7月15日星期三,Twitter陷入混乱,因为世界上最著名的人物,公司董事和名人的账目开始链接到欺诈性的比特币收集网站。 Twitter说,这种攻击之所以可能发生,是因为有人欺骗或强迫了该公司的一名员工,使他们可以访问该平台的内部管理工具。在本文中,我将尝试对这种攻击进行时间表,并指出可能是谁背后的证据。
大约在美国东部标准时间下午3点(UTC-5;夏季UTC-4),公众可以看到该攻击的第一个证据,当时加密货币交易所Binance的账户中出现一条消息,表明该交易所已与CryptoForHealth组织合作,旨在向有需要的人分发5,000比特币。以及人们可以发送捐款的链接。
几分钟后,其他加密货币交易所的账户上也出现了类似的推文,美国总统候选人乔·拜登,亚马逊负责人杰夫·贝佐斯,美国前总统巴拉克·奥巴马,特斯拉负责人埃隆·马斯克,前纽约市长迈克尔·布隆伯格和投资者沃伦巴菲特。
似乎有人真的会相信这些请求并向他们汇款,真是荒唐可笑,但对许多被黑帐户所广告的BTC钱包的分析显示,在过去24小时内,它处理了383笔交易并收到近13枚比特币,大致相等$ 117,000。
Twitter发表声明说:“在我们的一些员工中发现了协调的社会工程攻击,从而导致内部系统和工具的访问。我们知道,网络犯罪分子利用获得的访问权限来控制许多流行(包括经过验证的)帐户,并代表他们发布消息。我们正在调查他们可能实施了哪些其他可能的恶意行为,或者他们可以访问哪些信息,并将在获得结果后立即共享结果。”
有充分的迹象表明,攻击是由传统上专门通过“ SIM交换”来入侵社交网络的人进行的,SIM交换是一种越来越常见的犯罪类型,涉及贿赂,入侵或胁迫移动运营商或社交网络的员工,以获取受害者帐户的权限。
SIM交换社区中的人物喜欢拦截所谓的对社交帐户的访问。类别“ OG”。OG或原始黑帮成员是简短的帐户名,例如@B或乔...拥有这样的帐户会增加参与SIM交换的黑客圈子的地位,影响力和社会影响力,因为有时您可以通过转销此类帐户获得数千美元。
在星期三袭击发生之前的几天里,互联网上有迹象表明,黑客社区的某些成员正在出售更改与任何Twitter帐户关联的电子邮件的功能。在OGusers论坛上专门讨论黑客帐户的帖子中,用户Chaewon宣传了将给定电子邮件绑定到任何Twitter帐户的功能,价格为250美元,访问权限为2000-3000美元。
“这不是一种特殊的方法。如果没有收到电子邮件,我们将退还您的钱。如果该帐户被禁止,我们将不承担任何责任。
在捐赠比特币的呼声开始出现几个小时之前,加密货币交易所的帐户和推特上的名人就出现了,攻击者着重于破解几个OG帐户,包括“ @ 6”。
该帐户以前由已故的Adrian Lamo拥有,该人被称为“无家可归的黑客”,他入侵了纽约时报网络,并移交给了美国当局Bradley Manning,后者是一名军人,他将不同程度的保密文件移交给了WikiLeaks网站。 @ 6现在由Lamo的长期朋友,安全研究员和在这个故事中要求被称为Lucky225的手机抢夺者。
Lucky225说,在美国东部时间星期三下午2点之前,他收到了一个代码,用于通过Google语音确认帐户@ 6的密码重置。 Lucky225说,它先前曾禁止发送SMS通知进行多步授权,并使用了移动应用程序生成的临时代码。
但是,由于攻击者能够更改与@ 6帐户关联的电子邮件地址并禁用多步授权,因此,一次确认代码已发送到他的Google语音帐户和攻击者注册的新电子邮件中。
Lucky225说:“攻击的发生是由于Twitter的管理工具,显然,有可能更新任何用户的电子邮件地址而无需向他发送任何通知。” “因此,攻击者可以通过先更新帐户电子邮件然后启用两因素身份验证来避免检测。”
Lucky225说,他仍然没有办法检查被黑客入侵后是否从他的地址发送过任何推文,因为他还没有访问权限(他在网站的帖子中详细分析了整个事件)中)。
大约@ 6被带走的同时,另一个账户@B被接管了。然后有人开始发布显示@B帐户的Twitter管理区域的图像。
Twitter的回应是从平台中删除了所有带有其内部工具快照的屏幕快照,并在某些情况下暂时阻止了帐户。
在另一个帐户中-信治-还上传了内部Twitter工具的图像。禁令发布前几分钟,他们发布了一条推文,敦促他们订阅@ 6,这是从Lucky225被盗的帐户。您可以在Internet存档中的
此处和此处下载tweets的缓存版本真治在星期三的袭击之前。他们显示用户声称在Instagram上拥有两个OG帐户-“ j0e”和“死者”。
美国最大的移动运营商之一的安全消息来源告诉我们,“ j0e”和“死”帐户与一个臭名昭著的SIM卡交换黑客(昵称为PlugWalkJoe)绑定在一起。研究人员一直在监视PlugWalkJoe,因为据信多年来已经进行了几次SIM交换,随后大量盗窃了比特币。
现在,让我们看看另一个帐户档案中的个人资料图片信治(下面)。该图像与周三的屏幕快照相同,当时Joseph / @ Shinji将Twitter内部工具的快照发布到了feed中。
我们的消息人士说,此人是SIM交换小组ChucklingSquad中的关键人员之一。据信,他们去年在Twitter上做了考虑。Jack Dorsey [Twitter / prim.perev的创建者] 。有线写道,该帐户插口当时,黑客组织了AT&T运营商的SIM卡替代品,该服务商的号码与Dorsey的帐户相关。
杰克·多尔西(Jack Dorsey)帐户遭到黑客入侵时发送的一条推文提到了PlugWalkJoe和查克小队的其他成员。
来自移动安全行业的消息人士告诉我们,现实生活中PlugWalkJoe是21岁的利物浦居民Joseph Joseph Connor。他现在在西班牙上大学,就读于西班牙,但由于与冠状病毒有关的旅行限制,目前还不能回家。
消息人士说,PlugWalkJoe正在接受审查,并雇用了一名女调查员认识他并说服他进行视频聊天。然后,在此聊天记录的视频中,调查人员发现了一个特征库。
消息人士说,PlugWalkJoe的Instagram照片instagram.com/j0e中看到的游泳池与视频聊天中看到的游泳池完全相同。
如果PlugWalkJoe直接与Twitter黑客有关,那么它的部分暴露归功于社交工程,这似乎是适当的。也许我们应该庆幸Twitter黑客没有针对更具野心的事情,例如干预选举或崩溃的金融市场,或者试图通过世界领导人的虚假和分裂言论发动战争。
同样清楚的是,这种Twitter黑客行为可能使黑客能够访问任何帐户之间的通信-尽管事实上这很可能引起各州和公司间谍和勒索者等个人和组织的兴趣,但也很难高估此信息。
也可以看看: