SafeWos是一个专业解决安全问题的运维顾问服务平台,专为企业安全定制。
7月15日下午,美国许多著名的政界领袖和商界大佬的Twitter账户遭到黑客攻击,以骗取比特币。奥巴马、拜登、布隆伯格、比尔·盖茨和沃伦·巴菲特等人都成为了攻击目标。
转账数额双倍返还?
从7月15日下午开始,奥巴马、拜登、比尔·盖茨等人的Twitter账户上先后发出了一条内容相似的推文,声称如果有人向其比特币账号地址转账,他们将在30分钟内以双倍数额返还。
当越来越多的美国名人开始在推特上发送相似内容后,Twitter公司发现了异常。很快,他们紧急冻结了所有认证用户过程和推文发送,并展开调查。然而,事件发生后,公司股价还是在盘后交易中下跌了3%以上。
截至发稿时,已有超过12个用户转账给黑客提供的比特币账号地址,总计被骗数额高达11万美元。据悉,比特币交易所Coinbase已经阻止任何用户向该账户地址汇款。
双重认证+强密码的保护也不够?
据了解,许多被攻击的Twitter帐户都已经使用了双重认证和加强型密码。按理来说,通过入侵账户后发送推文是不可行的。那么,这些欺诈性推文到底是如何发送的呢?
在调查中有人发现,本次黑客的推文是使用Twitter的web应用程序发布的。
Web应用程序是一种可以通过Web访问的应用程序。只要使用了这款应用程序,用户就可以通过浏览器直接访问各类应用程序,而不需要再安装其他软件。
这款webapp的好处显而易见。有了它,用户就可以少下载一些应用程序,从而大幅减少硬盘空间。此外,各种应用程序的特性都可以直接在服务器上执行后,自动传达到用户端,所以也直接省掉了更新app的步骤。不仅如此, 因为它们能在网络浏览器窗口中运行,所以跨平台使用也很方便。
然而,它的缺点也很明显。一方面来说,许多网络应用程序不是开源的,只能依赖第三方提供的服务,因此不能针对用户进行定制化、个性化的服务。而且大多数情况下用户不能离线使用,因而损失了很多灵活性;另一方面,由于它们完全依赖于应用服务商,所以一旦公司倒闭,服务器停止使用,用户也就无法找回以前的资料。
相似的,提供方公司对软件和功能也有了更大的控制权。理论上说,公司也可以检索到任何的用户信息,从而引发隐私安全问题。
网络信息安全之路在何方?
这已经不是黑客第一次针对与推特有关的高调攻击了。
2016 年,一群名为 OurMine 的黑客就对Twitter CEO 兼联合创始人杰克·多西进行了黑客攻击。这个黑客团体还曾接管了谷歌 CEO 桑达尔·皮查伊、Facebook CEO 马克·扎克伯格的社交媒体账号。
2019年9月, Twitter CEO 兼联合创始人杰克·多西的推特账户遭黑客入侵。在控制该账户后,黑客接连发布了多条极具攻击性和种族主义的推文,其中一条推文还与炸弹威胁有关。
后来,Twitter还一度暂停了通过文本推文的功能。然而,在今年早些时候,就在超级碗总决赛开赛前夕,十多支美国橄榄球联盟球队的官方Twitter账户也遭到了黑客攻击。
面对接连不断的黑客攻击,CNN也给推特账户提出了两大建议:
1. 使用验证码
一般来说,用户最好使用双重身份验证。但是,即使是双重身份认证,也不能保证你能免受 SIM 卡交换的攻击,黑客还可以拦截短信验证码,使身份验证失效。
除了短信验证,Twitter 已经提供了其他几种更安全的验证方法。谷歌身份验证器 APP和物理安全令牌都是不错的选择。
2. 替换电话号码
目前来说,关闭“短信推文”功能的唯一方法就是在 Twitter 的用户信息中删除你的电话号码。但是,这种方法也有一个问题:它会让你无法使用双重身份验证。
美国的住户可以用 Google Voice 生成的号码代替你的电话号码。这种语音电话号码是独立于移动运营商管理之外的,黑客也就不能借此控制你的电话号码。
在网络空间里,一个账号代表的是一活生生的人。每一句言论都在反映账户主体的想法,更是现实行为在网络世界的映射。而对于政商名流来说,一旦社交账号被黑客控制,发布一些不当言论,由此而产生的负面效果是不可估量的。
客服电话:159-6020-8552
工作时间:9:00-18:00 (工作日)
意见建议:safewos@qq.com