聲明:本文來自于微信公眾號全媒派(ID:quanmeipai),作者:騰訊傳媒,授權轉載發布。
2020 年 7 月 15 日,包括埃隆·馬斯克、比爾·蓋茨等在內的一眾名人的推特發布了一則雙倍價格收集比特幣的推文:半小時內,往某個帳號轉比特幣,他們將以兩倍的金額回報。
半小時內,該帳號接收到總價值超過十萬美元的四百多筆比特幣轉賬(FBI數據),而承諾的雙倍“回報”,卻成了空頭支票。
人們意識到,這是一起發生在社交媒體平臺的影響規模最大的盜號事件。不同于一般的個人帳號密碼泄露,此次黑客進入了推特的后臺,獲得了高級權限,并直接調用權限控制了 45 個帳號,讀取了 36 個帳號的即時消息并下載了帳號的完整數據。
美國商業巨頭、政客們的社交媒體通訊信息無不包含著巨大的商業政治價值,若黑客有其他盤算,帶來影響的惡劣程度難以估量。
不過話說回來,互聯網的發展史上,充斥著各種各樣的盜號現象,以至于盜號這種bug成為很多網絡用戶司空見慣的事情。有時候,一些公眾人物在社交媒體上手誤發了不該發的內容,也多會以“被盜號”的理由化解爭議或尷尬。
本期全媒派(ID:quanmeipai)聚焦社交媒體帳號安全,復盤社交媒體盜號事件,探究社交媒體帳號的保護方法。
哪些人的帳號容易被盯上?
7月15日被盜用以發布比特幣釣魚信息的帳號列表,一定程度上反映出一般盜號者所針對的目標對象:影響力大、信用度高的公眾人物。其中包括商界的馬斯克、比爾·蓋茨,娛樂界的坎耶·維斯特、金·卡戴珊,以及一些政界人士等;除此之外,此次被盜用的還有一批知名企業的官方認證帳號,例如蘋果、優步等。
推特截圖,此次事件涉及數據,圖片來源:Twitter。
推特截圖,圖片來源:Twitter。
推特這個平臺聚集了一些有權勢、有名望的人,他們的言論甚至可以影響金融市場,引發輿論震蕩。
實際上,盜號現象早有存在,似乎沒有任何人是絕對安全的——就連推特CEO杰克·多爾西的帳號也未能幸免。 2019 年 8 月,多爾西的帳號突然發表了一些具有攻擊性和種族歧視主義的消息,事后被證實為盜號者所為。
好萊塢、寶萊塢的演藝名人們更是經常經歷盜號風波,推特、instagram都是黑客們緊盯的平臺,而被盜后發生的事大多與多爾西的經歷類似:帳號會公開推送一些莫名其妙的內容,多為能引起公眾反感和爭吵的歧視性、攻擊性文字。
以今年為例,元旦前夜,知名歌手瑪麗亞·凱莉的推特帳號被盜并發表了十余條攻擊性言論;
1 月,英國王室的推特主頁發布了一系列怪異的帖子,內容涉及菌類、內容不正確的字母表,甚至還有與廁所有關的數學難題;
5 月,著名模特吉吉·哈迪德的帳戶被盜并發表了涉及種族歧視的推文,聲稱希望“德國贏得了二戰”;
6 月,寶萊塢明星Amitabh Bachchan及歌手阿德南?薩尼的推特帳號被一群名為Ayyildiz Tim Turkish Cyber Army的親巴基斯坦黑客盜用,發表了對其他國家的譴責;
除了發表情緒極端的不當言論以外,釣魚廣告的形式也備受盜號者青睞:利用被盜帳號的影響力,發布包含鏈接的釣魚廣告,以此收集個人信息,并從中獲取數據或傭金。
2019 年 9 月,演員小羅伯特·唐尼( 4330 萬粉絲)、歌手兼詞曲作家妮可·舒辛格( 390 萬粉絲)和電視名人亞尼特·加西亞( 1150 萬粉絲)等人的Instagram帳號相繼被盜。
盜號者將他們的個人信息修改成iPhone XS的贈送信息,領取者需要點擊鏈接進入相應頁面。而在后兩位女性名人的案例中,盜號者還使用了更惡劣的手段:達到一定下載量將發布性愛錄像。
哪些人是盜號的主力?
實行盜號行為的一般為黑客團體,并且每個團體都有自己的不同目的訴求。如上述Instagram盜號“釣魚”事件,調查顯示,從所有鏈接指向的網頁域名判斷,來自同一組織,目的為牟利。
對寶萊塢巨星們發動攻擊的組織Ayyildiz Tim Turkish Cyber Army則更偏向政治訴求,此前也入侵過Karan Johar、Rishi Kapoor、Anupam Kher、Shahid Kapoor和Abhishek Bachchan等人。
而近期發生的推特事件的始作俑者,則是來自美國和英國的三個青少年,他們的最初目的是通過后臺改用帳號密碼售賣推特帳號掙外快。
在一定程度上,此次推特事件中,三名年輕黑客的“不諳世事”反倒幫了忙。因為,但凡他們野心再大一點,利用在入侵系統時所獲取的信息和權限就能夠掀起一場血雨腥風。
“這些人經過專門的訓練,攻擊方法已經非常高效。” 安全公司Unit 221B的首席研究官艾莉森·尼克松說,“他們已經意識到有很多容易攻陷的軟目標。”
尼克松說,這些黑客通常專注于金融欺詐,但他們獲取政治人物帳戶信息的能力可能會吸引新的危險客戶。
“我擔心的是,隨著這些黑客的技術不斷改進,他們會意識到,會有其他客戶愿意花更大價錢購買除用戶名之外的其他資料,”她說,“我認為有些盜號者甚至沒有意識到他們會造成多大的損害。”
用戶如何防盜號?
