2020年7月15日，多位美國(guó)名人政要的推特賬戶遭黑客入侵，發(fā)布詐騙話術(shù)和比特幣地址，而有的針對(duì)區(qū)塊鏈賬號(hào)的則發(fā)布了釣魚網(wǎng)站。

據(jù)統(tǒng)計(jì)賬號(hào)遭黑客入侵的人士包括美國(guó)前總統(tǒng)奧巴馬、民主黨總統(tǒng)候選人拜登、微軟公司創(chuàng)始人比爾·蓋茨、亞馬遜公司創(chuàng)始人杰夫·貝佐斯、金融大亨沃倫·巴菲特、特斯拉CEO埃隆·馬斯克、紐約市前市長(zhǎng)邁克爾·布隆伯格、歌手坎耶·韋斯特、美國(guó)社交名媛金·卡戴珊等。

美國(guó)前總統(tǒng)奧巴馬

民主黨總統(tǒng)候選人拜登

特斯拉和SpaceX創(chuàng)始人埃隆·馬斯克

比較特殊的一個(gè)案例中，攻擊者還使用了SamSheffer的賬號(hào)發(fā)了問號(hào)，然后用馬斯克的賬號(hào)回復(fù)了他。

推特官方表示正在對(duì)此事進(jìn)行調(diào)查，推特的部分功能將受限，推特認(rèn)證賬號(hào)將無(wú)法發(fā)布推文或者重置密碼。

攻擊手法分析

攻擊手法有兩種，一種是直接發(fā)布比特幣地址，要求轉(zhuǎn)賬，話術(shù)基本為充多少錢返回多少多少錢的套路，如：我們已決定回饋社區(qū)，所有發(fā)送到我們地址的比特幣將返回一倍!

第二種是發(fā)布釣魚鏈接，該鏈接里面內(nèi)嵌了攻擊者的BTC地址，同樣也是充多少返多少的套路。這類攻擊的目標(biāo)均為比特幣交易所或比特幣大V，如@bitcoin，@ripple，@coindesk，@ coinbase 和@binance，話術(shù)均為 “我們已與CryptoForHealth合作，并向社區(qū)返還了5000 BTC，”其后是釣魚鏈接。

釣魚網(wǎng)站網(wǎng)站標(biāo)題為COVID 19 GIVEAWAY(禮物)

界面如下所示，中文翻譯：

我們相信區(qū)塊鏈和比特幣將使世界更加公平和開放。 當(dāng)前的金融體系已經(jīng)過時(shí)，COVID-19對(duì)傳統(tǒng)經(jīng)濟(jì)造成了嚴(yán)重破壞，以幫助他們渡過難關(guān)。對(duì)于COVID19，Huobi，Kucoin，Kraken，Gemini，Binance，Coinbase和Trezor攜手回饋社區(qū)，我們決定使用5000 BTC贈(zèng)品。

要參加，您只需將〜0.1 BTC發(fā)送到20 BTC到捐款地址，我們會(huì)立即將您退回0.2 BTC到40 BTC到您的賬戶。

代碼如下：

此外，代碼顯示，只要在界面進(jìn)行復(fù)制操作，都會(huì)顯示需要轉(zhuǎn)賬的比特幣地址。

為了彰顯真實(shí)感，攻擊者還偽造了多起交易記錄，證明已經(jīng)有人轉(zhuǎn)賬。

但實(shí)際上，也確實(shí)有人轉(zhuǎn)賬，截止目前，查看攻擊者比特幣賬戶，目前已經(jīng)收益12BTC，約合人民 幣77萬(wàn)，目前已經(jīng)通過多個(gè)比特幣地址幾乎全部轉(zhuǎn)出。

比特幣地址接力式轉(zhuǎn)賬：

攻擊資產(chǎn)分析

整起攻擊事件都可以看出，攻擊者為此事做的大量準(zhǔn)備，包括所有網(wǎng)絡(luò)資產(chǎn)均為2020年7月15日當(dāng)天注冊(cè)，可謂是做好了”破釜沉舟，背水一戰(zhàn)”。

域名資產(chǎn)cryptoforhealth.com由NameSilo域名提供商注冊(cè)，采取了加密貨幣相關(guān)域名。該注冊(cè)商稱發(fā)現(xiàn)詐騙后第一時(shí)間將該域名下線。

IP網(wǎng)絡(luò)資產(chǎn)均在7月15日當(dāng)日解析到該域名，且多次更換，使用的均為CloudFlare網(wǎng)絡(luò)節(jié)點(diǎn)。

• 172.64.200.24
• 172.64.201.24
• 104.27.163.136
• 172.67.192.34
• 104.27.162.136
• 104.31.239.10
• 104.31.238.10

追蹤難度較大。

目前該網(wǎng)站已經(jīng)下線，為防止攻擊者后續(xù)會(huì)使用該攻擊資產(chǎn)進(jìn)行下一步攻擊，奇安信威脅情報(bào)中心已經(jīng)將該釣魚網(wǎng)站以及攻擊者的網(wǎng)絡(luò)資產(chǎn)加入威脅情報(bào)庫(kù)

ti.qianxin.com

內(nèi)鬼作案

有消息人士稱，這些帳戶是使用Twitter的內(nèi)部工具接管的，該工具的屏幕截圖在黑客社區(qū)。

屏幕截圖之一顯示面板和Binance帳戶，Binance是這起事件中被黑客接管的帳戶之一。從屏幕截屏可見，至少有一些帳戶似乎已通過使用該工具更改與它們相關(guān)聯(lián)的電子郵件地址而被盜用。

目前推特方面稱，該公司仍在調(diào)查該員工是否自己劫持了帳戶或讓黑客訪問了他們的內(nèi)部賬號(hào)管理工具。目前安全研究人員發(fā)現(xiàn)，攻擊者已完全控制了受害者的帳戶，并且還更改了與該帳戶關(guān)聯(lián)的電子郵件地址，以使真實(shí)用戶更難重新獲得訪問權(quán)限。

總結(jié)

轉(zhuǎn)賬比特幣可以翻倍賺錢的騙局一直都存在，并且也一直在推特流傳，甚至此前還有偽造名人的推特賬號(hào)從而進(jìn)行詐騙的案子。但根據(jù)本次攻擊者的攻擊手段而言，如此大規(guī)模劫持名人的真實(shí)賬號(hào)進(jìn)行發(fā)布，尤其是連比特幣這種官方大號(hào)都發(fā)布釣魚網(wǎng)站的情況下，對(duì)于想投機(jī)賺錢的，且剛好擁有BTC地址的粉絲，誘惑力極大，從僅僅半小時(shí)就籌集了12個(gè)BTC便可以看出其威力。

因此，奇安信威脅情報(bào)中心友情提醒，天下沒有白吃的午餐，遇到需要付錢轉(zhuǎn)賬，尤其是需要比特幣轉(zhuǎn)賬的時(shí)候務(wù)必要謹(jǐn)慎，防止上當(dāng)受騙。