本文来自微信公众号:全媒派(ID:quanmeipai),头图来自:视觉中国
2020年7月15日,包括埃隆·马斯克、比尔·盖茨等在内的一众名人的推特发布了一则双倍价格收集比特币的推文:半小时内,往某个帐号转比特币,他们将以两倍的金额回报。
半小时内,该帐号接收到总价值超过十万美元的四百多笔比特币转账(FBI数据),而承诺的双倍“回报”,却成了空头支票。
人们意识到,这是一起发生在社交媒体平台的影响规模最大的盗号事件。不同于一般的个人帐号密码泄露,此次黑客进入了推特的后台,获得了高级权限,并直接调用权限控制了45个帐号,读取了36个帐号的即时消息并下载了帐号的完整数据。
美国商业巨头、政客们的社交媒体通讯信息无不包含着巨大的商业政治价值,若黑客有其他盘算,带来影响的恶劣程度难以估量。
不过话说回来,互联网的发展史上,充斥着各种各样的盗号现象,以至于盗号这种bug成为很多网络用户司空见惯的事情。有时候,一些公众人物在社交媒体上手误发了不该发的内容,也多会以“被盗号”的理由化解争议或尴尬。
本期全媒派聚焦社交媒体帐号安全,复盘社交媒体盗号事件,探究社交媒体帐号的保护方法。
哪些人的帐号容易被盯上?
7月15日被盗用以发布比特币钓鱼信息的帐号列表,一定程度上反映出一般盗号者所针对的目标对象:影响力大、信用度高的公众人物。其中包括商界的马斯克、比尔·盖茨,娱乐界的坎耶·维斯特、金·卡戴珊,以及一些政界人士等;除此之外,此次被盗用的还有一批知名企业的官方认证帐号,例如苹果、优步等。
推特截图,此次事件涉及数据,图片来源:Twitter。
推特截图,图片来源:Twitter。
推特这个平台聚集了一些有权势、有名望的人,他们的言论甚至可以影响金融市场,引发舆论震荡。
实际上,盗号现象早有存在,似乎没有任何人是绝对安全的——就连推特CEO杰克·多尔西的帐号也未能幸免。2019年8月,多尔西的帐号突然发表了一些具有攻击性和种族歧视主义的消息,事后被证实为盗号者所为。
好莱坞、宝莱坞的演艺名人们更是经常经历盗号风波,推特、Instagram都是黑客们紧盯的平台,而被盗后发生的事大多与多尔西的经历类似:帐号会公开推送一些莫名其妙的内容,多为能引起公众反感和争吵的歧视性、攻击性文字。
以今年为例,元旦前夜,知名歌手玛丽亚·凯莉的推特帐号被盗并发表了十余条攻击性言论;
1月,英国王室的推特主页发布了一系列怪异的帖子,内容涉及菌类、内容不正确的字母表,甚至还有与厕所有关的数学难题;
5月,著名模特吉吉·哈迪德的帐户被盗并发表了涉及种族歧视的推文,声称希望“德国赢得了二战”;
6月,宝莱坞明星Amitabh Bachchan及歌手阿德南•萨尼的推特帐号被一群名为Ayyildiz Tim Turkish Cyber Army的亲巴基斯坦黑客盗用,发表了对其他国家的谴责;
除了发表情绪极端的不当言论以外,钓鱼广告的形式也备受盗号者青睐:利用被盗帐号的影响力,发布包含链接的钓鱼广告,以此收集个人信息,并从中获取数据或佣金。
2019年9月,演员小罗伯特·唐尼(4330万粉丝)、歌手兼词曲作家妮可·舒辛格(390万粉丝)和电视名人亚尼特·加西亚(1150万粉丝)等人的Instagram帐号相继被盗。
盗号者将他们的个人信息修改成iPhone XS的赠送信息,领取者需要点击链接进入相应页面。而在后两位女性名人的案例中,盗号者还使用了更恶劣的手段:达到一定下载量将发布性爱录像。
哪些人是盗号的主力?
实行盗号行为的一般为黑客团体,并且每个团体都有自己的不同目的诉求。如上述Instagram盗号“钓鱼”事件,调查显示,从所有链接指向的网页域名判断,来自同一组织,目的为牟利。
对宝莱坞巨星们发动攻击的组织Ayyildiz Tim Turkish Cyber Army则更偏向政治诉求,此前也入侵过Karan Johar、Rishi Kapoor、Anupam Kher、Shahid Kapoor和Abhishek Bachchan等人。
而近期发生的推特事件的始作俑者,则是来自美国和英国的三个青少年,他们的最初目的是通过后台改用帐号密码售卖推特帐号挣外快。
在一定程度上,此次推特事件中,三名年轻黑客的“不谙世事”反倒帮了忙。因为,但凡他们野心再大一点,利用在入侵系统时所获取的信息和权限就能够掀起一场血雨腥风。
“这些人经过专门的训练,攻击方法已经非常高效。” 安全公司Unit 221B的首席研究官艾莉森·尼克松说,“他们已经意识到有很多容易攻陷的软目标。”
尼克松说,这些黑客通常专注于金融欺诈,但他们获取政治人物帐户信息的能力可能会吸引新的危险客户。
“我担心的是,随着这些黑客的技术不断改进,他们会意识到,会有其他客户愿意花更大价钱购买除用户名之外的其他资料。”她说,“我认为有些盗号者甚至没有意识到他们会造成多大的损害。”
用户如何防盗号?
