聲明:本文來自于微信公眾號(hào)全媒派(ID:quanmeipai),作者:騰訊傳媒,授權(quán)轉(zhuǎn)載發(fā)布。
2020 年 7 月 15 日,包括埃隆·馬斯克、比爾·蓋茨等在內(nèi)的一眾名人的推特發(fā)布了一則雙倍價(jià)格收集比特幣的推文:半小時(shí)內(nèi),往某個(gè)帳號(hào)轉(zhuǎn)比特幣,他們將以兩倍的金額回報(bào)。
半小時(shí)內(nèi),該帳號(hào)接收到總價(jià)值超過十萬美元的四百多筆比特幣轉(zhuǎn)賬(FBI數(shù)據(jù)),而承諾的雙倍“回報(bào)”,卻成了空頭支票。
人們意識(shí)到,這是一起發(fā)生在社交媒體平臺(tái)的影響規(guī)模最大的盜號(hào)事件。不同于一般的個(gè)人帳號(hào)密碼泄露,此次黑客進(jìn)入了推特的后臺(tái),獲得了高級(jí)權(quán)限,并直接調(diào)用權(quán)限控制了 45 個(gè)帳號(hào),讀取了 36 個(gè)帳號(hào)的即時(shí)消息并下載了帳號(hào)的完整數(shù)據(jù)。
美國商業(yè)巨頭、政客們的社交媒體通訊信息無不包含著巨大的商業(yè)政治價(jià)值,若黑客有其他盤算,帶來影響的惡劣程度難以估量。
不過話說回來,互聯(lián)網(wǎng)的發(fā)展史上,充斥著各種各樣的盜號(hào)現(xiàn)象,以至于盜號(hào)這種bug成為很多網(wǎng)絡(luò)用戶司空見慣的事情。有時(shí)候,一些公眾人物在社交媒體上手誤發(fā)了不該發(fā)的內(nèi)容,也多會(huì)以“被盜號(hào)”的理由化解爭議或?qū)擂巍?/p>
本期全媒派(ID:quanmeipai)聚焦社交媒體帳號(hào)安全,復(fù)盤社交媒體盜號(hào)事件,探究社交媒體帳號(hào)的保護(hù)方法。
哪些人的帳號(hào)容易被盯上?
7月15日被盜用以發(fā)布比特幣釣魚信息的帳號(hào)列表,一定程度上反映出一般盜號(hào)者所針對(duì)的目標(biāo)對(duì)象:影響力大、信用度高的公眾人物。其中包括商界的馬斯克、比爾·蓋茨,娛樂界的坎耶·維斯特、金·卡戴珊,以及一些政界人士等;除此之外,此次被盜用的還有一批知名企業(yè)的官方認(rèn)證帳號(hào),例如蘋果、優(yōu)步等。
推特截圖,此次事件涉及數(shù)據(jù),圖片來源:Twitter。
推特截圖,圖片來源:Twitter。
推特這個(gè)平臺(tái)聚集了一些有權(quán)勢、有名望的人,他們的言論甚至可以影響金融市場,引發(fā)輿論震蕩。
實(shí)際上,盜號(hào)現(xiàn)象早有存在,似乎沒有任何人是絕對(duì)安全的——就連推特CEO杰克·多爾西的帳號(hào)也未能幸免。 2019 年 8 月,多爾西的帳號(hào)突然發(fā)表了一些具有攻擊性和種族歧視主義的消息,事后被證實(shí)為盜號(hào)者所為。
好萊塢、寶萊塢的演藝名人們更是經(jīng)常經(jīng)歷盜號(hào)風(fēng)波,推特、instagram都是黑客們緊盯的平臺(tái),而被盜后發(fā)生的事大多與多爾西的經(jīng)歷類似:帳號(hào)會(huì)公開推送一些莫名其妙的內(nèi)容,多為能引起公眾反感和爭吵的歧視性、攻擊性文字。
以今年為例,元旦前夜,知名歌手瑪麗亞·凱莉的推特帳號(hào)被盜并發(fā)表了十余條攻擊性言論;
1 月,英國王室的推特主頁發(fā)布了一系列怪異的帖子,內(nèi)容涉及菌類、內(nèi)容不正確的字母表,甚至還有與廁所有關(guān)的數(shù)學(xué)難題;
5 月,著名模特吉吉·哈迪德的帳戶被盜并發(fā)表了涉及種族歧視的推文,聲稱希望“德國贏得了二戰(zhàn)”;
6 月,寶萊塢明星Amitabh Bachchan及歌手阿德南?薩尼的推特帳號(hào)被一群名為Ayyildiz Tim Turkish Cyber Army的親巴基斯坦黑客盜用,發(fā)表了對(duì)其他國家的譴責(zé);
除了發(fā)表情緒極端的不當(dāng)言論以外,釣魚廣告的形式也備受盜號(hào)者青睞:利用被盜帳號(hào)的影響力,發(fā)布包含鏈接的釣魚廣告,以此收集個(gè)人信息,并從中獲取數(shù)據(jù)或傭金。
2019 年 9 月,演員小羅伯特·唐尼( 4330 萬粉絲)、歌手兼詞曲作家妮可·舒辛格( 390 萬粉絲)和電視名人亞尼特·加西亞( 1150 萬粉絲)等人的Instagram帳號(hào)相繼被盜。
盜號(hào)者將他們的個(gè)人信息修改成iPhone XS的贈(zèng)送信息,領(lǐng)取者需要點(diǎn)擊鏈接進(jìn)入相應(yīng)頁面。而在后兩位女性名人的案例中,盜號(hào)者還使用了更惡劣的手段:達(dá)到一定下載量將發(fā)布性愛錄像。
哪些人是盜號(hào)的主力?
