駭客大舉入侵Twitter狂掃BTC!連蘋果、亞馬遜,甚至歐巴馬都敢惹?
CertiK中文 /CertiK安全團隊/張詠晴編譯
2020-07-16 12:05

「你給我100紅包,我明天給你200怎麼樣。」敢發紅包篤定能收到回饋的,怕是只有最信任的人了。法律相關節目經常會播放一些類似的騙局來警示大家,然而能上當的本質還是在於這兩個字:信任。

2020年7月16日凌晨三點左右,CertiK安全團隊的研究人員檢測到,著名社交網站Twitter上多位有影響力的意見領袖帳戶被盜。這些被盜的帳戶全部都發布了如下的比特幣釣魚訊息:

「為了回饋大家(為了支持比特幣),現在對大家進行回饋。你只要對以下地址轉帳1000美金,我就返還你2000美金。活動僅限半小時!」

此次駭客攻擊始於區塊鏈產業,如Gemini交易所、Coinbase交易所、幣安交易所的CEO趙長鵬、Tron的CEO孫宇晨,區塊鏈媒體Coindesk,均受到攻擊並且發布相關消息。

14

以上圖片內容均來自CertiK安全專家截圖

後來索性在推特上呈現了病毒式傳播,包括比爾·蓋茲、亞馬遜創辦人Jeff bezos、彭博社創辦人Bloomberg、蘋果官方帳號、特斯拉CEO Elon Musk、著名歌手Kenye West、美國前總統歐巴馬和拜登等人的帳號,無一倖免。

駭客攻擊了著名社交網站推特,一個大家都不怎麼相信就連美國前總統帳戶也會被駭的一個網站(雖然早就懷疑美國的現任總統早就被駭了)。利用了民眾對推特的信任以及名人的公信力,讓大家認為這次活動是真的。

17

到目前為止,駭客的帳戶一共收到了12.86個BTC,折合美金118,209元。

18

駭客交易地址訊息截圖 

目前網絡上的謠言

1. Twitter員工帳戶被駭,駭客獲得管理後台訪問權限

在Telegram上爆出的截圖,疑似是Twitter員工的後台管理界面。駭客可以透過後台管理界面,修改用戶信箱密碼,之後把重置密碼的連結發送到自己控制的信箱中,以此來取得目標帳戶的控制權。

19

2. 駭客利用最近爆出的漏洞攻擊Twitter伺服器,獲得管理後台訪問權限

在昨天,一個關於Windows的DNS伺服器的漏洞(CVE-2020-1350)被公開,攻擊者可以透過發送特定的請求,從而遠端執行任意的程式碼。有人就此提出了這樣一個猜想:Twitter有一個公開的MS DNS伺服器,這個伺服器並沒有對CVE-2020-1350進行修復,攻擊者透過此漏洞獲取了該伺服器的控制權,而因為Windows DNS伺服器是核心網路組件,該漏洞可引發蠕蟲(Worm)式傳播,且無需用戶交互和身份驗證,攻擊者由此進入了Twitter內部的後台管理界面,然後透過該界面修改用戶信箱密碼,把重置密碼的連結發送到自己控制的信箱中,以此來取得目標帳戶的控制權。

20

Twitter官方回應

目前各個帳戶被駭的原因還未被官方公開,推特也於當日凌晨5:45分進行了官方回覆,表示會盡快調查原因。

21

隨後Twitter表示在調查期間,某些用戶的發推和重置密碼的功能,可能會無法使用。

22

安全措施及建議

社交網站一兩個帳號被盜的事件也許經常有,但是大規模被駭客襲擊的事件,也許又能算作2020魔幻一年的大事記了。在這裡CertiK安全團隊整理了一些加強 Twitter帳戶安全的措施。

1. 取消被授權使用你Twitter帳戶的應用

登陸Twitter後,在More -> Settings and privacy -> Account -> Data and permissions -> Apps and sessions裡面,可以看到當前被授權獲取你Twitter相關權限的應用和登錄了的Sessions。CertiK安全團隊推薦定期檢查被授權的Apps,及時移除不必要的Apps,登出可疑的Sessions。

23

2. 開啟二次驗證

登陸Twitter後,在More -> Settings and privacy -> Account -> Security -> Two-factor authentication界面開啟二次驗證,二次驗證的方法有手機短訊、Google Authentication app,和物理形式的Security Key。使用二次驗證,可以防止駭客在接觸到用戶的帳號密碼的情況下,盜取用戶帳號。

24

事件原因:推特在安全上的投入不足

Twitter在HackerOne漏洞賞金平台上面,有設置漏洞賞金計劃(https://hackerone.com/twitter)。有人指出了Twitter對於Account takeover(帳號盜取)類型的漏洞,只給予7700美金的獎勵,而這次駭客利用此類漏洞,已經盜取了10萬美金以上的金額。這樣的對比,引人深思。

25

安全對於一個公司來講,沒被駭的時候覺得無所謂,不願意在安全上投入金錢。而真正在被駭之後,所造成的損失是不可計量的。

在這裡,CertiK想提醒大家,就算是看起來非常厲害的推特,也可能會遭到駭客攻擊。所以不要過於相信某個項目有著百分之百的安全,一旦有了0.00000000000001%的可能性被攻擊,按照墨菲定律,也一定會發生。因此在安全上的投入,是必不可少的。

本文為巴比特資訊授權刊登,原文標題為黑客大規模攻擊推特狂攬BTC,幣安、蘋果、亞馬遜,甚至奧巴馬都敢惹?

隱私權條款   使用者條款   聯絡我們: hi@knowing.asia
Copyright © 2020 Knowing, Inc.