Bài viết này là một bài mồ côi vì không có bài viết khác liên kết đến nó. Vui lòng tạo liên kết đến bài này từ các bài viết liên quan; có thể thử dùng công cụ tìm liên kết. (tháng 8 năm 2020) |
Một tweet lừa đảo tiêu biểu, từ tài khoản bị hack của Apple | |
Thời điểm | 15 tháng 7 năm 2020 |
---|---|
Nguyên nhân | Phối hợp tấn công phi kỹ thuật |
Mục đích | Tài khoản Twitter được xác minh |
Hệ quả | Ít nhất 130 tài khoản bị ảnh hưởng. Các địa chỉ bitcoin liên quan đã nhận được khoảng 110.000 đô la Mỹ trong các giao dịch bitcoin. |
Bị bắt | 3, gồm Mason Sheppard, Nima Fazeli, Graham Ivan Clark (tính đến ngày 31/7) |
Bị tình nghi | OGUsers |
Vào ngày 15 tháng 7 năm 2020, trong khoảng thời gian từ 20:00 đến 22:00 UTC, 130 tài khoản Twitter nổi tiếng đã bị các bên ngoài xâm nhập để quảng cáo lừa đảo bitcoin.[1][2] Twitter và các nguồn phương tiện truyền thông khác xác nhận rằng thủ phạm đã có quyền truy cập vào các công cụ quản trị của Twitter để họ có thể tự thay đổi tài khoản và đăng các tweet trực tiếp. Họ dường như đã sử dụng kỹ thuật xã hội để có quyền truy cập vào các công cụ thông qua nhân viên Twitter.[3][4][5] Ba cá nhân đã bị nhà chức trách bắt giữ vào ngày 31 tháng 7 năm 2020 và bị buộc tội gian lận điện tử, rửa tiền, đánh cắp danh tính và truy cập máy tính trái phép liên quan đến vụ lừa đảo.[6]
Các tweet lừa đảo đã yêu cầu các cá nhân gửi tiền bitcoin đến một ví tiền điện tử cụ thể, với lời hứa của người dùng Twitter rằng số tiền được gửi sẽ được nhân đôi và trả lại như một nghĩa cử từ thiện.[7] Trong vòng vài phút kể từ những dòng tweet đầu tiên, hơn 320 giao dịch đã diễn ra trên một trong các địa chỉ ví và bitcoin có giá trị hơn 110.000 đô la Mỹ đã được gửi vào một tài khoản trước khi Twitter xóa tin nhắn lừa đảo.[1][8] Ngoài ra, dữ liệu lịch sử tin nhắn đầy đủ từ tám tài khoản chưa được xác minh cũng được thu thập.[9]
Dmitri Alperovitch, người đồng sáng lập công ty an ninh mạng CrowdStrike, mô tả vụ việc là "vụ hack tồi tệ nhất của một nền tảng truyền thông xã hội lớn".[2][10] Cục Điều tra Liên bang (FBI) và các cơ quan thực thi pháp luật khác đang điều tra vụ lừa đảo và bảo mật được sử dụng bởi Twitter.[11] Các nhà nghiên cứu bảo mật bày tỏ lo ngại rằng kỹ thuật xã hội được sử dụng để thực hiện vụ hack có thể ảnh hưởng đến việc sử dụng mạng xã hội trong các cuộc thảo luận trực tuyến quan trọng, bao gồm cả việc dẫn đến cuộc bầu cử tổng thống Hoa Kỳ năm 2020.[12][13]
Phân tích pháp y về vụ lừa đảo cho thấy các tin nhắn lừa đảo ban đầu được đăng lần đầu bởi các tài khoản có tên ngắn, một hoặc hai ký tự, chẳng hạn như "@ 6".[14] Tiếp theo đó là cryptocurrency tài khoản Twitter vào khoảng 20:00 UTC trên 15 Tháng Bảy 2020, bao gồm những người trong Coinbase, CoinDesk và Binance.[13][15] Vụ lừa đảo sau đó đã chuyển sang nhiều tài khoản nổi tiếng hơn với dòng tweet đầu tiên như vậy được gửi từ tài khoản Twitter của Elon Musk lúc 20:17 UTC.[16] Các tài khoản dường như bị xâm phạm khác bao gồm tài khoản của những cá nhân nổi tiếng như Barack Obama, Joe Biden, Bill Gates, Jeff Bezos, MrBeast, Michael Bloomberg,[8] Warren Buffett,[17] Floyd Mayweather Jr., Kim Kardashian, và Kanye West;[2][18] và các công ty như Apple, Uber và Cash App.[19] Twitter tin rằng 130 tài khoản đã bị ảnh hưởng, mặc dù chỉ có 45 tài khoản thực sự được sử dụng để tweet thông báo lừa đảo;[9][20] hầu hết các tài khoản bị truy cập trong vụ lừa đảo đều có ít nhất một triệu người theo dõi.