名人们的帐号更容易被黑客们列入盗号名单,但事实上,普通人的帐号也存在被盗风险,这些基础数据同样可以作为数据进行交易。
结合普通网友被盗号的情况来看,大多数的盗号事件都是出于密码泄露,泄露的途径中常见的有以下几种。
一、点进了“朋友”发送的不明链接。
二、在网络各个平台使用相同的密码,或者干脆不设置密码。
三、使用了公共场所的一些来路不明的Wi-Fi。
四、使用了有漏洞版本的手机系统,并不及时更新。
针对这类个人信息泄露,用户需要改变自身的互联网使用习惯,提高信息安全意识,并掌握一些基本的安全加固方法。
保护在线帐户安全的第一步,是要设置一个复杂难破译的密码,并且最好针对不同平台使用不同密码,不要嫌麻烦。
如果觉得密码过多难以记忆,可以借助密码管理器等工具。该类工具可以自动生成相应格式的字符串,包含特殊字符、数字以及大小写字母等。
还有一个比较常用的方法是双因素认证(2FA),现在很多平台都能提供。它要求你在输入密码的同时,输入一个即时的验证码进行身份验证,验证码通常以短信的形式发送到你的已认证常用设备上。使用双因素认证后,即使黑客设法窃取了你的凭证密码,也无法轻易登录你的帐号。
其次,当网络黑客想要入侵你或者与你亲近的人时,在你所有的智能设备上安装杀毒软件能够使他们的行动更加困难。杀毒软件既可以保护自己不受恶意软件的伤害,又能够防止网络犯罪分子窃取他们访问你的社交媒体档案所需的信息。
停止不经常使用的第三方应用程序的帐号访问许可,检查你的应用程序列表,撤销任何与你的帐户相连接的可疑应用程序的访问权限。这是一个会带来不便但却非常必要的操作,在过去这些年里,不少用户习惯性地允许多个第三方应用程序访问他们的在线帐号,随便给应用程序开发者如此大的权力,隐含着很大的危险。
平台应该承接用户防盗压力
一直以来,针对大规模的盗号情况,平台方和媒体评论者给出的建议都偏用户侧,即让用户及时申诉,通过平台修改并保护好自己的新密码,少信任来源不明的第三方网站等。
在盗号起因为密码泄露的情况下,用户们通过加强个人安全意识能有效防范帐号泄露,然而此次推特事件中,盗号者直接在后台控制了用户帐号,并不需要知道原先密码就能直接更改。
推特表示,此次黑客使用的策略是电话“鱼叉式网络钓鱼”。在窃取员工凭证并进入推特系统后,黑客便可以盗取能够使用“帐号支持工具”的员工的信息权限,并以此对想要盗取的帐号进行密码修改。黑客无需得知帐号的原密码,就可以直接设置新密码。
“鱼叉式网络钓鱼”是一种更有针对性的假冒骗局,具体方式是利用电子邮件或其他电子通讯方式来获得收件人的关键资料。
推特官方表示:“这次攻击是通过误导我们的员工进行的协同行动,利用人们容易疏忽的脆弱点攻入了我们的系统。”
为了防止这种情况再次发生,平台本身显然需要进一步加强安全防护机制。
此次事件中,推特官方的应急措施虽然难以将功补过,但也还算得上差强人意。在盗号消息刚刚传播时,平台便开始行动,将被盗帐号锁定,并限制了一批认证帐号的推文、改密码等活动;相关的团队撤销并加固了对内部系统的访问,以防止攻击者进一步接触到系统或个人帐号;同时,推特也锁定了一批近期密码被修改过的帐号,以预防进一步的损失;在FBI等部门的协助下,也迅速找出了幕后黑手,做到了及时止损,没给事件进一步恶化的机会。
然而,真正需要关注的并不仅是此次事件的解决,而是此类漏洞的查找、预防。平台方应当彻查自身系统的疲软易攻击之处,并最大限度地消除潜在隐患。
大型社交平台担负着必要的社会责任,其中,用户信息的安全与保护是最基本的要求。如果一个平台连最基础的安全都无法保障,信誉和市场价值必然都会受到相应的损失。
参考链接:
[1]https://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
[2]https://securityaffairs.co/wordpress/90598/hacking/jack-dorsey-account-hacked.html
[3]https://www.vulture.com/2020/07/celebrity-and-politician-twitter-accounts-hacked-for-bitcoin.html
[4]https://www.usatoday.com/story/tech/2019/12/31/mariah-carey-twitter-account-hacked-new-years-eve/2787914001/
[5]https://www.moneycontrol.com/news/india/celebs-whose-social-media-accounts-have-been-hacked-4100841.html
[6]https://www.bleepingcomputer.com/news/security/celebrity-instagram-accounts-being-hacked-to-push-scams/
[7]https://www.theguardian.com/technology/2020/jul/31/twitter-hack-arrests-florida-uk-teenagers
[8]https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
[9]https://www.nytimes.com/2020/07/31/technology/twitter-hack-arrest.html
[10]https://www.pandasecurity.com/mediacenter/social-media/instagram-accounts-hacked/
本文来自微信公众号:全媒派(ID:quanmeipai)