推特名人账号大骗局告破,17岁美国少年或是主谋

7月31日,美国联邦调查局,国税局,特勤局和佛罗里达州执法机关逮捕了一名17岁美国少年格雷厄姆·克拉克(Graham Clark)。他被指控是策划推特史上最大的安全漏洞和隐私泄露案件的主谋。

在克拉克被逮捕后不久,美国司法部又对另外两名年轻人提出了指控:22岁的奥兰多少年尼玛·法泽利(Nima Fazeli)和19岁的英国少年梅森·谢普德(Mason Sheppard)。一名未披露身份的加利福尼亚未成年人也向联邦调查员承认,他/她帮助谢普德出售了推特账户的访问权限。

这还不算完。执法机构仍在调查这起惊人的推特账户被盗和比特币诈骗案,目标对象是推特内部员工。警方文件显示,克拉克很可能诱骗了一名在推特IT部门工作的员工,骗取了可以使用推特内部工具的凭据,直接以很高的权限实施盗窃和诈骗。

警方公布的资料写道:克拉克使用社会工程手段欺骗推特员工,使其相信他是IT部门的同事,诱导该员工提供内部工具的访问凭据,未经授权就获得了访问推特客服平台的权限。

随后,克拉克登录了很多名人和企业的账号,包括美国总统竞选者乔·拜登,前总统巴拉克·奥巴马,苹果公司等等。据推特统计,共有约130个账号遭到非法入侵,45个被用来发表推文,36个账号的私信被浏览。由于总统特朗普的账号有多重保护,因此没有受到影响。

图 | 推特官方给出的受影响账号

再之后的事情就广为人知了。

7月15日,许多知名人士、公司和机构的推特账号突然发出措辞相似的比特币推文,声称“自己要回馈社会:如果有人将比特币发送到某一地址,就会收到双倍返还的比特币”。

苹果、Uber、比特币官方账号(Bitcoin)、币安、Coinbase、马斯克、贝佐斯、比尔盖茨和奥巴马等官方认证账号都被卷入其中,好似一场放送比特币的狂欢派对。

可惜天上不会掉馅饼,如果你打钱了,就相当于白白把钱转到了别人的账户里,根本不会有双倍返还。如果不是这事儿闹得太大,鉴于比特币交易的特殊性,这笔钱基本上是石沉大海了。有经验的诈骗者会用购买礼品卡等手段将其洗白,追踪起来十分困难。

这其实是比特币诈骗中的最常见套路,几年前就已经出现了。有很多诈骗账号会将自己的名字和头像改成马斯克等名人,冒充他们发出这种推文。他们还会做出有模有样的倒计时网站,声称这个活动还有几分钟就要结束了,营造紧迫感。

但由官方认证的正牌账号发出这种推文还是头一遭。

图 | 部分受到影响的知名推特账号

执法机关披露的文件显示,在一天之内,克拉克等人总共收到了415笔转账,诈骗了价值超过11.7万美元的比特币

由此看来,再显眼的诈骗手段,也抵不过名人站台。

不过另一个关键问题仍然悬而未决:克拉克最开始是如何获得推特内部系统的访问权限的。

如前文所述,调查人员倾向于是社会工程技术,即诈骗者冒充同事或高管骗取员工信任,获取敏感数据、内部权限并实施诈骗,但具体是哪种手段仍在调查之中。推特的官方说法是遭受了“电话钓鱼攻击”,也有早期报道声称是推特内部Slack系统被入侵,甚至是有员工被贿赂。

联邦执法人员还透露了锁定几名嫌疑人的方法。谢普德使用了个人驾照在币安和Coinbase加密货币交易所进行了身份验证,其账户地址发送和收取了一部分被骗走的比特币。法泽利的情况类似,其Coinbase账户与其驾照绑定,被发现收取了比特币作为出售推特账户的酬金。

图 | 用来诈骗的网站长这样

法泽利和谢普德分别使用了网名“Rolex”和“ever so anxious”在Discord平台联络,不过他们只是中间人。调查人员认为,此案主谋是一个名为“Kirk”或“Kirk#5270”的黑客,就是他/她非法获取了推特内部工具的权限,然后找上了法泽利和谢普德帮他寻找下家,贩售特殊账号或者帮人重置账号的绑定邮箱。

目前尚不清楚已被拘捕的克拉克是否就是“Kirk#5270”,FBI表示案件仍在调查之中,但多项证据暗示两者就是同一个人。

警方获得的Discord聊天记录披露了更多细节。

“Kirk”最初向“Rolex”和“ever so anxious”表示自己的推特员工,可以修改任何账号的资料和推文,甚至是重新绑定邮箱。言语间满是得意,但没忘记让他们低调。

不过两人也都是老网民了,虚拟世界口说无凭,哪能直接相信。于是“Rolex”要来了两人的推特账户,直接用推特内部工具访问了账号,还展示了给停用一年多的账号重新绑定邮箱,“Kirk”最终赢得了两人的信任。

随后他们就开始谋划在OGUsers.com论坛出售账号,价格视账号是否知名,经过认证或者是原创账号(OG账号)而定,但“Kirk”坚持1000美元是起价,同时还有修改绑定邮箱服务,叫价250美元/账号。

图 | “Kirk”和“Rolex”的聊天记录

这种所谓的OG推特账号,字面意思是做原创内容的号,但可以引申出多种含义:有的类似于微博认证号(通常有大量关注者),有的类似于QQ靓号(比如@1234567),也有带有特殊含义或者特别酷的账号(比如@Cool)。

至少有两个账号被成功交易了,分别是“@obinna”和“@drug”。“ever so anxious”自己也买了一个名为“anxious”的账号——可能是为了与自己的网名相呼应。

另一个值得一提的细节是,警方之所以能这么快就锁定几人的真实身份,除了利用比特币地址和交易所信息,还用到了OGUsers论坛之前被泄露的数据。

2020年4月2日,OGUsers论坛遭到黑客攻击,所有用户的信息都泄露了,包括私人聊天记录,IP地址和电子邮箱等等,全部被黑客挂到了网上。对于一个游走在灰色地带的网站和上面的用户来说,几乎称得上是毁灭性打击。

更可怕的是,FBI借着黑客的光,顺手下载了一份数据库(这操作可以,很FBI)。

图 | “Kirk”和“Rolex”的聊天记录

没想到3个多月之后,这份数据就帮了FBI大忙。他们先找到谁发的贴子,然后直接在数据库里匹配IP地址和电子邮箱,简直不要太省事儿。

FBI还顺带翻了翻用户以前的聊天记录,恰好又找出几个比特币地址——它们都指向加密货币交易所里面的同一个账户,证据确凿。

目前,三人都面临洗钱和欺诈等指控,单项指控的刑期从5-20年不等,罚款也超过25万美元。其中克拉克一人就面临30项指控,包括有组织欺诈、通信欺诈,未经授权访问计算机或电子设备,欺诈性使用个人信息等等。

“这不是游戏……这些都是严重的罪行,会带来严重的后果,”佛罗里达检察官安德鲁·沃伦警告称,“如果你觉得自己可以在网上欺骗别人,拿到不义之财后溜之大吉,那就等着联邦特工早上6点钟去你家敲门吧。”

-End-

参考:

https://www.theverge.com/2020/7/16/21327769/twitter-bitcoin-scam-news-updates

https://www.nytimes.com/2020/07/17/technology/twitter-hackers-interview.html

https://www.wfla.com/news/hillsborough-county/tampa-teen-accused-of-being-mastermind-behind-twitter-hack-that-targeted-high-profile-accounts/