信息來源:Freebuf
7月15日下午,美國許多著名的政界領袖和商界大佬的Twitter賬戶遭到黑客攻擊,以騙取比特幣。奧巴馬、拜登、布隆伯格、比爾·蓋茨和沃倫·巴菲特等人都成為了攻擊目標。
轉賬數額雙倍返還?
從7月15日下午開始,奧巴馬、拜登、比爾·蓋茨等人的Twitter賬戶上先后發(fā)出了一條內容相似的推文,聲稱如果有人向其比特幣賬號地址轉賬,他們將在30分鐘內以雙倍數額返還。
當越來越多的美國名人開始在推特上發(fā)送相似內容后,Twitter公司發(fā)現(xiàn)了異常。很快,他們緊急凍結了所有認證用戶過程和推文發(fā)送,并展開調查。然而,事件發(fā)生后,公司股價還是在盤后交易中下跌了3%以上。
截至發(fā)稿時,已有超過12個用戶轉賬給黑客提供的比特幣賬號地址,總計被騙數額高達11萬美元。據悉,比特幣交易所Coinbase已經阻止任何用戶向該賬戶地址匯款。
雙重認證+強密碼的保護也不夠?
據了解,許多被攻擊的Twitter帳戶都已經使用了雙重認證和加強型密碼。按理來說,通過入侵賬戶后發(fā)送推文是不可行的。那么,這些欺詐性推文到底是如何發(fā)送的呢?
在調查中有人發(fā)現(xiàn),本次黑客的推文是使用Twitter的web應用程序發(fā)布的。
Web應用程序是一種可以通過Web訪問的應用程序。只要使用了這款應用程序,用戶就可以通過瀏覽器直接訪問各類應用程序,而不需要再安裝其他軟件。
這款webapp的好處顯而易見。有了它,用戶就可以少下載一些應用程序,從而大幅減少硬盤空間。此外,各種應用程序的特性都可以直接在服務器上執(zhí)行后,自動傳達到用戶端,所以也直接省掉了更新app的步驟。不僅如此, 因為它們能在網絡瀏覽器窗口中運行,所以跨平臺使用也很方便。
然而,它的缺點也很明顯。一方面來說,許多網絡應用程序不是開源的,只能依賴第三方提供的服務,因此不能針對用戶進行定制化、個性化的服務。而且大多數情況下用戶不能離線使用,因而損失了很多靈活性;另一方面,由于它們完全依賴于應用服務商,所以一旦公司倒閉,服務器停止使用,用戶也就無法找回以前的資料。
相似的,提供方公司對軟件和功能也有了更大的控制權。理論上說,公司也可以檢索到任何的用戶信息,從而引發(fā)隱私安全問題。
網絡信息安全之路在何方?
這已經不是黑客第一次針對與推特有關的高調攻擊了。
2016 年,一群名為 OurMine 的黑客就對Twitter CEO 兼聯(lián)合創(chuàng)始人杰克·多西進行了黑客攻擊。這個黑客團體還曾接管了谷歌 CEO 桑達爾·皮查伊、Facebook CEO 馬克·扎克伯格的社交媒體賬號。
2019年9月, Twitter CEO 兼聯(lián)合創(chuàng)始人杰克·多西的推特賬戶遭黑客入侵。在控制該賬戶后,黑客接連發(fā)布了多條極具攻擊性和種族主義的推文,其中一條推文還與炸彈威脅有關。
后來,Twitter還一度暫停了通過文本推文的功能。然而,在今年早些時候,就在超級碗總決賽開賽前夕,十多支美國橄欖球聯(lián)盟球隊的官方Twitter賬戶也遭到了黑客攻擊。
面對接連不斷的黑客攻擊,CNN也給推特賬戶提出了兩大建議:
使用驗證碼
一般來說,用戶最好使用雙重身份驗證。但是,即使是雙重身份認證,也不能保證你能免受 SIM 卡交換的攻擊,黑客還可以攔截短信驗證碼,使身份驗證失效。
除了短信驗證,Twitter 已經提供了其他幾種更安全的驗證方法。谷歌身份驗證器 APP和物理安全令牌都是不錯的選擇。
替換電話號碼
目前來說,關閉“短信推文”功能的唯一方法就是在 Twitter 的用戶信息中刪除你的電話號碼。但是,這種方法也有一個問題:它會讓你無法使用雙重身份驗證。
美國的住戶可以用 Google Voice 生成的號碼代替你的電話號碼。這種語音電話號碼是獨立于移動運營商管理之外的,黑客也就不能借此控制你的電話號碼。
在網絡空間里,一個賬號代表的是一活生生的人。每一句言論都在反映賬戶主體的想法,更是現(xiàn)實行為在網絡世界的映射。而對于政商名流來說,一旦社交賬號被黑客控制,發(fā)布一些不當言論,由此而產生的負面效果是不可估量的。