馬斯克、貝佐斯帳號他都盜！揭露Twitter史上最大駭客入侵案背後，17歲主謀的驚人騙術

製造Twitter史上最大規模入侵事件的駭客落網了。

那是Twitter最黑暗的一天。美國前總統歐巴馬、股神巴菲特、微軟創辦人比爾．蓋茲、矽谷鋼鐵人馬斯克、世界首富貝佐斯等，美國重量級政商名流的Twitter帳號集體被盜，並且發送了一條比特幣詐騙訊息。

圖／ 截圖自Twitter

延伸閱讀：馬斯克高調徵收比特幣？Twitter社群名人集體遭駭，比爾蓋茲、歐巴馬都中標

這次的駭客攻擊讓Twitter的安全系統變成了一個笑話。如今被抓獲，他們竟然分別是三名青少年：

• Graham Ivan Clark，事件的核心人物，居住在佛羅里達州，暱稱為「Kirk」的駭客，現年17歲。
• 美國的Nima Fazeli，化名「Rolex」，居住在佛羅里達州，現年22歲。
• 英國的Mason Sheppard，化名「Chaewon」，現年19歲。

而他們是如何完成了這場Twitter史上最大的駭客攻擊？卻又被抓獲的呢？

駭客落網

雖然這些駭客少年掌握了「核子武器」一般的力量，他們卻用來騙取比特幣。

加密貨幣號稱難以追蹤交易，但在加密貨幣交易所驗證身份卻需使用身份證件，美國調查部門便是從這裡找到了漏洞。

美國聯邦調查局表示，他們發現Sheppard使用了個人駕駛執照在Binance和Coinbase這兩家加密貨幣交易所進行身份驗證，並且發現他的帳戶已經發送和接收了一些騙取來的比特幣。

Fazeli也使用駕照向Coinbase進行身份驗證，調查稱他以化名「Rolex」控制的帳戶收到付款並換取被盜的Twitter用戶帳號。

調查部門還從Coinbase獲得了這些駭客所涉足的比特幣地址資訊，以及過去三名駭客在網路論壇Discord聊天和OGUsers論壇貼文中使用、提及的地址。

聯邦調查局對三個數據來源進行比對、追蹤三個網站上的駭客身份，並將它們連接到電子郵件和IP位址。

Fazeli在掩飾身份的方面還犯下了許多錯誤。首先，他使用一個郵件地址在OGUsers論壇上註冊了一個帳戶，使用另一個郵件地址來劫持Twitter帳號。

然而，他還使用相同的兩個電子郵件地址註冊Coinbase帳戶，隨後用駕照相片進行了驗證。

此外，Fazili還使用其家庭網路來連接三個網站上的帳戶，將其家庭IP地址保留在所有的紀錄中。

Sheppard也是如此，他化名Chaewon加入網路論壇OGUsers。他在駭客事件當天於網站上發布貼文，調查部門能夠將Sheppard的Discord用戶與其OGUsers用戶連結起來。

調查部門還透過OGUsers洩露的數據庫得到了確認，他們發現Chaewon在這裡購買了影音遊戲帳號，其比特幣地址與Twitter駭客當天使用的地址有關聯。

十七歲少年的騙術

在三名少年中，駭客事件的核心人物是Clark，他成功獲取了控制Twitter帳號的內部工具。

這名少年並非具有高超的電腦技術，而是擁有超出他年齡的騙術能力。

根據Twitter發布的訊息，Clark使用「電話釣魚」的詐騙形式，推測先是騙取一些Twitter員工的內部網路權限，進而了解Twitter內部的運作流程，並鎖定了有帳號控制工具的員工。

接著，他又藉助這些Twitter內部資訊，成功向第二批員工騙取了控制帳號工具的權限。消息稱他說服了一名曾在Twitter IT部門工作的員工，並欺騙了該員工給他提供權限。

然後，Clark進一步入侵大量政商名流的帳號，並在他們的Twitter帳戶上發布了一條詐騙訊息：如果將比特幣發送到帳戶，就雙倍返還給受害者。

獲得帳號權限後，Clark開始在網路論壇上出售Twitter帳號。Sheppard和Fazeli就是在此期間購買了帳號。

圖／ 品玩

而Clark將騙取的資金轉移到另一個帳戶，實施詐騙期間獲得了大約117,000美元（約350萬台幣）。

據Twitter公布的調查結果：

駭客使用竊取工具鎖定130個Twitter帳號，用45個帳號發布推文，連接36個帳號的站內信箱，並下載了7個帳號的數據。

《紐約時報》調查發現，17歲的Clark也曾在微軟的遊戲Minecraft中騙取其他玩家的錢。而他的律師則稱，這名少年擁有價值超過300萬美元（約8,700萬台幣）的比特幣，並否認這些財富是透過詐騙獲取的。

超越年齡的重罪

儘管他們只是騙取比特幣，但他們所控制的名人帳號，真實力量足以擾亂金融市場，甚至有可能掀起社會混亂。

不論如何，他們都讓Twitter的安全系統變成了一個笑話。

Fazeli被判處五年徒刑和25萬美元（約730萬台幣）罰款。Sheppard被指控犯下電腦入侵、電信詐騙罪和洗錢罪，其中最嚴重的罪名在美國應判20年徒刑和25萬美元罰款。

罪魁禍首Clark目前已經入獄，並被指控犯下30項重罪，包括有組織的詐欺、通訊詐欺、身份盜竊和駭客攻擊等。

圖／ 品玩

他被作為成年人指控——該案的檢察官表示：「這不是一個普通的17歲少年。」並且在新聞記者會中明確表示，執法部門正在衡量駭客入侵的嚴重後果。

法官決定將保釋金定為每一項罰款25,000美元，29項罰款總計72.5萬美元（約2,100萬台幣）。對於第30條指控，法官下令，如果Clark保釋，除了看醫生或律師之外，他必須戴上電子監控並限制於家中。

同時，法官也禁止他使用任何設備上網，並命令他如果擁有護照，必須交出護照。

Clark還沒有認罪，他的騙術細節也仍在調查之中。但從這次案件中可以看出，可怕的不是技術，而是人心。

責任編輯：文潔琳、蕭閔云
本文授權轉自：品玩PingWest