Twitter 集體帳號被盜,幕後駭客去年已入侵執行長帳號

美國資安調查記者 Brian Krebs 整理了 Twitter 集體帳號被盜事件的時間軸。
評論
▲Photo Credit: Shutterstock/ 達志影像
▲Photo Credit: Shutterstock/ 達志影像
評論

上週三推特(Twitter)爆發集體盜帳號事件,週末時 Twitter 也發布官方聲明,表示駭客是透過「社交工程」(social engineering scheme)模式取得內部員工信任、獲得系統高級權限後,再入侵 Twitter 內部系統。

而美國資安調查記者 Brian Krebs 在個人網站 Krebs on Security 指出,駭客除了透過社交工程取得他人信任,也藉由「SIM 卡調換」(SIM swapping)攻擊模式成功矇騙電信業者,並將鎖定的目標電話號碼轉移到駭客所控制的 SIM 卡裡。

這起事件的時間軸如下:

1. Twitter 帳號集體被盜的前幾天

在駭客們的 SIM 卡調換社群裡,有位名稱為 Chaewon 的使用者發文說,自己可以更改任何與 Twitter 帳號綁定的電子郵件,每次價格 250 美元,代表當時已經有相關交易在黑市流竄。

2. 上週三(帳號集體被盜當天)事件爆發的前幾個小時

因為駭客青睞某些擁有短名稱的社群帳號,例如:@B 或 @joe 等,這種帳號在 SIM 卡調換攻擊手法的圈子裡進行地下交易時可以賣到更高價錢。而這時駭客已經入侵了某些短名稱的社群帳號,其中有一個被入侵的帳號就是「@6」。

@6 帳號是由曾駭入《紐約時報》而被 FBI 盯上的知名駭客 Adrian Lamo 所擁有,但他在 2018 年過世後,該帳號就改由其朋友 Lucky225 所管理。

Lucky225 說,在美東時間上週三下午 2 點前,他收到 @6 帳號的密碼重置確認代碼。雖然他並沒有主動修改密碼,但因為駭客可以修改 @6 帳號所綁定的電子郵件,因此這個一次性的身份驗證代碼除了發送到他綁定的裝置裡,也發送到駭客後來新增的電子郵件地址。

3. 前知名駭客的 Twitter 被盜之後

這時候,有一個 Twitter 帳號 @shinji 發布一則內部擷圖,可以看到他那時剛新增一條「關注 @6 帳號」的動態(現在帳號 @shinji 已經被 Twitter 終止)。

從網際網路檔案館(Internet Archive)可以查到,這位 shinji 聲稱擁有兩個 Instagram 短帳號「joe」和「dead」的所有權。

而根據美國最大行動營運業者之一的資安部門員工透露,這兩個 Instagram 帳號「joe」和「dead」都與由暱稱為 PlugWalkJoe 所建立的惡名昭彰 SIM 卡交換器綁定。

截圖_2020-07-20_下午6_25_43
▲Photo Credit: 擷取自 Internet Archive

4. 找到 PlugWalkJoe,21 歲大學生

PlugWalkJoe 是誰呢?調查員認為,他就是 2019 年時曾經以 SIM 卡調換攻擊手法入侵 Twitter 執行長 Jack Dorsey 帳號的駭客之一;而在現實世界裡, PlugWalkJoe 的本名其實是 Joseph James O’Connor。

Joseph James O’Connor 年僅 21 歲,來自英國利物浦,前陣子在西班牙讀大學,但因為 COVID-19 疫情影響導致短期內無法回家。調查員認為,他就是該起事件幕後人物之一。

不過評論倒是蠻樂觀,認為得感激老天,因為這起事件只是比特幣詐騙,駭客並沒有把攻擊目標轉到更嚴重的領域,例如:選舉、股票市場,甚至是盜用世界領導人帳號,再發布煽動性假貼文來引起戰爭等等。

核稿編輯:Mia

延伸閱讀: