近期,推特(Twitter)遭遇了一起严重的社会工程攻击,导致包括前总统贝拉克·奥巴马、亚马逊创始人杰夫·贝佐斯及名人金·卡戴珊在内的多个高知名度账户被黑客劫持。攻击者利用这些账户发布虚假消息,承诺向特定比特币地址转账1000美元即可获得双倍回报,以此进行诈骗。推特现已确认,共有130个账户成为目标,其中45个被用于发布推文;另有36个账户的直接消息邮箱被访问,7个账户的数据被下载。经过调查,此次攻击源于黑客通过电话诱骗少数员工透露登录凭证,进而获取了内部网络和账户管理工具的访问权。据初步统计,该比特币骗局至少为犯罪分子带来了9.5万英镑的非法收入。目前,推特已采取措施限制对敏感工具与系统的访问权限,并承诺在未来提供更为详尽的技术报告。

推特揭露了比特币骗子是如何劫持名人账户的

该公司现已证实有130个账户被犯罪分子盯上,其中45个账户被用来发推特。

推特(Twitter)近日披露,贝拉克•奥巴马(Barack Obama)、杰夫•贝佐斯(Jeff Bezos)和金•卡戴珊(Kim Kardashian)等名人的账户在两周前被比特币骗子劫持。

当时,该公司证实,一场“协同的社会工程攻击”使得犯罪分子可以通过名人的账户发布推特,提出向一个比特币地址发送1000美元,就可以获得2000美元。

该公司现已证实有130个账户被犯罪分子盯上,其中45个账户被用来发推特。

犯罪分子还访问了36名DM用户的邮箱,下载了7名Twitter用户的数据。

现在该公司已经提供了关于社会工程攻击的细节——一种描述安全漏洞的方式,基于说服某人提供访问,而不是在软件中发现漏洞。

推特表示,他们“针对的是一小部分员工”,他们通过电话被骗提供了登录凭证。

该公司表示:“一次成功的攻击需要攻击者获得访问我们内部网络的权限,以及允许他们访问我们内部支持工具的特定员工证书。”

“并非所有最初被攻击的员工都有使用账户管理工具的权限,但攻击者使用他们的凭证来访问我们的内部系统,并获取我们流程的信息。”

该公司解释说:“这一信息使他们能够锁定其他有权限使用我们的账户支持工具的员工。”

从这45个受影响的账户发布的比特币骗局似乎为犯罪分子赢得了9.5万英镑,他们向三个地址发送了约400笔付款。

然而,这并不是将犯罪分子访问该平台的机会货币化的最好方式,这表明黑客要么非常缺乏经验,要么比特币骗局只是分散了他们真正想要窃取的账户数据的注意力。

巴拉克·奥巴马的账户受到了影响。

Twitter表示:“自袭击发生以来,我们显著限制了对内部工具和系统的访问,以确保在完成调查的同时继续保持账户安全。”

“对于这一事件造成的任何延误,我们感到很抱歉,但我们相信这是必要的预防措施,因为由于该事件,我们对流程和工具进行了持久的更改。”

该公司表示,将在晚些时候就该事件提供一份更详细的技术报告,但由于“正在进行的执法调查”,该公司无法立即这么做。