防不胜防,黑客“黑”了超大V,最后成功得金。
据福克斯新闻频道报道,美国时间15日晚,推特遭到黑客大规模入侵。包括比尔盖茨和美国前副总统拜登在内的许多名人、政治家和企业账户都遭到了攻击,而深谙比特币交易隐私的黑客们也选择比特币作为加密货币,诱骗推特用户转账。
贝壳财经新京报记者注意到,此次黑客实施的骗局在国内属于比较低级的“返利”,电信诈骗分子通常通过QQ、微信等社交平台向受害者发布“100返利200”等诈骗信息。
对此,多位安全专家对新京报果壳财经记者表示,Twitter是黑客长期“盯着”的目标,按理说可以高水平攻破Twitter,但由于攻破Twitter后“发帖质量不高”,不排除有可能是Twitter员工所为。
名人账号转发诈骗信息,而黑客是推特“内部人员”?
当地时间15日,推特遭到黑客大规模入侵,包括比尔盖茨、美国前副总统拜登、特斯拉CEO马斯克、苹果官方推特在内的多位名人和企业账号被黑。一开始黑客发微博说为了回馈社区,寄到下面地址的比特币会双倍返还!如果你寄1000美元,我会还你2000美元。这个反馈活动只持续30分钟。推文后附有这些比特币钱包的地址,读者可以直接输入地址划掉比特币。然后黑客侵入名人和企业账户,转发这条推文,通过名人背书的方式,诱骗推特用户将自己的比特币转移到前述地址。
截至目前,黑客已经诈骗了超过11.8万美元,黑客和比特币相关话题也冲上了推特的热搜榜。
值得一提的是,这些推文还模仿了原作者帖子的语气。例如,比尔盖茨的推特上写道:“每个人都要求我回馈社会。现在是时候了。30分钟内把钱打到我比特币地址的网友,双倍返利。你送我1000美元,我还你2000美元。”马斯克的推文是:“感觉太棒了!我会给所有往我账户里存钱的人双倍返利!有效期只有30分钟!”
对此,推特发布回应称,这一攻击被称为“协同社会工程攻击”。黑客控制内部系统和工具,达到控制用户账号和转发名人账号的目的。针对外界质疑是否由推特员工发起的猜测,推特表示将继续展开调查,采取措施限制内部系统的访问,同时披露更多最新消息。
然而,据Motherboard报道,攻击Twitter的加密黑客实际上是他们的内部员工之一。此外,斯坦福大学互联网观察(Internet Watch)负责人亚历克斯斯塔莫斯(Alex Stamos)也认为,这种攻击很可能来自Twitter内部,而不是从外部获取个人账户和密码。但到目前为止,黑客的真实身份还没有得到确认。
对于Twitter的安全事件,一位资深白帽黑客告诉壳牌财经记者,这可能是XSS的攻击。
据了解,XSS攻击通常是指利用网页开发留下的漏洞,通过巧妙的方法将恶意指令代码注入网页,使用户加载并执行攻击者恶意制造的网页程序。历史上,大量网站受到XSS漏洞攻击或发现此类漏洞,如Twitter、脸书、新浪微博和百度贴吧。
这位白帽黑客表示,XSS攻击主要是因为黑客抓住了Twitter的漏洞,但这种漏洞“很快就被修补好了”。
国内也有“返利”骗局,只骗认知度低的人。
据果壳财经记者统计,Twitter出现安全事故已经不是第一次了。今年6月24日,Twitter官方还提醒用户,他们发现了一个“Twitter用户数据,如直接消息,可以存储在火狐浏览器的缓存中”的漏洞;2019年,推特被曝“允许研究人员找到数百万个与推特账户相关的电话号码”;2018年,Twitter承认以明文形式存储用户密码,还提醒平台上数百万用户重置密码。
多位安全专家对果壳财经记者表示,Twitter是黑客长期“盯着”的目标,按理说攻破Twitter的水平很高,但由于攻破Twitter后发帖质量很低,不排除有可能是Twitter内部员工所为。
被认为“非常低级”的推文是指黑客盗取名人账号只是为了发布可以通过转账比特币退款的内容,这类返利骗局属于国内电信诈骗分子针对学生党等大多采用的低级诈骗手段。
据新京报贝壳财经记者调查,在国内“返利”骗局中,诈骗分子发“玩返利?通过QQ群发给记者。并说自己是“福利公司”。这次是公司活动。“加我微信转账100元,就能拿回200元。”记者添加对方微信后,对方称“还有10分钟活动结束”,并发来“返利成功”的截图,引诱记者上当。
但记者尝试给他发10元红包,他并没有如截图所示返现。而是继续要求记者发更大数额的红包。记者不回复后,诈骗分子就会把QQ号拉黑。
对此,天津网安相关人士对新京报贝壳财经记者表示,此类骗局的“技术含量”较低,大多针对防骗意识较低的人群。“一是用伪造的微信转账记录、零钱金额等引诱受害人。然后用“活动马上就要结束了”之类的话来营造紧迫感。当受害者开始转账时,他们会被各种各样的话骗去转更多的钱。”
又是比特币,其隐蔽性受到不法分子青睐。
黑客之所以选择比特币作为主要的转账方式,主要是因为其交易方式是匿名的,因此被不法分子用于洗钱和非法交易,比特币也被视为不法活动暗网交易的重要渠道。
比特币转账是点对点模式。在网络条件下,不需要通过第三方机构。虽然各种加密数字货币都以高级的隐私和隐私保护功能作为关键卖点,但比特币无疑更受大家的信任。根据2019年bitinfocharts的统计,比特币的日交易量为315932笔。与Dashi、Zcash和Monroe相比,比特币的匿名交易数量翻了一番,并且具有高级隐私功能。
根据欧洲刑警组织发布的《2019互联网有组织犯罪威胁评估》报告,比特币仍然是网络犯罪分子首选的加密货币。
报告称,比特币等加密货币在灰色经济中发挥着重要作用,并被用于大多数在线犯罪对犯罪(C2C)支付。犯罪分子利用加密货币属性的具体情况的例子包括勒索软件、DDoS勒索、加密劫持和暗网市场。网络欺诈者越来越多地从传统支付方式转向比特币。
报告提到,网络犯罪分子也使用Monero,其中大部分涉及加密劫持。随着欧盟第五反洗钱指令(AMLD5)相关政策于2019年底生效,欧洲刑警组织预计,希望保护其金融隐私的加密货币用户将转向点对点交易系统。
值得注意的是,虽然比特币等加密货币作为支付手段具有很高的隐蔽性,但这仍然不意味着犯罪分子可以逍遥法外。
去年10月,美国司法部宣布,一项多国联合行动捣毁了全球最大的儿童色情网站。据美国有线电视新闻网(CNN)10月报道,执法部门曾通过追踪比特币交易,成功追踪到这个网站在世界各地的用户。
新京报贝壳财经记者罗舒心编辑岳彩洲校对李香玲
