内容为:这是一次慈善攻击。您的钱会去到正确的地方。
许多人指出,鉴于美国政客在很大程度上依赖Twitter来向公民宣传其思想和行动,因此攻击者本可以利用对这些账户的访问来造成更大的损失。
比特币骗局可能只是烟幕
美国参议员乔什·霍利(Josh Hawley)向Twitter要求提供有关黑客攻击的更多信息,包括并回答该攻击是否威胁到美国总统唐纳德·特朗普(Donald Trump)账户的安全(尚未发布此消息来掩盖欺诈消息)。
Ping Identity首席客户信息官Richard Bird指出:
Twitter的黑客事件突显了不良行为者是如何使用流量巨大的社交媒体渠道造成严重破坏的。
这一漏洞的消息令人极为担忧,因为它确实将注意力集中在技术安全的固有弱点上,当我们进入总统大选并应对由新冠肺炎大流行引发的挑战时,这已成为全国的关注重点。对流行的社交媒体渠道的虚假宣传和利用只会加剧公民之间网络信息交流时的焦虑和担忧。