實(shí)行盜號(hào)行為的一般為黑客團(tuán)體,并且每個(gè)團(tuán)體都有自己的不同目的訴求。如上述Instagram盜號(hào)“釣魚”事件,調(diào)查顯示,從所有鏈接指向的網(wǎng)頁域名判斷,來自同一組織,目的為牟利。
對(duì)寶萊塢巨星們發(fā)動(dòng)攻擊的組織Ayyildiz Tim Turkish Cyber Army則更偏向政治訴求,此前也入侵過Karan Johar、Rishi Kapoor、Anupam Kher、Shahid Kapoor和Abhishek Bachchan等人。
而近期發(fā)生的推特事件的始作俑者,則是來自美國和英國的三個(gè)青少年,他們的最初目的是通過后臺(tái)改用帳號(hào)密碼售賣推特帳號(hào)掙外快。
在一定程度上,此次推特事件中,三名年輕黑客的“不諳世事”反倒幫了忙。因?yàn)椋菜麄円靶脑俅笠稽c(diǎn),利用在入侵系統(tǒng)時(shí)所獲取的信息和權(quán)限就能夠掀起一場血雨腥風(fēng)。
“這些人經(jīng)過專門的訓(xùn)練,攻擊方法已經(jīng)非常高效。” 安全公司Unit 221B的首席研究官艾莉森·尼克松說,“他們已經(jīng)意識(shí)到有很多容易攻陷的軟目標(biāo)。”
尼克松說,這些黑客通常專注于金融欺詐,但他們獲取政治人物帳戶信息的能力可能會(huì)吸引新的危險(xiǎn)客戶。
“我擔(dān)心的是,隨著這些黑客的技術(shù)不斷改進(jìn),他們會(huì)意識(shí)到,會(huì)有其他客戶愿意花更大價(jià)錢購買除用戶名之外的其他資料,”她說,“我認(rèn)為有些盜號(hào)者甚至沒有意識(shí)到他們會(huì)造成多大的損害。”
用戶如何防盜號(hào)?
名人們的帳號(hào)更容易被黑客們列入盜號(hào)名單,但事實(shí)上,普通人的帳號(hào)也存在被盜風(fēng)險(xiǎn),這些基礎(chǔ)數(shù)據(jù)同樣可以作為數(shù)據(jù)進(jìn)行交易。
結(jié)合普通網(wǎng)友被盜號(hào)的情況來看,大多數(shù)的盜號(hào)事件都是出于密碼泄露,泄露的途徑中常見的有以下幾種。
一、點(diǎn)進(jìn)了“朋友”發(fā)送的不明鏈接。
二、在網(wǎng)絡(luò)各個(gè)平臺(tái)使用相同的密碼,或者干脆不設(shè)置密碼。
三、使用了公共場所的一些來路不明的wifi。
四、使用了有漏洞版本的手機(jī)系統(tǒng),并不及時(shí)更新。
針對(duì)這類個(gè)人信息泄露,用戶需要改變自身的互聯(lián)網(wǎng)使用習(xí)慣,提高信息安全意識(shí),并掌握一些基本的安全加固方法。
保護(hù)在線帳戶安全的第一步,是要設(shè)置一個(gè)復(fù)雜難破譯的密碼,并且最好針對(duì)不同平臺(tái)使用不同密碼,不要嫌麻煩。
如果覺得密碼過多難以記憶,可以借助密碼管理器等工具。該類工具可以自動(dòng)生成相應(yīng)格式的字符串,包含特殊字符、數(shù)字以及大小寫字母等。
還有一個(gè)比較常用的方法是雙因素認(rèn)證(2FA),現(xiàn)在很多平臺(tái)都能提供。它要求你在輸入密碼的同時(shí),輸入一個(gè)即時(shí)的驗(yàn)證碼進(jìn)行身份驗(yàn)證,驗(yàn)證碼通常以短信的形式發(fā)送到你的已認(rèn)證常用設(shè)備上。使用雙因素認(rèn)證后,即使黑客設(shè)法竊取了你的憑證密碼,也無法輕易登錄你的帳號(hào)。
