防不胜防,黑客“黑”了特大V,最后成功赚钱。
据福克斯新闻频道报道,推特在美国时间15日晚被黑客入侵。包括比尔盖茨和美国前副总统拜登在内的许多名人、政治家和企业账户都遭到了攻击,而深谙比特币交易隐私的黑客们也选择比特币作为加密货币,诱骗推特用户转账。
新京报贝壳财经记者注意到,该黑客实施的骗局是国内比较低级的“返利”,电信诈骗分子通常通过QQ、微信等社交平台向受害者发布“100返利200”等诈骗信息。
对此,多位安全专家对新京报贝壳财经记者表示,Twitter是黑客长期“盯着”的目标,按理说破解Twitter的水平很高。但由于爆料Twitter后“发帖质量不高”,不排除可能是Twitter内部员工所为。
名人账号转发诈骗信息,黑客是推特“鬼”?
当地时间15日,推特遭到黑客大规模入侵,包括比尔盖茨、美国前副总统拜登、特斯拉CEO马斯克、苹果官方推特在内的多位名人和企业账号被黑。一开始黑客发微博说为了回馈社区,寄到以下地址的比特币会双倍返还!如果你寄1000美元,我会退还你2000美元。这个反馈活动只持续了30分钟。推文后附有这些比特币钱包的地址,读者可以直接输入地址划掉比特币。后来,黑客“黑”进了名人和企业的账户,转发了这条推文,并以名人背书的方式,诱骗推特用户将自己的比特币转移到上述地址。
截至目前,黑客已经诈骗了超过11.8万美元,与黑客和比特币相关的话题也冲上了推特热搜榜。
值得一提的是,这些推文还模仿了“原作者”的语气。比如比尔盖茨的推文是:“大家都要求我回馈社会。现在是时候了。30分钟内把钱打到我比特币地址的网友,将获得双倍返利。你送我1000美元,我还你2000美元。”马斯克的推文是:“感觉太棒了!我会加倍返还所有进入我账户的钱!仅限30分钟内有效!”
对此,推特发布回应称,这种攻击被称为“协同社会工程攻击”,黑客通过控制内部系统和工具,达到控制用户账号,实现名人账号转发的目的。针对外界质疑是否由Twitter内部员工发起的猜测,Twitter表示将继续展开调查,采取措施限制对内部系统的访问,并披露更多最新消息。
然而,据Motherboard报道,攻击Twitter的加密黑客实际上是他们内部的一名员工。此外,斯坦福大学互联网观察(Internet Watch)负责人亚历克斯斯塔莫斯(Alex Stamos)也认为,攻击很可能来自Twitter内部,而不是从外部获取个人账户和密码。但到目前为止,黑客的真实身份还没有得到确认。
对于Twitter安全事件,一名资深白帽黑客告诉壳牌财经记者,这可能是一次XSS攻击。
据了解,XSS攻击通常是指利用网页开发中留下的漏洞,通过巧妙的方法将恶意指令代码注入网页,让用户加载并执行攻击者制作的恶意网页程序。历史上,大量网站受到XSS漏洞攻击或发现此类漏洞,如Twitter、脸书、新浪微博和百度贴吧。
这位白帽黑客表示,XSS的攻击主要是因为黑客抓住了Twitter的漏洞,但这种漏洞“很快就被修补好了”。
国内也有“返利”骗局,针对认知度低的人群。
据果壳财经记者统计,Twitter出现安全事故已经不是第一次了。今年6月24日,Twitter官方也提醒用户,他们发现了一个“Twitter用户数据,如直接消息,可以存储在火狐浏览器的缓存中”的漏洞;2019年,推特被曝“允许研究人员找到数百万个与推特账户相关的电话号码”;2018年,Twitter承认以明文形式存储用户密码,还提醒平台上数百万用户重置密码。
多位安全专家对果壳财经记者表示,Twitter是黑客盯了很久的目标,按理说攻破Twitter的水平很高。但由于爆料推特后“发帖质量不高”,不排除可能是推特内部人员所为。
被认为“非常低级”的推文,是指黑客盗取名人账号只是为了发布可以通过转账比特币退款的内容,而这种返利骗局属于国内电信诈骗分子大多针对学生党使用的低级诈骗手段。
新京报贝壳财经记者调查发现,在国内的“返利”骗局中,诈骗分子给记者发“你玩返利吗?”信息,并表示自己是“福利公司”,这次是公司活动,“加我微信转账到100元,200元可以返还”。记者添加对方微信后,对方称“活动10分钟后结束”,并发来“返利成功”截图,引诱记者上当。
但记者尝试给他发10元红包,他并没有如截图所示返现。而是继续让记者发更大的红包。记者不回复后,诈骗分子就会把QQ号拉黑。
对此,天津网安相关人士对新京报贝壳财经记者表示,此类骗局的“技术含量”较低,大多针对防骗意识较低的人群。“先用伪造的微信转账记录和零钱金额诱惑受害人,再用‘活动即将结束’等字眼制造紧迫感。当受害者开始转账时,他们会被各种各样的话骗去转更多的钱。”
又是比特币,其隐蔽性受到不法分子的“青睐”。
黑客之所以选择比特币作为主要的转账方式,主要是因为比特币的交易方式是匿名的,因此被不法分子用于洗钱和非法交易,比特币也被视为非法活动的重要渠道。
比特币的转移是点对点模式。在有网络的情况下,不需要经过第三方机构。虽然各种加密数字货币都以高级隐私和隐私保护功能为关键卖点,但比特币无疑更受大家信任。根据2019年bitinfocharts的统计,比特币的日交易次数为315932次。与大石币、Zcash、门罗币相比,比特币的匿名交易次数增加了一倍,并且具有高级隐私功能。
根据欧洲刑警组织发布的《2019互联网有组织犯罪威胁评估》报告,比特币仍然是网络犯罪分子首选的加密货币。
报告称,比特币等加密货币在灰色经济中发挥着重要作用,并被用于大多数在线犯罪对犯罪(C2C)支付。犯罪分子利用加密货币属性的具体例子包括勒索软件、DDoS勒索、加密劫持和黑市。网络诈骗者越来越多地从传统支付方式转向比特币。
报道提到,网络犯罪分子也使用Monero,且大多涉及加密劫持。随着第五个欧盟反洗钱指令(AMLD5)的相关政策将于2019年底生效,欧洲刑警组织预测,希望保护自己金融隐私的加密货币用户将转向点对点交易系统。
值得注意的是,虽然比特币等加密货币作为支付手段具有极强的隐蔽性,但这仍然不意味着犯罪分子可以逍遥法外。
去年10月,美国司法部宣布,一项多国联合行动摧毁了全球最大的黑暗儿童色情网站,而据美国有线电视新闻网(CNN News)10月的报道,执法部门通过追踪比特币交易,成功追踪到该网站在全球的用户。
新京报贝壳财经记者罗舒心编辑岳彩洲校对李香玲