Twitter比特币骗局指协调世界时2020年7月15日多个拥有数百万关注者的知名Twitter帐号遭他人盗用宣传比特币骗局的事件。入侵者诱惑用户向特定的密码货币钱包发送比特币,事后将会得到双倍返还。《Vice》和《TechCrunch》引述消息人士指,诈骗犯似乎利用社会工程学手段获取Twitter的管理工具,利用工具修改帐号,并直接发布推文,而他们可能是从带薪休假的Twitter员工或是被入侵的员工账户处直接获取该工具 。2020年7月31日,当局逮捕了三名被控电汇诈骗、洗钱、冒用身份及未经授权访问计算机罪的嫌疑人。
截至2020年7月16日,其中一个涉事地址已获得不只12个比特币,价值相当于11万美元。推文发布几分钟后,其中一个钱包地址已收到320多项交易。
计算机安全公司CrowdStrike(英语:CrowdStrike)的创始人迪米特里·阿尔佩罗维奇(英语:Dmitri Alperovitch)形容事件是“主流社交媒体平台迄今为止所遭受的最严重入侵”。安全专家担心社会工程学可能一直被用来执行黑客攻击,从而影响社交媒体在一些重大网络议题上所起的作用,包括2020年美国总统选举前夕的话题。
安全专家深入调查了此次骗局,发现最初发布诈骗信息的是一些名字只有一两个字符的账号,例如“@6”。随后一些加密货币服务的Twitter账号于UTC时间2020年7月15日20点相继发布信息,包括Coinbase(英语:Coinbase)、CoinDesk(英语:CoinDesk)和币安。之后信息转移至一些关注度较高的账号,其中最先发布诈骗推文的账号是埃隆·马斯克的,时间是UTC 20:17。其他名人的账号,如贝拉克·奥巴马、乔·拜登、比尔·盖茨、杰弗里·贝索斯、MrBeast、迈克尔·布隆伯格、沃伦·巴菲特、弗洛伊德·梅威瑟、金·卡戴珊和坎耶·韦斯特,以及公司账号,如苹果、优步和Cash App均遭到入侵。Twitter认为有130个账号受影响,但其中只有45个发布了诈骗信息,多数受影响的账号有至少100万关注者。
涉事推文表示,出于慈善目的,凡发送比特币者将获得双倍返还,以支持受2019冠状病毒病疫情影响的人士。推文还附上在多家加密货币公司开设的电子钱包链接,不过持有这些链接的网站在推文发出后不久关闭。尽管Twitter上“双倍返还比特币”的骗局屡见不鲜,但知名账户发布相关诈骗信息的情况却是第一次发生。安全专家认为诈骗犯利用骗局进行“砸橱窗抢劫”行动,即犯案者意识到入侵行动很快就会被制止,因而计划让百万关注者中的一小部分落入骗局,从而在短时间内赚到快钱。涉事比特币钱包有多个,最初公开的钱包获得超过11.8万美元的比特币,另转走6.1万美元,而第二个钱包由于Twitter采取措施删除推文,仅收到数千美元。尚未清楚上述款项是否由骗局策划者加入帐号,而众所周知比特币诈骗者会在启动计划前向钱包充钱,从而使得诈骗行动看起来合法。新增款项大多来自中国用户的钱包,只有约25%来自美国用户钱包。之后,诈骗者迅速用多个账号转移新增资金,以此掩盖身份。
部分遭入侵的账号在诈骗信息被删除后多次发布,而推文标签显示这些信息是经由Twitter网络应用程序发出的。其中一则诈骗信息在四小时内被发送3000次,每则信息均从不同国家的IP地址发出。由于内容重复,Twitter很快就识别并删除了这些信息,采取行动制止骗局。
到UTC时间21:45,Twitter发声明表示“已了解到影响Twitter账号的安全事件”,“正采取措施修复问题”。不久后,多个账号被禁止发布推文或修改密码功能。Twitter未确认哪些账号受到限制,但部分有认证的用户确认他们无法发表推文。首则诈骗信息发出后大约3个小时,Twitter表示已修复所有受影响的账号,将登录凭证交换账号的真正拥有者。当天晚些时候,Twitter总裁杰克·多西说公司遭遇了“艰难的一天”,对事件表示震惊,承诺在全面了解事件原委后公布实情。其中一间比特币交易所Coinbase将涉事地址栏入黑名单,防止资金被导入。他们表示已阻止1000多笔交易,总额超过28万美元。
除了发布诈骗信息,有8个被入侵帐号的数据遭下载,包括所有推文及私信记录,不过上述帐号为非认证用户。Twitter称,另有36个帐户的私信被查看但没有下载,包括荷兰议员海尔特·维尔德斯,不过亦相信没有其他现任或前任官员的私信被查看。
就在Twitter努力平息事态的时候,《Vice》联系到四名自称参与骗局的人士,并贴出四人拿到Twitter管理工具,可以更改部分受入侵账号级别设置,包括确认邮箱等功能的截图证据。凭借管理工具,入侵者可以更改确认电子邮箱,让其他有权访问该邮箱的人士重设密码,发布推文。几位黑客告诉《Vice》,他们贿赂了Twitter的内部员工,顺利拿到管理工具实施行动。
《TechCrunch》也发表了类似的报道,引用一名消息人士指部分信息是由黑客论坛“OGUsers”的一名用户发出的,该用户在网站上声称已骗取10万美元。该消息人士指,这位名叫“Kirk”的成员据称入侵了一个员工帐号获取Twitter管理工具后,最初随意请求接管帐号,后来转变策略专门针对加密货币公司的账号,从币安开始,之后转移到名人账号。该人士不认为“Kirk”贿赂了Twitter的员工。