名人們的帳號更容易被黑客們列入盜號名單,但事實上,普通人的帳號也存在被盜風險,這些基礎數據同樣可以作為數據進行交易。
結合普通網友被盜號的情況來看,大多數的盜號事件都是出于密碼泄露,泄露的途徑中常見的有以下幾種。
一、點進了“朋友”發送的不明鏈接。
二、在網絡各個平臺使用相同的密碼,或者干脆不設置密碼。
三、使用了公共場所的一些來路不明的wifi。
四、使用了有漏洞版本的手機系統,并不及時更新。
針對這類個人信息泄露,用戶需要改變自身的互聯網使用習慣,提高信息安全意識,并掌握一些基本的安全加固方法。
保護在線帳戶安全的第一步,是要設置一個復雜難破譯的密碼,并且最好針對不同平臺使用不同密碼,不要嫌麻煩。
如果覺得密碼過多難以記憶,可以借助密碼管理器等工具。該類工具可以自動生成相應格式的字符串,包含特殊字符、數字以及大小寫字母等。
還有一個比較常用的方法是雙因素認證(2FA),現在很多平臺都能提供。它要求你在輸入密碼的同時,輸入一個即時的驗證碼進行身份驗證,驗證碼通常以短信的形式發送到你的已認證常用設備上。使用雙因素認證后,即使黑客設法竊取了你的憑證密碼,也無法輕易登錄你的帳號。
其次,當網絡黑客想要入侵你或者與你親近的人時,在你所有的智能設備上安裝殺毒軟件能夠使他們的行動更加困難。殺毒軟件既可以保護自己不受惡意軟件的傷害,又能夠防止網絡犯罪分子竊取他們訪問你的社交媒體檔案所需的信息。
停止不經常使用的第三方應用程序的帳號訪問許可,檢查你的應用程序列表,撤銷任何與你的帳戶相連接的可疑應用程序的訪問權限。這是一個會帶來不便但卻非常必要的操作,在過去這些年里,不少用戶習慣性地允許多個第三方應用程序訪問他們的在線帳號,隨便給應用程序開發者如此大的權力,隱含著很大的危險。
平臺應該承接用戶防盜壓力
一直以來,針對大規模的盜號情況,平臺方和媒體評論者給出的建議都偏用戶側,即讓用戶及時申訴,通過平臺修改并保護好自己的新密碼,少信任來源不明的第三方網站等。
在盜號起因為密碼泄露的情況下,用戶們通過加強個人安全意識能有效防范帳號泄露,然而此次推特事件中,盜號者直接在后臺控制了用戶帳號,并不需要知道原先密碼就能直接更改。
推特表示,此次黑客使用的策略是電話“魚叉式網絡釣魚”。在竊取員工憑證并進入推特系統后,黑客便可以盜取能夠使用“帳號支持工具”的員工的信息權限,并以此對想要盜取的帳號進行密碼修改。黑客無需得知帳號的原密碼,就可以直接設置新密碼。
“魚叉式網絡釣魚”是一種更有針對性的假冒騙局,具體方式是利用電子郵件或其他電子通訊方式來獲得收件人的關鍵資料。
推特官方表示:“這次攻擊是通過誤導我們的員工進行的協同行動,利用人們容易疏忽的脆弱點攻入了我們的系統。”
為了防止這種情況再次發生,平臺本身顯然需要進一步加強安全防護機制。
此次事件中,推特官方的應急措施雖然難以將功補過,但也還算得上差強人意。在盜號消息剛剛傳播時,平臺便開始行動,將被盜帳號鎖定,并限制了一批認證帳號的推文、改密碼等活動;相關的團隊撤銷并加固了對內部系統的訪問,以防止攻擊者進一步接觸到系統或個人帳號;同時,推特也鎖定了一批近期密碼被修改過的帳號,以預防進一步的損失;在FBI等部門的協助下,也迅速找出了幕后黑手,做到了及時止損,沒給事件進一步惡化的機會。
然而,真正需要關注的并不僅是此次事件的解決,而是此類漏洞的查找、預防。平臺方應當徹查自身系統的疲軟易攻擊之處,并最大限度地消除潛在隱患。
大型社交平臺擔負著必要的社會責任,其中,用戶信息的安全與保護是最基本的要求。如果一個平臺連最基礎的安全都無法保障,信譽和市場價值必然都會受到相應的損失。
