揭开推特史上最大黑客入侵事件:十七岁少年的惊人骗术

硅星人

text

制造推特史上最大规模入侵事件的黑客落网了。

那是推特最黑暗的一天:美国前总统奥巴马、股神巴菲特、微软创始人比尔·盖茨、硅谷钢铁侠马斯克、世界首富贝佐斯……美国最重磅的政商名流推特账户集体被盗,并且发送了一条比特币诈骗信息。

这次黑客攻击让推特的安全系统变成了一个笑话,如今他们被抓获了,竟是三名青少年:

英国的Mason Sheppard,化名“Chaewon”,现年19岁。

美国的Nima Fazeli,化名“Rolex” ,居住在佛罗里达州,现年22岁。

事件的中心人物:Graham Ivan Clark,佛罗里达州网名“Kirk”的黑客,现年17岁。

他们是如何完成了这场推特史上最大的黑客攻击?却又被抓获的呢?

黑客落网

虽然这些黑客少年掌握了“核武器”一般的力量,他们却用来骗取比特币。

加密货币号称难以追踪交易,但在加密货币交易所验证身份却需使用身份证件,美国调查部门就从中找到了漏洞。

美国联邦调查局表示,他们发现Sheppard使用了个人驾驶执照在Binance和Coinbase这两家加密货币交易所进行身份验证,并且发现他的帐户已经发送和接收了一些骗取的比特币。

Fazeli也使用驾照向Coinbase进行身份验证,调查称他的化名“Rolex”控制的帐户收到付款,以换取被盗的推特用户账户。

调查部门还从Coinbase获得了这些黑客所涉足的比特币地址数据,以及过去三名黑客在网络论坛Discord聊天和OGUsers论坛帖子中使用、提及的地址。

联邦调查局对来自三个来源的数据进行关联,能够跟踪三个站点上的黑客身份,并将它们链接到电子邮件和IP地址。

Fazeli在掩饰自己的身份方面还犯了诸多错误。首先,他使用一个邮箱地址在OGUsers论坛上注册了一个帐户,使用另一个邮箱地址来劫持推特帐户。

然而,他还使用相同的两个电子邮件地址注册Coinbase帐户,随后用驾照照片进行了验证。

此外,Fazili还使用其家庭网络来访问三个站点上的帐户,将其家庭IP地址保留在所有三个服务(Discord,Coinbase和OGUsers)的连接日志中。

Sheppard也是如此,他化名Chaewon加入网络论坛OGUsers。他在黑客事件当天在网站上发布了帖子,调查部门能够将Sheppard的Discord用户与其OGUsers用户联系起来。

调查部门还通过OGUsers泄露的数据库得到了确认,他们发现Chaewon在这里购买了视频游戏账户,其比特币地址已与推特黑客当天使用的地址相关联。

十七岁少年的骗术

在三名少年中,黑客事件的核心人物是Clark,他成功获取了控制推特账户的内部工具。

这名少年并非具有高超的电脑技术,而是拥有超出他年龄的骗术能力。

根据推特发布的信息,Clark使用“电话钓鱼诈骗”的形式,推测先是骗取了一些推特内部员工的接触内网的权限,进而了解了推特内部的运作流程,并锁定了有账户控制工具的员工。

接着,他又借助已经获得的推特内部信息,成功向第二批员工骗取了控制账户工具的权限。消息称他说服了一名推特员工他曾在推特IT部门工作,并欺骗了该员工给他提供权限。

然后,Clark进一步侵入了大量政商要人的账户,并在他们的推特帐户上发布了一条诈骗信息:如果将比特币发送到帐户,就双倍返还给受害者。

获得账户权限后,Clark开始在网络论坛上出售推特账号。Sheppard和Fazeli就是在此期间购买了账号。

Clark将骗取的资金转移到另一个帐户,实施诈骗期间获得了大约117000美元。

据推特发布的调查结果:

  • 黑客使用窃取的工具锁定了130个推特帐户

  • 后来从45个账户发送了推文

  • 访问36个账户的站内信邮箱

  • 下载了7个账户的数据

《纽约时报》调查发现,17岁的Clark也曾在微软的游戏Minecraft中骗取其他玩家的钱。而他的律师则称,这名少年拥有价值超过300万美元的比特币,并否认这些财富是通过诈骗获取的。

超越年龄的重罪

这三名少年制造了推特历史上最黑暗的一天。

尽管他们只是骗取比特币,但他们所控制的名人账户,真实力量足以扰乱金融市场,甚至有可能掀起社会混乱。

不论如何,他们都让推特的安防系统变成了一个笑话。

Fazeli被判处五年徒刑和25万美元罚款。Sheppard被指控犯有计算机入侵、电信诈骗罪和洗钱罪,其中最严重的罪名在美国应判20年徒刑和25万美元罚款。

罪魁祸首Clark目前已经入狱,并被指控犯有30项重罪,包括有组织的欺诈,通讯欺诈,身份盗窃和黑客攻击。

他被作为成年人指控——该案的检察官表示:“这不是一个普通的17岁少年”。并且新闻发布会明确表示,执法部门正在考虑黑客入侵的严重后果。

法官决定将保释金定为每29项罚款25000美元,总计72.5万美元。对于第30条指控,法官下令,如果Clark保释,他必须戴上电子监控器并被限制在家中,除非去看医生或律师。

法官禁止他使用任何设备访问互联网,并命令他如果拥有护照,则交出护照。

Clark还没有认罪,他的骗术细节也还在调查之中。但从这次案件中可以看出,可怕的不是技术,而是人心。

[1]https://www.zdnet.com/article/how-the-fbi-tracked-down-the-twitter-hackers/

[2]https://www.tampabay.com/news/crime/2020/08/01/twitter-teen-makes-first-court-appearance-in-tampa/