Twitter账户“@6”一直以来由美国知名黑客阿德里安·拉莫持有,代表拉莫家运营账号的用户表示,黑客执行的行动可以绕过他们为账号设置的多重安全要素,包括多重要素验证,进而表示管理工具被用来绕过账号安全验证。白宫发言人表示,总统唐纳德·特朗普的账号可能是目标之一,但由于2017年的事件后被Twitter设置了额外的安全措施,因此未受入侵。
《纽约时报》证实了《Vice》和《TechCrunch》的报道,同时向涉事的类似背景人士及其他安全研究专家了解情况,其中专家曾发表类似证据截图的其他安全研究专家确认,这些截图曾在网上流传,但由于Twitter认为这些截图曝光了受入侵账号的个人细节而将之删除。《纽约时报》强调,受袭击的对象大多是在2019冠状病毒病疫情期间安排在家上班的公司,OGUsers的成员因而能访问Twitter员工的Slack通讯渠道,摸清从家中远程访问公司服务器的授权过程。Twitter之后确认已发现据信由成功入侵内部员工访问内部系统和工具的人士所发动的联合社会工程学袭击,表示除采取措施锁定受影响的认证账号外,会展开内部调查,在评估事态以及恶意用户是否破坏其他数据的过程中,限制员工访问管理工具
到7月17日晚,Twitter强调已经从媒体了解到情况,表示“袭击者成功操纵了少量员工,利用其凭据访问Twitter的内部系统,包括破解我们的双因素保护机制。截至目前,我们知道他们访问了仅内部支持团队能用的工具。”
彭博新闻社调查了Twitter的前任和现任员工,发现多达1500名Twitter员工及合作伙伴能够使用管理工具,执行和事件相同的重置账号操作。前员工告诉彭博社,直到2017年和2018年,拥有重置账号权限的员工会玩弄该工具,凭借其呈现的IP地址和地理位置信息等有限元素跟踪名人。Twitter发言人向彭博社表示,公司已进行“广泛的安全培训及管理监督”,监管使用该工具的员工和合作伙伴,目前尚无证据证明其客户服务与账户管理伙伴有参与其中。
安全研究专家布莱恩·克雷布斯(英语:Brian Krebs)向《TechCrunch》确认路透社称骗局起源于“OGUsers”组织的消息属实。该组织的论坛最初成立的目的是向短名称社交账号交易提供合法平台,其创始人向路透社表示走私靠黑客入侵得到的凭证是禁止的。而该论坛的截图显示有多个用户提供入侵Twitter账号的服务,要价2000到3000美元不等。克雷布斯表示其中一名会员可能参与了2019年8月入侵多西账号的行动。不过,创始人告诉路透社,截图中的账号自那时起被封禁。
案发翌日,联邦调查局表示正对骗局展开调查,指事件使得“加密货币诈骗常态化”,是一种犯罪行为。美国参议院情报专责委员会也计划就事件的其他信息质问Twitter,该委员会的副主席马克·沃纳表示:“不法分子迅速接管重要账号的能力预示着这种媒体环境存在脆弱性,不仅可以用于实施诈骗,还能够有效制造混乱、破坏和政治恶作剧”。英国国家网络安全中心(英语:National Cyber Security Centre (United Kingdom))表示正就事件联系Twitter。
2020年7月31日,美国司法部宣布逮捕涉及案件的三名嫌犯。一人为19岁英国公民,被控串谋欺诈、串谋洗钱以及故意访问受保护的计算机等罪名;一人为22岁佛罗里达州公民,被控协助和教唆他人跨国入侵计算机,两人会在美国加利福尼亚北区联邦地区法院受审。第三人为未成年人,由于年纪原因,其罪名由佛罗里达州少年法庭封存。负责监督该少年案件的佛罗里达州律师安德鲁·沃伦(Andrew Warren)表示,他们将以成年罪名对他进行审判,罪名涉及三十多项与重罪有关的指控,包括有组织的欺诈、通信欺诈、盗用身份和黑客攻击。然而涉案的佛州青少年于8月4日拒绝认罪。
受影响的用户保留转发推文的能力,使得NBC新闻临时设立未认证帐号继续转发主账号的“重要新闻”。美国国家气象局的部分预报员无法发布恶劣天气预警,其中伊利诺伊州林肯市的气象局就无法发布龙卷风警告(英语:tornado warning)。乔·拜登竞选团队向有线电视新闻网表示“正就事件联系Twitter”,指拜登的帐号“被封锁”。出于安全考虑,Google暂停在搜索结果中显示Twitter轮播内容,而Twitter也推迟计划的新版应用程序接口的上线。
事发当天,Twitter公司股票的收盘价(英语:Extended-hours trading)下跌4%。
安全专家表示,尽管事件对金融方面的冲击相对较小,但担心社交媒体被社会工程学手段入侵,所涉事公司的内部员工帐号唾手可得,会对社交媒体产生重大威胁,尤其是在2020年美国总统选举前夕,可能会引发国际事件。斯坦福大学国家安全与合作中心(英语:Center for International Security and Cooperation)教授亚历克斯·斯塔莫斯(英语:Alex Stamos)表示“Twitter已经成为政治精英之间进行讨论最重要的平台,有真正的漏洞”。
BitTorrent总裁孙宇晨悬赏100万美元通缉黑客。发布这则通告的是BitTorrent的Twitter账户,公告指孙宇晨“会亲自奖赏成功追踪并提供证据将策划袭击影响社区的黑客绳之以法的人士”。
事发第二周,斯蒂夫·沃兹尼亚克连同另外17人向Google发起诉讼,声称该公司未采取有效措施删除出现在YouTube上、用他及其他原告的名字声称他们支持骗局的比特币骗局视频。沃兹尼亚克的诉状指出,Twitter在事发当天便采取行动,而Google从未回应他和其他原告的请求。