Các tweet liên quan đến vụ hack lừa đảo tuyên bố rằng người gửi, trong tổ chức từ thiện, sẽ trả lại cho bất kỳ người dùng nào gấp đôi giá trị của bất kỳ số bitcoin nào họ đã gửi vào các ví nhất định, thường là một phần của nỗ lực cứu trợ COVID-19. Các tweet theo sau việc chia sẻ các liên kết độc hại của một số công ty tiền điện tử; trang web lưu trữ các liên kết đã bị gỡ xuống ngay sau khi các tweet được đăng.[7] Mặc dù những trò lừa đảo "nhân đôi số bitcoin của bạn" như vậy đã phổ biến trên Twitter trước đây, nhưng đây là trường hợp chính đầu tiên chúng được sử dụng với các tài khoản có tính xác minh cao.[2] Các chuyên gia bảo mật tin rằng thủ phạm thực hiện vụ lừa đảo như một hoạt động " đập và lấy ": Biết rằng việc xâm nhập vào các tài khoản sẽ bị đóng nhanh chóng, những kẻ thủ phạm có thể đã lên kế hoạch rằng chỉ cần một phần nhỏ trong số hàng triệu tài khoản theo dõi các tài khoản này. lừa đảo trong thời gian ngắn đó để kiếm tiền nhanh chóng từ nó. Nhiều ví bitcoin đã được liệt kê tại các trang web này; người đầu tiên được quan sát đã nhận được 12 từ hơn 320 giao dịch, trị giá hơn 118,000 đô la Mỹ và đã bị xóa 61,000 đô la Mỹ từ nó, trong khi số thứ hai chỉ có hàng nghìn đô la khi Twitter thực hiện các bước để tạm dừng các bài đăng.[1][8] Không rõ đây có phải là tiền được thêm vào bởi những người dẫn đầu vụ lừa đảo hay không,[21][22] vì những kẻ lừa đảo bitcoin được biết là thêm tiền vào ví trước khi bắt đầu các âm mưu lừa đảo có vẻ hợp pháp. Trong số các quỹ được thêm vào, hầu hết đến từ các ví có quyền sở hữu của Trung Quốc, nhưng khoảng 25% đến từ các ví của Hoa Kỳ.[14] Sau khi nó được thêm vào, tiền điện tử sau đó đã được chuyển qua nhiều tài khoản như một phương tiện để che giấu danh tính của họ.
