員工被騙內部權限!Twitter 名人盜帳號事件為「社交工程」攻擊

俗話說得好,資安最大的漏洞就是「人」。社交工程攻擊用的不是高深的電腦技術,而是用詐騙的方式要到關鍵人物的驗證資訊,進而取得登入權限。
評論
△ Photo Credit: Shutterstock/ TPG Images
評論

推特(Twitter)上週爆發了嚴重的集體盜帳號事件,許多名人及公司官方帳號都被盜用並貼出詐騙比特幣的訊息,受害者包括歐巴馬、比爾・蓋茲、傑夫・貝佐斯、伊隆・馬斯克等名人,還有 Apple 及 Uber 等世界知名品牌的官方推特帳號。

針對此一大規模、高層級的盜帳號事件,推特在週末時發布官方公告,概述截至台灣時間上週六中午(美國時間上週五晚上 8:35)的調查進度。

「由於對此一事件的調查正在進行中,因此我們目前未提供部分細節——尤其是在補救方面,以保護工作的安全性。我們將在將來提供更多可以公佈的詳細訊息,以便相關社群和我們的同業,能從已發生的事情中學習並受益。」

As the investigation of this incident is unfolding, there are some details — particularly around remediation — that we are not providing right now to protect the security of the effort. We will provide more details, where possible in the future, so that the community and our peers may learn and benefit from what happened.  

截至目前,Twitter 認為駭客係透過社交工程的手段(a social engineering scheme),故意針對某些推特的員工經營,取得信任後獲得入侵推特內部系統的高級權限。

「社交工程」(social engineering)是在電腦工程界使用的術語,其實含義跟電腦工程技術無關,指的是使用類似現今流行的網路詐騙的手段,蓄意操縱對方執行特定行為,最後獲得隱私或機密資訊、入侵電腦系統等。 

駭客成功操縱了幾名推特員工後,使用他們的帳號進入 Twitter 內部系統,因此可以破解大多官方帳號都會啟用的兩階段保護(two-factor protections)。

目前已知的是,駭客使用了開發團隊才能使用的內部工具,針對 130 個 Twitter 帳號進行攻擊,而其中 45 個帳號成功被重設密碼,其中又有 8 個帳號甚至用後台功能「您的 Twitter 數據」(Your Twitter Data)成功下載了帳號活動歷史紀錄!針對這 8 個帳號,推特公司會直接與所有者聯絡後續事宜,不過這 8 個帳號沒有一個是經過認證的帳號(即俗稱「藍勾勾」的帳號)。

Twitter 在事發後一發現狀況不對,迅速先鎖定遭駭的帳號們,並撤銷駭客對內部系統的連線,以防止在緊急處理取回被駭帳戶的過程中,攻擊者進一步利用系統再攻擊其他帳號。(編輯推測,時間點應該是在推特官方帳號的這則貼文前後。)

除了這些在幕後的努力之外,也暫時先停止了在推特上貼文及更改密碼的功能,防止攻擊者繼續傳播他們的騙局。

推特再次重申,暫不透露更多執行細節,以保護其有效性,將來在可能的情況下會提供更多技術細節。

那麼,駭客究竟可從成功駭入的 130 個帳號中獲得哪些資料?Twitter 表示,駭客無法透過此次攻擊手法取得過去用過的密碼,因為這些密碼未以純文本形式儲存在伺服器,也無法在這次攻擊中使用的工具中取得;但駭客能夠察看使用者後台的個人資料,也就是說,可取得 email 地址與電話號碼。

其中被改了密碼的 45 個帳號,因為攻擊者已經成功接管了這些帳號,他們可能已經能夠查看其他個人資料。這部分的調查目前仍在進行中。

Twitter 將與檢調單位合作、加強資安系統,並強化員工的反社交工程訓練。

Twitter 團隊正在積極與受到影響的帳號擁有者直接聯絡,也公布了接下來的調查方向。透過這些,推特也開始了長期的行動,將與使用並依賴 Twitter 的人們重新建立信任。 

「我們高度認知到我們對依賴推特的使用者以及對整個社會的責任。我們很尷尬、很失望,最重要的是,我們很抱歉。我們知道,我們必須努力重新獲得您的信任,我們將付出一切能將攻擊者繩之以法的努力。」

We’re acutely aware of our responsibilities to the people who use our service and to society more generally. We’re embarrassed, we’re disappointed, and more than anything, we’re sorry. We know that we must work to regain your trust, and we will support all efforts to bring the perpetrators to justice.

核稿編輯:Mia

延伸閱讀:



Microsoft Teams 推出全新網路研討會功能,實現防疫期間線上活動需求

既然實體活動停辦,不妨趁此機會了解更多關於線上會議、活動的操作方法,避免線下群聚感染。Microsoft Teams 全新功能一條龍包辦虛擬活動策劃,不論是常態會議或大型活動都適用。
評論
Photo Credit:Microsoft
評論

5 月 19 日全台疫情警戒升至第三級,停止室內 5 人、室外 10 人的聚會,教育部也宣布各級學校學生全面停止到校上課,並採行遠距教學。沒想到此公告一出,隨即哀鴻遍野,許多師生與家長不擅長使用數位平台,有多場學術研討會與講座活動改採線上模式,畢業典禮也不得不停辦。企業單位更是備受衝擊,原本預定的記者會、法說會、行銷活動等都被迫停擺,主辦單位急於苦尋能容納數百人以上的平台工具,也為了註冊報名頁面製作、會後回饋資料收集等工作而焦頭爛額。

