比特币骗局隐藏着更严重的威胁

Twitter 到底怎么了？

上周15日，多位名人（如比尔·盖茨、美国前总统巴拉克·奥巴马、亚马逊创始人杰夫·贝佐斯、股神沃伦·巴菲特等）的推特账号消息称，只要你转发比特币给它，你会回馈数倍的比特币。

显然这是一个骗局。未知攻击者劫持了众多名人、高管、政治家、知名公司和数字货币交易平台的官方账号。引诱用户将比特币发送到他们的钱包地址。

据外媒报道，最新的黑客攻击暴露了社交媒体巨头 Twitter 长期存在的安全漏洞，它始于一个几乎每个网民都熟悉的过程，即密码重置。研究表明，Twitter 员工可以重置用户帐户的个人密码、查看个人数据，甚至代表用户发送推文。

可能隐藏更严重的威胁

从表面上看，Twitter hack 可能看起来是预付比特币骗局，但可能存在更深层次的威胁。据预测，攻击者还窃取了 Twitter 帐户持有人的私人信息，这些信息可用于勒索或网络间谍活动。事实证明，其中一个经过验证的账户属于总统候选人乔·拜登，引发了俄罗斯在 2016 年入侵了希拉里·克林顿的竞选活动和民主党全国委员会的印象。

DomainTools 的高级安全工程师和恶意软件研究员 Tarik Saleh 说：“我们不能排除这个民族国家集团正在使用加密货币诈骗帖子来欺骗或分散注意力的可能性。” Twitter 帐户极不可能在短时间内被用来传播加密货币骗局。”

推特的回应

近日私人的比特币账户，推特公布了周三发生的大规模账号劫持事件初步调查报告。 Twitter说，攻击者使用了社会工程学。社会工程正在操纵他人执行某些操作以泄露机密信息。攻击者成功操纵了一小群 Twitter 员工，使用员工的凭据登录内部系统，并访问了仅提供给内部支持团队的工具。针对 130 个帐户中的 45 个，攻击者重置了他们的密码，并在 Tweet 中登录了该帐户。攻击者还使用了从 8 个帐户下载的信息文件。这 8 个帐户都不是经过身份验证的帐户。 Twitter 表示正在继续调查，并正在与执法机构合作，考虑采取措施提高系统的安全性。

Twitter 提到，信息下载并未发生在任何所谓的“已验证帐户”上。对于这些帐户，Twitter 采取了将身份超链接到用户的额外步骤。该公司提到，黑客可以通过内部工具查看电子邮件地址和手机号码等私人数据。在黑客下载客户私人信息的情况下，他们可以使用 Twitter 为用户提供的软件来访问私人消息，以便访问该数据。此后，该公司已暂停用户使用该软件的能力。

对我们的启发

Twitter 事件凸显了组织对拥有特权或高影响力访问权限的员工进行审查的重要性。 Twitter 员工可以访问此管理控制台，但没有安全控制措施来防止这种情况，这是非常危险的。

尤其是像 Twitter 这样的大型科技公司私人的比特币账户，应该严格控制用户访问和授权。例如限制可以访问关键系统的人数；更密切地监控有权访问后端系统的工作人员；进行定期审查和季度风险评估；定期培训员工识别这些类型的攻击以及当他们看到这些攻击措施时该怎么做。最后，从“零信任”架构中的持久访问和授权验证机制，到生成警报的过滤器、日志记录和审计机制。返回搜狐，查看更多