Một số tài khoản bị xâm nhập đã đăng tin nhắn lừa đảo liên tục, ngay cả khi đã xóa một số tin nhắn.[23] Các tweet được dán nhãn là đã được gửi bằng ứng dụng Web Twitter.[24] Một trong những cụm từ liên quan đến vụ lừa đảo đã được tweet hơn 3.000 lần trong khoảng thời gian bốn giờ, với các tweet được gửi từ các địa chỉ IP được liên kết với nhiều quốc gia khác nhau.[25] Cụm từ được sử dụng lại cho phép Twitter dễ dàng loại bỏ các tweet vi phạm khi họ thực hiện các bước để ngăn chặn trò lừa đảo.[13]
Đến 21:45 UTC, Twitter đã đưa ra một tuyên bố cho biết họ "đã biết về sự cố bảo mật ảnh hưởng đến các tài khoản trên Twitter" và họ đang "thực hiện các bước để khắc phục".[26] Ngay sau đó, nó vô hiệu hóa khả năng tweet của một số tài khoản hoặc đặt lại mật khẩu của họ;[27] Twitter chưa xác nhận tài khoản nào bị hạn chế, nhưng nhiều người dùng có tài khoản được Twitter đánh dấu là "đã xác minh" đã xác nhận rằng họ không thể tweet.[28] Khoảng ba giờ sau các tweet lừa đảo đầu tiên, Twitter báo cáo rằng họ tin rằng họ đã giải quyết tất cả các tài khoản bị ảnh hưởng để khôi phục thông tin đăng nhập cho chủ sở hữu hợp pháp của họ.[29] Cuối đêm đó, Giám đốc điều hành Twitter Jack Dorsey cho biết đây là một "ngày khó khăn đối với chúng tôi tại Twitter. Tất cả chúng tôi đều cảm thấy khủng khiếp khi điều này xảy ra. Chúng tôi đang chẩn đoán và sẽ chia sẻ mọi thứ có thể khi chúng tôi có hiểu biết đầy đủ hơn về chính xác những gì đã xảy ra. " [13] Ít nhất một sàn giao dịch tiền điện tử, Coinbase, đã đưa vào danh sách đen các địa chỉ bitcoin để ngăn tiền được gửi đi. Coinbase cho biết họ đã ngừng gửi hơn 1.000 giao dịch với tổng trị giá hơn 280,000 đô la Mỹ.[30]
Ngoài việc gửi tweet, dữ liệu tài khoản của tám tài khoản bị xâm phạm đã được tải xuống, bao gồm tất cả các bài đăng đã tạo và tin nhắn trực tiếp, mặc dù không có tài khoản nào trong số này thuộc về người dùng đã xác minh.[9][31] Twitter cũng nghi ngờ rằng ba mươi sáu tài khoản khác đã truy cập tin nhắn trực tiếp của họ nhưng không được tải xuống, bao gồm cả Đại diện Quốc hội Hà Lan Geert Wilders, nhưng tin rằng không có quan chức hiện tại hoặc cựu dân cử nào khác có quyền truy cập tin nhắn của họ.[32][33]
Khi Twitter đang làm việc để giải quyết tình hình vào ngày 15 tháng 7, Vice đã được liên hệ bởi ít nhất bốn cá nhân tuyên bố là một phần của trò lừa đảo và trình bày trang web với ảnh chụp màn hình cho thấy rằng họ đã có thể truy cập vào một công cụ quản trị Twitter, còn được biết đến. như một "công cụ tác nhân",[34] cho phép họ thay đổi các cài đặt cấp tài khoản khác nhau của một số tài khoản bị xâm phạm, bao gồm cả email xác nhận cho tài khoản. Điều này cho phép họ đặt địa chỉ email mà bất kỳ người dùng nào khác có quyền truy cập vào tài khoản email đó có thể bắt đầu đặt lại mật khẩu và đăng các tweet.[14] Những tin tặc này nói với Vice rằng họ đã trả tiền cho những người trong cuộc tại Twitter để có quyền truy cập vào công cụ quản trị để có thể thực hiện điều này.[3]
TechCrunch cũng báo cáo tương tự, dựa trên một nguồn cho biết một số tin nhắn là từ một thành viên của một diễn đàn hack có tên "OGUsers", người đã tuyên bố đã kiếm được hơn 100,000 đô la Mỹ từ đó.[4] Theo nguồn TechCrunch ' thành viên này 'Kirk' đã được báo cáo đã đạt được quyền truy cập vào các công cụ quản trị Twitter có khả năng thông qua một tài khoản người lao động bị tổn thương, và sau khi ban đầu cung cấp để tiếp nhận bất kỳ tài khoản theo yêu cầu, chuyển sang chiến lược nhằm mục tiêu cryptocurrency tài khoản bắt đầu với Binance và sau đó là những người có cấu hình cao hơn. Nguồn tin không tin rằng Kirk đã trả tiền cho một nhân viên Twitter để có quyền truy cập.
Twitter "@ 6" thuộc về Adrian Lamo và người dùng duy trì tài khoản thay mặt cho gia đình Lamo đã báo cáo rằng nhóm thực hiện vụ hack đã có thể vượt qua nhiều yếu tố bảo mật mà họ đã thiết lập trên tài khoản, bao gồm cả hai yếu tố xác thực, cho biết thêm rằng các công cụ quản trị đã được sử dụng để vượt qua bảo mật tài khoản.[14][35] Người phát ngôn của Nhà Trắng tuyên bố rằng tài khoản của Tổng thống Donald Trump, có thể là mục tiêu, đã có các biện pháp bảo mật bổ sung được thực hiện trên Twitter sau một sự cố vào năm 2017 và do đó không bị ảnh hưởng bởi vụ lừa đảo.
Nguồn Vice và TechCrunch đã được chứng thực bởi The New York Times, người đã nói chuyện với những người tương tự tham gia vào các sự kiện, và các nhà nghiên cứu bảo mật khác đã được trao màn hình tương tự, và tweets của những màn hình đã được thực hiện, nhưng Twitter loại bỏ vì họ đã tiết lộ chi tiết cá nhân của các tài khoản bị xâm nhập.[5] New York Times khẳng định thêm, véc tơ vụ tấn công có liên quan đến việc hầu hết công ty làm việc tại nhà trong bối cảnh đại dịch COVID-19; các thành viên OGUsers đã có thể truy cập vào kênh truyền thông Slack của nhân viên Twitter, nơi thông tin và quy trình ủy quyền truy cập máy chủ của công ty từ xa từ nhà đã được ghim.
Twitter sau đó đã xác nhận rằng vụ lừa đảo liên quan đến tấn công phi kỹ thuật,[36] tuyên bố "Chúng tôi đã phát hiện ra những gì chúng tôi tin là một cuộc tấn công kỹ thuật xã hội phối hợp bởi những người đã nhắm mục tiêu thành công một số nhân viên của chúng tôi có quyền truy cập vào các hệ thống và công cụ nội bộ." [3][37] Ngoài việc thực hiện các bước tiếp theo để khóa các tài khoản đã xác minh bị ảnh hưởng, Twitter cho biết họ cũng đã bắt đầu một cuộc điều tra nội bộ và giới hạn quyền truy cập của nhân viên vào các công cụ quản trị hệ thống của họ khi họ đánh giá tình hình, cũng như nếu bất kỳ dữ liệu bổ sung nào bị xâm phạm bởi người dùng độc hại.[29][38]
Vào cuối ngày 17 tháng 7 năm 2020, Twitter khẳng định những gì đã học được từ các nguồn phương tiện truyền thông này, nói rằng "Những kẻ tấn công đã thao túng thành công một số lượng nhỏ nhân viên và sử dụng thông tin đăng nhập của họ để truy cập vào hệ thống nội bộ của Twitter, bao gồm cả việc thực hiện các biện pháp bảo vệ hai yếu tố của chúng tôi. Hiện tại, chúng tôi biết rằng họ đã truy cập các công cụ chỉ dành cho nhóm hỗ trợ nội bộ của chúng tôi. " [34] Twitter đã có thể xác nhận thêm vào ngày 30 tháng 7 rằng phương pháp được sử dụng là cái mà họ gọi là "cuộc tấn công lừa đảo qua điện thoại": ban đầu họ sử dụng kỹ thuật xã hội để vi phạm thông tin đăng nhập của các nhân viên Twitter cấp thấp hơn, những người không có quyền truy cập vào các công cụ quản trị., và sau đó sử dụng các tài khoản nhân viên đó, tham gia vào các cuộc tấn công kỹ thuật xã hội bổ sung để lấy thông tin đăng nhập vào các công cụ quản trị từ những nhân viên đã có quyền sử dụng của họ.[39]
Bloomberg News, sau khi điều tra với các nhân viên Twitter cũ và hiện tại, đã báo cáo rằng có tới 1500 nhân viên và đối tác của Twitter có quyền truy cập vào các công cụ quản trị cho phép khả năng thiết lập lại tài khoản như đã được thực hiện trong vụ việc. Các cựu nhân viên Twitter đã nói với Bloomberg rằng ngay cả vào cuối năm 2017 và 2018, những người có quyền truy cập sẽ thực hiện trò chơi sử dụng các công cụ này để theo dõi những người nổi tiếng nổi tiếng mặc dù lượng dữ liệu hiển thị thông qua các công cụ chỉ giới hạn ở các yếu tố như địa chỉ IP và thông tin vị trí.. Một người phát ngôn của Twitter nói với Bloomberg rằng họ sử dụng "đào tạo bảo mật rộng rãi và giám sát quản lý" để quản lý nhân viên và đối tác có quyền truy cập vào các công cụ và rằng "không có dấu hiệu nào cho thấy các đối tác mà chúng tôi làm việc về dịch vụ khách hàng và quản lý tài khoản đóng một vai trò nào đó đây". Các cựu thành viên của bộ phận bảo mật của Twitter nói rằng kể từ năm 2015, công ty đã được cảnh báo về khả năng bị tấn công từ bên trong và các biện pháp an ninh mạng khác, nhưng những biện pháp này đã bị gạt sang một bên, ủng hộ các sáng kiến tạo doanh thu hơn.[40]
Chuyên gia bảo mật Brian Krebs chứng thực với nguồn TechCrunch ' và với thông tin thu được bằng cách Reuters rằng lừa đảo xuất hiện là có nguồn gốc trong 'OGUsers' nhóm.[4][41][42][43] Diễn đàn OGUsers ("OG" có nghĩa là "xã hội đen gốc") được thành lập để bán và mua các tài khoản mạng xã hội có tên ngắn hoặc "hiếm" và theo chủ nhân của nó, nói với Reuters, hành vi buôn bán thông tin đăng nhập bị tấn công đã bị cấm. Ảnh chụp màn hình từ diễn đàn cho thấy nhiều người dùng trên diễn đàn đề nghị xâm nhập vào tài khoản Twitter với 2,000−3,000 đô la Mỹ mỗi người. Krebs cho biết một trong những thành viên có thể đã bị ràng buộc với việc tiếp quản tài khoản Twitter của Giám đốc điều hành Twitter Jack Dorsey vào tháng 8 năm 2019. Chủ sở hữu OGUsers nói với Reuters rằng các tài khoản hiển thị trong ảnh chụp màn hình đã bị cấm.
FBI thông báo ngày 16 tháng 7 họ đang mở một cuộc điều tra về vụ lừa đảo, vì nó được sử dụng để "tiếp tục gian lận tiền điện tử", một tội hình sự.[11] Ủy ban Lựa chọn Thượng viện về Tình báo cũng đã lên kế hoạch yêu cầu Twitter cung cấp thêm thông tin về vụ hack, vì phó chủ tịch ủy ban Mark Warner tuyên bố "Khả năng những kẻ xấu chiếm đoạt các tài khoản nổi bật, thậm chí chỉ là thoáng qua, báo hiệu một lỗ hổng đáng lo ngại trong môi trường truyền thông này, có thể bị lợi dụng không chỉ để lừa đảo mà còn cho những nỗ lực có tác động mạnh hơn nhằm gây ra sự nhầm lẫn, tàn phá và sai lệch chính trị ".[14] Trung tâm An ninh mạng Quốc gia của Vương quốc Anh cho biết các sĩ quan của họ đã liên hệ với Twitter liên quan đến vụ việc.[44] Giám đốc điều hành BitTorrent Justin Sun đã công bố một khoản tiền thưởng 1 million đô la Mỹ chống lại các tin tặc, với tài khoản Twitter của công ty anh ta nói rằng "Anh ấy sẽ trả tiền cá nhân cho những người truy tìm thành công và cung cấp bằng chứng để đưa ra công lý, những tin tặc / người đứng sau vụ hack này ảnh hưởng đến cộng đồng của chúng tôi. " [45]
