製造Twitter史上最大規模入侵事件的駭客落網了。
那是Twitter最黑暗的一天。美國前總統歐巴馬、股神巴菲特、微軟創辦人比爾.蓋茲、矽谷鋼鐵人馬斯克、世界首富貝佐斯等,美國重量級政商名流的Twitter帳號集體被盜,並且發送了一條比特幣詐騙訊息。
這次的駭客攻擊讓Twitter的安全系統變成了一個笑話。如今被抓獲,他們竟然分別是三名青少年:
- Graham Ivan Clark,事件的核心人物,居住在佛羅里達州,暱稱為「Kirk」的駭客,現年17歲。
- 美國的Nima Fazeli,化名「Rolex」,居住在佛羅里達州,現年22歲。
- 英國的Mason Sheppard,化名「Chaewon」,現年19歲。
而他們是如何完成了這場Twitter史上最大的駭客攻擊?卻又被抓獲的呢?
駭客落網
雖然這些駭客少年掌握了「核子武器」一般的力量,他們卻用來騙取比特幣。
加密貨幣號稱難以追蹤交易,但在加密貨幣交易所驗證身份卻需使用身份證件,美國調查部門便是從這裡找到了漏洞。
美國聯邦調查局表示,他們發現Sheppard使用了個人駕駛執照在Binance和Coinbase這兩家加密貨幣交易所進行身份驗證,並且發現他的帳戶已經發送和接收了一些騙取來的比特幣。
Fazeli也使用駕照向Coinbase進行身份驗證,調查稱他以化名「Rolex」控制的帳戶收到付款並換取被盜的Twitter用戶帳號。
調查部門還從Coinbase獲得了這些駭客所涉足的比特幣地址資訊,以及過去三名駭客在網路論壇Discord聊天和OGUsers論壇貼文中使用、提及的地址。
聯邦調查局對三個數據來源進行比對、追蹤三個網站上的駭客身份,並將它們連接到電子郵件和IP位址。
Fazeli在掩飾身份的方面還犯下了許多錯誤。首先,他使用一個郵件地址在OGUsers論壇上註冊了一個帳戶,使用另一個郵件地址來劫持Twitter帳號。
然而,他還使用相同的兩個電子郵件地址註冊Coinbase帳戶,隨後用駕照相片進行了驗證。
此外,Fazili還使用其家庭網路來連接三個網站上的帳戶,將其家庭IP地址保留在所有的紀錄中。
Sheppard也是如此,他化名Chaewon加入網路論壇OGUsers。他在駭客事件當天於網站上發布貼文,調查部門能夠將Sheppard的Discord用戶與其OGUsers用戶連結起來。
調查部門還透過OGUsers洩露的數據庫得到了確認,他們發現Chaewon在這裡購買了影音遊戲帳號,其比特幣地址與Twitter駭客當天使用的地址有關聯。
十七歲少年的騙術
在三名少年中,駭客事件的核心人物是Clark,他成功獲取了控制Twitter帳號的內部工具。
這名少年並非具有高超的電腦技術,而是擁有超出他年齡的騙術能力。
根據Twitter發布的訊息,Clark使用「電話釣魚」的詐騙形式,推測先是騙取一些Twitter員工的內部網路權限,進而了解Twitter內部的運作流程,並鎖定了有帳號控制工具的員工。
接著,他又藉助這些Twitter內部資訊,成功向第二批員工騙取了控制帳號工具的權限。消息稱他說服了一名曾在Twitter IT部門工作的員工,並欺騙了該員工給他提供權限。
然後,Clark進一步入侵大量政商名流的帳號,並在他們的Twitter帳戶上發布了一條詐騙訊息:如果將比特幣發送到帳戶,就雙倍返還給受害者。
獲得帳號權限後,Clark開始在網路論壇上出售Twitter帳號。Sheppard和Fazeli就是在此期間購買了帳號。
而Clark將騙取的資金轉移到另一個帳戶,實施詐騙期間獲得了大約117,000美元(約350萬台幣)。
據Twitter公布的調查結果:
駭客使用竊取工具鎖定130個Twitter帳號,用45個帳號發布推文,連接36個帳號的站內信箱,並下載了7個帳號的數據。
《紐約時報》調查發現,17歲的Clark也曾在微軟的遊戲Minecraft中騙取其他玩家的錢。而他的律師則稱,這名少年擁有價值超過300萬美元(約8,700萬台幣)的比特幣,並否認這些財富是透過詐騙獲取的。
超越年齡的重罪
儘管他們只是騙取比特幣,但他們所控制的名人帳號,真實力量足以擾亂金融市場,甚至有可能掀起社會混亂。
不論如何,他們都讓Twitter的安全系統變成了一個笑話。
Fazeli被判處五年徒刑和25萬美元(約730萬台幣)罰款。Sheppard被指控犯下電腦入侵、電信詐騙罪和洗錢罪,其中最嚴重的罪名在美國應判20年徒刑和25萬美元罰款。
罪魁禍首Clark目前已經入獄,並被指控犯下30項重罪,包括有組織的詐欺、通訊詐欺、身份盜竊和駭客攻擊等。
他被作為成年人指控——該案的檢察官表示:「這不是一個普通的17歲少年。」並且在新聞記者會中明確表示,執法部門正在衡量駭客入侵的嚴重後果。
法官決定將保釋金定為每一項罰款25,000美元,29項罰款總計72.5萬美元(約2,100萬台幣)。對於第30條指控,法官下令,如果Clark保釋,除了看醫生或律師之外,他必須戴上電子監控並限制於家中。
同時,法官也禁止他使用任何設備上網,並命令他如果擁有護照,必須交出護照。
Clark還沒有認罪,他的騙術細節也仍在調查之中。但從這次案件中可以看出,可怕的不是技術,而是人心。
責任編輯:文潔琳、蕭閔云
本文授權轉自:品玩PingWest
