今早凌晨4 点(美国东部时间下午4 点),在推特发生一起大规模名人遭黑事件,规模之大,前所未见。受害者包括特斯拉执行长马斯克(Elon Musk)、比尔盖兹、美国前总统欧巴马、民主党总统候选人拜登(Joe Biden),黑客利用名人影响力,散播比特币钓鱼讯息。
黑客首先是黑进如币安、Coinbase等交易所的推特,散播比特币钓鱼讯息,以「慷慨纾困」为由,要需要纾困者将1,000 美元等值比特币转入黑客的地址,而交易所将会双倍奉还。
不过似乎一开始效果不佳,帐户进帐仅0.65 颗比特币,因此黑客将脑筋动到其他名人头上。接下来,黑客开始大举入侵具影响力的政商名流,受害者族繁不及备载,包括特斯拉执行长马斯克、知名饶舌歌手肯伊·威斯特(Kayne West)、总统候选人拜登、前总统欧巴马、比尔盖兹等重量级大咖。
这项策略似乎开始奏效,诈骗地址在黑进马斯克推特发布相同钓鱼讯息十分钟后,从原来的0.65 颗暴增到3.64 颗比特币。截至截稿前,该地址以转进12.8 颗比特币,若以现价计算,约为11.7 万美元,折合台币约350 万。然而,黑客的钓鱼地址远不止一个,因此,实际受害金额还要再高出许多。
马斯克是比特币诈骗集团的最爱
类似事件已非第一次。事实上这种诈骗手法在早期相当常见,但币圈用户似乎早已免疫,于是黑客将目标锁定在传统投资人上。
近来黑客常见手法为,先黑进已有数万或数十万订阅者的频道,并更改频道名称,以名人背书的钓鱼讯息诱骗受害者。
这些频道会播放名人演讲影片,在说明栏上放上钓鱼讯息。而最近的受害者则是特斯拉执行长马斯克。
黑客在六月初时劫持了3 个YouTube 频道,分别是:Juice TV、Right Human、MaximSakulevich,其中一个频道拥有高达23 万订阅数,接下来再冒充马斯克的SpaceX 频道进行比特币钓鱼诈骗,在短短两天内就诈骗了约15 万美元的比特币。
推特官方仍在调查原因
这起事件之所以严重是因为这些被黑帐户的安全等级远高于一般帐户,且遭黑帐户的规模是推特有史以来最大,不只马斯克、比尔盖兹,甚至连苹果公司、Uber 公司都是受害者。这代表黑客掌握了推特登入系统的漏洞,或是以某种方式盗取了推特管理员的权限。
然而,推特官方却在事件发生后的一个多小时才发布声明,但仍没找出遭黑原因。推特表示他们已经了解有大批攻击事件,正在调查。
推特官方表示:
我们了解有大批攻击正在影响推特上的帐户,我们正在调查、修复漏洞,如果事件有更新,我们将尽快通知用户。
We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.
— Twitter Support (@TwitterSupport) July 15, 2020
《The Block》的首席研究员Larry Cermak则是认为事情没有这么简单,尤其是遭黑的帐户几乎都是受到2FA验证机制保护,这代表要不就是推特公司已被黑客侵入(可能性低) ,或是登入系统遭黑(可能性高)。目前推特官方已经要求用户重设密码,但确切遭黑原因,截稿前仍不清楚。