Bộ Tư pháp Hoa Kỳ đã thông báo về việc bắt giữ và buộc tội ba cá nhân có liên quan đến vụ lừa đảo vào ngày 31 tháng 7 năm 2020. Một thanh niên 19 tuổi đến từ Vương quốc Anh bị buộc tội nhiều tội danh âm mưu lừa đảo qua điện thoại, âm mưu rửa tiền và cố ý truy cập vào một máy tính được bảo vệ, và một thanh niên 22 tuổi đến từ Florida bị buộc tội trợ giúp và tiếp tay cho việc tiếp cận quốc tế. Cả hai sẽ được xét xử tại Tòa án Quận Hoa Kỳ cho Quận phía Bắc của California. Một cá nhân thứ ba, một trẻ vị thành niên từ Florida, cũng bị truy tố nhưng do tuổi tác của họ, các cáo buộc đã được niêm phong tại tòa án vị thành niên ở Florida.[46] Tiểu bang sẽ xét xử anh ta khi trưởng thành với hơn 30 tội danh liên quan đến các trọng tội, bao gồm gian lận có tổ chức, gian lận liên lạc, đánh cắp danh tính và hack, theo luật của bang cho phép họ kết tội trẻ vị thành niên về các trường hợp gian lận tài chính.[6][47] Thiếu niên Florida đã cam kết không phạm tội với các cáo buộc.[48]
Người dùng bị ảnh hưởng chỉ có thể đăng lại nội dung, dẫn đến việc NBC News phải thiết lập một tài khoản tạm thời chưa được xác minh để họ có thể tiếp tục tweet, đăng lại "các cập nhật quan trọng" trên tài khoản chính của họ.[49] Một số văn phòng dự báo của Dịch vụ Thời tiết Quốc gia không thể đăng cảnh báo thời tiết khắc nghiệt, với Cơ quan Thời tiết Quốc gia Lincoln, Illinois ban đầu không thể đăng cảnh báo lốc xoáy.[50] Chiến dịch của Joe Biden tuyên bố với CNN rằng họ "liên lạc với Twitter về vấn đề này", và tài khoản của anh ấy đã bị "khóa".[1] Google đã tạm thời vô hiệu hóa băng chuyền Twitter của mình trong tính năng tìm kiếm do các vấn đề bảo mật này.[51]
Trong sự cố, giá cổ phiếu của Twitter, Inc. đã giảm 4% sau khi thị trường đóng cửa.[52] Vào cuối ngày hôm sau, giá cổ phiếu của Twitter, Inc. kết thúc ở mức 36,40 đô la, giảm 38 xu, tương đương 0,87%.[53]
Các chuyên gia bảo mật bày tỏ lo ngại rằng mặc dù vụ lừa đảo có thể tương đối nhỏ về ảnh hưởng tài chính, nhưng khả năng mạng xã hội bị xâm phạm thông qua tấn công phi kỹ thuật liên quan đến nhân viên của các công ty này gây ra mối đe dọa lớn trong việc sử dụng mạng xã hội, đặc biệt là ở đầu -đến cuộc bầu cử tổng thống Hoa Kỳ năm 2020 và có thể gây ra một sự cố quốc tế.[12] Alex Stamos thuộc Trung tâm Hợp tác và An ninh Quốc tế của Đại học Stanford cho biết, "Twitter đã trở thành nền tảng quan trọng nhất khi nói đến cuộc thảo luận giữa giới tinh hoa chính trị, và nó có những lỗ hổng thực sự." [13]
Twitter đã chọn trì hoãn việc triển khai giao diện lập trình ứng dụng (API) mới của mình do hậu quả của các vấn đề bảo mật.[54]
Mặc dù không phải là một phần của vụ việc trên Twitter, Steve Wozniak và mười bảy người khác đã khởi kiện Google vào tuần sau, khẳng định rằng công ty đã không thực hiện các bước đầy đủ để xóa các video lừa đảo Bitcoin tương tự được đăng lên YouTube sử dụng tên của anh ấy và các nguyên đơn khác, gian lận tuyên bố chống lại sự lừa đảo. Khiếu nại của Wozniak xác định rằng Twitter có thể hành động ngay trong ngày, trong khi anh và các nguyên đơn khác yêu cầu Google chưa bao giờ được thực hiện.[55]
<ref>
không hợp lệ: tên “cnbc” được định rõ nhiều lần, mỗi lần có nội dung khác
<ref>
sai; không có nội dung trong thẻ ref có tên buzzfeed july15
<ref>
sai; không có nội dung trong thẻ ref có tên bloomberg july27
TRON Founder & CEO of @BitTorrent, Justin Sun is putting out a Bounty for the hackers in the amount of $1 million.
<ref>
sai; không có nội dung trong thẻ ref có tên apnews aug 4