其次,當(dāng)網(wǎng)絡(luò)黑客想要入侵你或者與你親近的人時(shí),在你所有的智能設(shè)備上安裝殺毒軟件能夠使他們的行動(dòng)更加困難。殺毒軟件既可以保護(hù)自己不受惡意軟件的傷害,又能夠防止網(wǎng)絡(luò)犯罪分子竊取他們訪問你的社交媒體檔案所需的信息。
停止不經(jīng)常使用的第三方應(yīng)用程序的帳號(hào)訪問許可,檢查你的應(yīng)用程序列表,撤銷任何與你的帳戶相連接的可疑應(yīng)用程序的訪問權(quán)限。這是一個(gè)會(huì)帶來不便但卻非常必要的操作,在過去這些年里,不少用戶習(xí)慣性地允許多個(gè)第三方應(yīng)用程序訪問他們的在線帳號(hào),隨便給應(yīng)用程序開發(fā)者如此大的權(quán)力,隱含著很大的危險(xiǎn)。
平臺(tái)應(yīng)該承接用戶防盜壓力
一直以來,針對(duì)大規(guī)模的盜號(hào)情況,平臺(tái)方和媒體評(píng)論者給出的建議都偏用戶側(cè),即讓用戶及時(shí)申訴,通過平臺(tái)修改并保護(hù)好自己的新密碼,少信任來源不明的第三方網(wǎng)站等。
在盜號(hào)起因?yàn)槊艽a泄露的情況下,用戶們通過加強(qiáng)個(gè)人安全意識(shí)能有效防范帳號(hào)泄露,然而此次推特事件中,盜號(hào)者直接在后臺(tái)控制了用戶帳號(hào),并不需要知道原先密碼就能直接更改。
推特表示,此次黑客使用的策略是電話“魚叉式網(wǎng)絡(luò)釣魚”。在竊取員工憑證并進(jìn)入推特系統(tǒng)后,黑客便可以盜取能夠使用“帳號(hào)支持工具”的員工的信息權(quán)限,并以此對(duì)想要盜取的帳號(hào)進(jìn)行密碼修改。黑客無需得知帳號(hào)的原密碼,就可以直接設(shè)置新密碼。
“魚叉式網(wǎng)絡(luò)釣魚”是一種更有針對(duì)性的假冒騙局,具體方式是利用電子郵件或其他電子通訊方式來獲得收件人的關(guān)鍵資料。
推特官方表示:“這次攻擊是通過誤導(dǎo)我們的員工進(jìn)行的協(xié)同行動(dòng),利用人們?nèi)菀资韬龅拇嗳觞c(diǎn)攻入了我們的系統(tǒng)。”
為了防止這種情況再次發(fā)生,平臺(tái)本身顯然需要進(jìn)一步加強(qiáng)安全防護(hù)機(jī)制。
此次事件中,推特官方的應(yīng)急措施雖然難以將功補(bǔ)過,但也還算得上差強(qiáng)人意。在盜號(hào)消息剛剛傳播時(shí),平臺(tái)便開始行動(dòng),將被盜帳號(hào)鎖定,并限制了一批認(rèn)證帳號(hào)的推文、改密碼等活動(dòng);相關(guān)的團(tuán)隊(duì)撤銷并加固了對(duì)內(nèi)部系統(tǒng)的訪問,以防止攻擊者進(jìn)一步接觸到系統(tǒng)或個(gè)人帳號(hào);同時(shí),推特也鎖定了一批近期密碼被修改過的帳號(hào),以預(yù)防進(jìn)一步的損失;在FBI等部門的協(xié)助下,也迅速找出了幕后黑手,做到了及時(shí)止損,沒給事件進(jìn)一步惡化的機(jī)會(huì)。
然而,真正需要關(guān)注的并不僅是此次事件的解決,而是此類漏洞的查找、預(yù)防。平臺(tái)方應(yīng)當(dāng)徹查自身系統(tǒng)的疲軟易攻擊之處,并最大限度地消除潛在隱患。
大型社交平臺(tái)擔(dān)負(fù)著必要的社會(huì)責(zé)任,其中,用戶信息的安全與保護(hù)是最基本的要求。如果一個(gè)平臺(tái)連最基礎(chǔ)的安全都無法保障,信譽(yù)和市場價(jià)值必然都會(huì)受到相應(yīng)的損失。