其實上述這些問題,舉辦線上會議行之有年的 Microsoft Teams,都有很好的解方。

全新網路研討會功能,Microsoft Teams 新增三大亮點功能

近期本土疫情加劇,台灣才要經歷其他國家去年就面臨過的考驗。無論是異地辦公、遠距教學、線上研討會等,這些疫情時代的新常態生活,在台灣以外的大多數國家,經過一年的練習後再也熟悉不過。面對各類型實體研討會、講座與活動大幅線上化的趨勢,Microsoft Teams 推出全新網路研討會功能,幫助企業與組織以更敏捷、彈性的方式,照常舉行活動,並持續開拓嶄新機會。新增三大亮點功能包括:

  • 專業虛擬活動

Microsoft Teams 幾乎可以滿足各種類型的活動虛擬化需求。使用者可以利用 Microsoft Teams 自訂註冊頁面導流活動報名,並同步行事曆發會議通知;另外,也能設定與會者權限,主辦人有「主控制項」以管理廣大觀眾,像是停用出席者音訊、視訊和聊天功能,亦可使用「大廳控制項」以管理存取權。活動結束後,不只可以從會議詳細資料下載活動的錄製內容,並上傳至 Microsoft Stream 或者 OneDrive for Business 保存,Microsoft Teams 也提供簡單的會後報告,供主辦人參考並優化下一次的虛擬活動。

Photo Credit:Microsoft/從註冊報名的功能開始,即可使用 Microsoft Teams 開辦虛擬活動
  • 容納萬人的大型聚會

線上會議平台並不稀奇,不過往往功能陽春、同時上線人數有限,通常以 100 人為上限。Microsoft Teams 則可支援 1,000 人上線互動,且在僅供檢視(view-only)模式下,能容納最多 10,000 名與會者,非常適合線上大型聚會活動。

Photo Credit:Microsoft/Microsoft Teams 可支援多人大型聚會,在僅供檢視模式下可萬人與會
  • PowerPoint Live 簡報演示

Microsoft Teams 還有強大的簡報功能「PowerPoint Live」,可幫助簡報者在同一個會議視窗中,直接看到備忘錄、筆記註解、下一頁簡報、出席者影像、以及會議聊天室內容,在使用者展演簡報的同時,也完美場控。

Photo Credit:Microsoft/簡報者可以在一個頁面檢視簡報、下頁簡報、備忘筆記,以及與會者影像

註冊報名、開會平台都包辦!Microsoft Teams 的一站式解決方案

這裡細談一下 Microsoft Teams 作為一站式生產力溝通平台的特色。通常活動要臨時改為線上舉行時,許多人可能會利用線上表單或是網路售票平台,提供與會者註冊報名,然後另外再導流到其他 Webinar 平台,使得報名與活動頁本身可能不一致,主辦單位還要奔波於各種平台處理、統整報名人數等。

而 Microsoft Teams 的網路研討會功能的強大之處,就在於從註冊報名的頁面開始,就已經整合進虛擬活動的舉辦流程中,主辦者可以輕鬆設定註冊頁面、整合報名資訊,後續的網路研討會、會後追蹤等,都可以在熟悉的 Micorsoft Teams 介面完成。

用 Microsoft Teams 辦線上活動的三大適用場景

使用 Microsoft Teams,讓舉辦線上虛擬活動變簡單了。無論是對外的大型研討會,或是企業內部的小組會議,都可以藉由一站式平台控管參與人數、舉行活動、留存活動紀錄。且無論是 IT 技術、人資、行銷活動單位,都可以在 Microsoft Teams 同站搞定線上活動需求。Microsoft Teams 三種主要會議功能適用情境為:

  • 一般會議、遠距教學

常態的企業例行會議,像是教育訓練、董事會、小組會議等,都可以利用 Microsoft Teams 舉行,若會議中需要分組討論時,也提供虛擬分組討論室的功能。遠距教學也適用,教師可以利用簡報或是白板功能進行手寫的教學,也可以看到上課學生的即時影像,並點名學生回答問題並透過虛擬白板即時互動。

  • 網路研討會

企業法人說明會、媒體記者會、行銷活動等需要舉辦對外的活動,也可以利用 Microsoft Teams 作為一站式活動平台,完成報名註冊、管控參與人員、線上即時互動、會後追蹤等工作。

  • 大型線上活動

員工大會、尾牙、緊急公告,或學校畢業典禮等這類單向傳訊活動,也適用 Microsoft Teams。可容納 1,000 人線上即時互動、最多 10,000 人觀看會議的超寬限制,大型群聚無感染風險,方便又安全。

Photo Credit:Microsoft/教育工作者也可以善用 Microsoft Teams 進行遠距教學

既然實體活動停辦,不妨趁此機會了解更多關於線上會議、活動的操作方法,並避免線下群聚感染。利用 Microsoft Teams 創造凝聚的力量,透過科技讓生產力得以持續和延伸,讓人們的創意與智慧得以匯聚融合,相信我們很快就能度過疫情難關,並善用科技創造更多美好的事物。

網路研討會快速上手,立即下載 Microsoft Teams 使用手冊