两通电话,骗走价值5万美金的Twitter帐号

2020-06-15    收藏662
点击次数:257

两通电话,骗走价值5万美金的Twitter帐号

这是一个有点惊悚的故事。原来我们的网路人身安全不必高超的破解技术,掌握网站的所谓「验证」机制,打几通电话、写几封电子信件,运用一点「社交」的技俩,有心人士就能轻易鸠佔鹊巢,你的网路身份从此让位给陌生人。

资安防火墙建造得再坚强,设计得再精密,仍可能不堪一击,毕竟人性的弱点最难防。这就是「社交工程」,social engineering,玩弄资安最脆弱的环节「人心」于股掌之间。

硅谷创业家 Naoki Hiroshima 在《Medium》上发表文章,陈述他的 Twitter 帐号 @N 惨遭勒索的故事 1。

@N 价值连城,有人想用 5 万美金买下它,也有人不断乱试密码企图偷取,所以他三不五时就会收到「密码重置」的警告信函。不过 Naoki Hiroshima 身为科技人,懂得自保,一直安然无恙,直到 1/20 中午,他收到 Paypal 发送的简讯,就此噩梦上身。

Paypal 的简讯要求他输入一次性验证码,「大概又是谁想偷我的 Paypal 帐号了吧」,Naoki Hiroshima 不予理会。但是当天稍晚,他莫名其妙收到他的私人域名主机服务商 GoDaddy 的「帐号变更确认信件」,但他根本没有动过。他试图登入却失败,打电话向 GoDaddy 解释情况,对方要他出示注册时的信用卡末六码,结果不符。

大部份网站都以电子信箱作为认证方式,一旦攻击者长驱直入你的主要信箱,就等于拿下你在其它网站的身份。而显然,这名攻击者佔领了 Naoki Hireshima 的域名,也就开始能够控制他的电子信箱。

Naoki Hiroshima 的 GoDaddy 帐号内容已被彻底变更,他也很快了悟,攻击者的目标,就是他珍贵的 Twitter 帐号。不知为何,有个陌生人透过 Facebook 传讯要他更改 Twitter 的电子信箱资料,他照做了。虽然攻击者失去了直接以电子信箱窃进 @N 的门路,但他却接管了 Naoki Hiroshima 完整的 GoDaddy 帐户,握有恫吓 Naoki Hireshima 的筹码。

攻击者以 GoDaddy 域名底下的信箱入侵 Naoki Hiroshima 的 Facebook,并堂而皇之写信威胁:

Naoki Hiroshima 忆及 Wired 记者 Mat Honan 的教训殷鉴不远。他因 iCloud 帐号被窃,短短一小时内他的 Google、Twitter 帐户全被入侵,更糟的是他的 Apple ID 也被盗走,骇客利用 Apple ID 将他的 iPhone、iPad、Macbook 等装置上的资料从远端清除得一乾二净。他长年经营的网路身份因而毁于一旦 2。

简直灾难。所以 Naoki Hiroshima 屈服了,他给了骇客 @N 的登入资料,用以换回自己的域名。

梦魇初醒,这一切到底是怎幺发生的?这名骇客不知目的是为展现自己的「社交工程」实力,嘲笑大企业的资安漏洞而以 Naoki Hiroshima 为牺牲品,还是真的那幺「贴心」,自动告诉 Naoki Hiroshima 他运用的手段以及与大企业周旋的来龙去脉。

出乎意料的,就两通电话这幺简单。

虽然 Naoki Hiroshima 够聪明,不去乱输 Paypal 的验证码,但 Paypal 的客服,可就没那幺机警了。「骇客」假扮 Paypal 员工,打了通电话给 Paypal,运用了些「工程策略」,要到 Naoki Hiroshima 的信用卡末四码。接着打给 GoDaddy 告诉他们自己的信用卡掉了,但他只记得末四码。GoDaddy 居然信了,并要他在「00-09」之间「猜」出前两码,而且让他试到对为止,儘管这名骇客大概深谙信用卡号码的排序逻辑,一次就中。

苦主 Naoki Hiroshima 哑口无言。平白损失 5 万美金的社群帐号,他无法判断,Paypal 直接在电话里透露客户的信用卡末四码、还是 GoDaddy 接受了骇客的说辞,哪个比较扯?

Naoki Hiroshima 不掩怒气地提醒大家:

现在 Naoki Hiroshima 已注册了另一个帐号 @N_is_stolen,Twitter 官方对此事件仅表示尚在调查,不予置评。Paypal 则在 Twitter 上声明表示公司未曾洩漏任何信用卡号码。

而目前看来,Naoki Hiroshima 在自己的「新家」表示,骇客似乎删掉了刚取得的 @N 帐号,但 Twitter 似乎也无视他的遭遇,没打算归还,反而有第三名使用者捷足先登取得这个黄金帐号。他公开撰文写下这段过程之后,马上传遍科技圈,随着事情进展,宛如实境节目令人目不转睛「期待」任何最新进展。当然最最重要的是,他的揭露无疑再度暴露社交工程的危险性有多难以抵御。

  1. How I Lost My $50,000 Twitter Username↩
  2. How Apple and Amazon Security Flaws Led to My Epic Hacking↩

相关文章  RELEVANT ARTICLES