一、黑客入侵推特名人帳號欺詐風波
為了阻止黑客進行一場大規模的加密貨幣欺詐,推特公司在上週封鎖了數千社會名流和企業高管的認證帳號。一個未知黑客團伙成功設法訪問了推特公司內部工具並獲取了安全權限從而入侵了內部系統,許多名人帳號則淪為了受害者。 攻擊在美國東部時間下午3點左右開始,被劫持的帳號包括蓋茨,馬斯克,拜登,金卡戴珊,巴菲特,貝索斯,奧巴馬等等。這些被劫持的帳號都發送了一條欺詐消息,承諾將雙倍奉還發送至指定加密貨幣錢包的比特幣。例如,比爾蓋茨的帳號發推道:“人們總是叫我回饋社會,現在是時候了,在接下來30分鐘內任何發送至我比特幣錢包的加密貨幣,我都將雙倍奉還。”
據彭博社在美東時間下午4點45分報導,黑客指定的CryptoForHealth電子錢包收到了12個比特幣,大約價值11萬美元。“這一切絕對是史無前例的,”來自安全公司Tenable的研究人員表示,“我們從未見過如此多的推特帳號同時被劫持。”
推特公司在周三夜間發出了一系列推特解釋到,黑客入侵這些帳號時使用的是社會工程學攻擊。“根據我們監測到的訊息,我們相信有人計劃安排了一場社會工程學攻擊,並成功攻擊了部分有權限訪問內部系統和工具的員工,”公司的推特消息說道,“目前我們確認攻擊者利用這些權限控制了許多廣受人們關注的認證帳號並以他們的名義發送推特消息。”
在帳號接管發生之前,一些活躍在“SIM卡調換”社區的黑客在推特上公佈了推特公司內部數據儀錶盤的截圖。這些可能就是被用來發動週三攻擊的工具,允許攻擊者劫持推特帳號、綁定新的電子信箱地址以及繞開雙重登錄驗證保護。
與此同時,媒體公司Motherboard則在調查中看到了不太一樣的故事。該公司也同樣表示推特公司內部工具的截圖在攻擊發生之前就出現在了地下黑客論壇中,公司還自稱擁有來自攻擊團伙內部的消息來源,說他們僅僅是通過賄賂了一名推特員工就完成了任務。
推特公司否定了員工惡劣行為這一言論,堅持其員工是受到了社會工程學攻擊。公司在周末發表了一份總結,表示攻擊者並沒有成功獲取帳號的密碼,這些密碼並非以明文方式儲存,而且攻擊者使用的內部工具也無法獲取密碼。對於那些被控制的帳號,攻擊者可能得以瀏覽更多訊息,公司還在對此進行取證調查。
“此次推特攻擊事件讓我十分擔心,”有美國參議員在周四的一份媒體聲明中說道,“儘管攻擊看上去出於經濟目的並對推特用戶造成了相關威脅,但是設想一下,如果攻擊者懷有其他企圖,他們可能會利用這一強力發聲工具來傳播虛假訊息,並影響我們的選舉、擾亂股票市場或者破壞國際關係。”
網路安全專家Melody Kaufman說道:“我認為這不只是一場比特幣詐騙,而是一次證明,證明了高知名度的帳號是存在安全隱患的,並且會被他人利用來發表反動言論。比特幣很好地掩蓋了真正的動機,因為從旁觀者看來攻擊者已經達到了目的。”
毫無疑問,在2020推特大型黑客攻擊事件真相大白之前,我們無從知曉推特公司是否有能力完全消除這些疑慮。
二、以亞馬遜為主題的網路釣魚攻擊能繞過安全檢測
在COVID-19疫情期間,亞馬遜已經成了人們生活中不可或缺的一部分,人們在該平台訂購從麵包到健身器材的各種商品。而騙子深知大家的電子信箱中滿是和快遞相關的郵件,並在它們的掩護下將亞馬遜變為網路郵件釣魚的誘餌。
據Armorblox公司稱,一種攻擊方式是告知收件人如果不在三天內更新支付訊息其訂單就會被取消,這有助於製造緊迫感——網路釣魚慣用的伎倆。它還附有一條“更新亞馬遜帳單訊息”的連結,如果受害者點擊了連結就會進入一個冒充亞馬遜的網站,攻擊者用其來竊取登錄訊息、帳單地址和銀行卡訊息。攻擊完成之後受害者會跳轉至真正的亞馬遜主頁,於是他們壓根不會察覺到攻擊。
在另一種攻擊方式中,攻擊者在郵件中自稱是為了某個亞馬遜快遞訂單而聯絡受害者,郵件中附有“防詐騙團隊”的電話號碼。“攻擊者建立了一條電話線來完成整個攻擊,”Armorblox聯合創始人說道,“我們的研究人員使用Google Voice撥打了該號碼,有個冒充是亞馬遜防欺詐團隊的人接了電話。他們在詢問了帳單號碼、姓名和信用卡訊息之後便掛斷電話並將我們的號碼加入了黑名單。整個電話釣魚的過程中可能也會涉及到竊取其他個人敏感訊息。”研究人員指出,由於這是一種電話釣魚攻擊,郵件本身並不含有任何惡意或可疑的連結,因此它能夠通過阻攔有害連結的過濾器和分析引擎。
三、CVE-2020-1350:Windows域名伺服器的安全漏洞
微軟公司報告了Windows域名伺服器中的安全漏洞CVE-2020-1350。壞消息是,這個漏洞在通用安全漏洞評分系統中獲得了10分,所以其威脅很大。好消息是,只有當系統以域名伺服器模式運行時,網路不法分子才能利用這個安全漏洞入侵電腦,也就是說有潛在安全隱患的電腦相對較少,而且微軟公司已經發佈了更新檔程式和應對方法。
不法分子可以通過CVE-2020-1350漏洞在運行Windows伺服器系統的域名伺服器上遠程執行惡意代碼,因此這個漏洞歸屬於遠程代碼執行漏洞一類,攻擊者只需要向域名伺服器發送特殊構造的請求即可利用此漏洞。
所有版本的Windows伺服器系統都存在該漏洞,但是只有運行在域名伺服器模式下時漏洞才能被觸發。如果你的企業沒有設立域名伺服器,或者域名伺服器使用的是其他操作系統,那麼你不用為此漏洞擔心。
最好的應對方法是安裝微軟公司的更新檔程式來更改域名伺服器處理請求的方式,大家可以在微軟公司關於該漏洞的頁面下載更新檔程式。