近日,纽约金融服务管理局发布了7月15日推特安全事件的调查报告,全面还原了黑客攻击的细节和全过程。没有复杂技术的攻击方法揭示了Twitter平台中令人震惊的安全漏洞。一、事件概要2020年7月15日,一名17岁的黑客及其同伙侵入推特网络,控制了数十名大V用户的推特账号。全世界都在关注公开的网络攻击:几个小时内,黑客接管了多位政治家、名人和企业家的Twitter帐户,包括巴拉克奥巴马、金卡戴珊韦斯特、杰夫贝索斯和埃隆马斯克,以及纽约国务院监管的几家加密货币公司金融服务部,在推特上发布了一个“双倍你的比特币”骗局。面对黑客攻击,Twitter显得无能为力。就货币价值而言,黑客窃取了价值超过118,000美元的比特币。但更重要的是,安全事件暴露了全球社交媒体平台的漏洞——推特平台月活跃用户总数超过3.3亿,日活跃用户超过1.86亿,其中超过3600万(20%)。简而言之,Twitter在我们的交流和新闻发布中扮演着核心角色。超过一半的美国成年人“经常”或“有时”从社交媒体获取新闻。Twitter是一家市值370亿美元的上市科技公司,它可以轻松侵入其网络并获得内部工具的访问权限,从而使黑客能够接管任何Twitter用户的帐户。值得注意的是,攻击Twitter的黑客并没有使用网络攻击中经常利用的高科技或复杂技术——没有恶意软件、没有漏洞利用、没有放置后门。黑客使用的基本技术更类似于传统的欺骗艺术:打电话给假装来自TwitterIT部门的人。黑客通过这种简单的策略获得了非凡的访问权限,突显了Twitter网络安全方面的漏洞以及潜在的破坏性后果。Twitter黑客事件的影响远远超出了欺诈本身:社交媒体已被用来操纵市场和干预选举,所需要的只是一个被黑客入侵的账户或一组虚假账户。如果危险的“黑客”获得相同的访问权限(控制任何Twitter用户帐户的权利),他们可能会造成更大的危害。推特安全事件表明,我们需要部署强有力的网络安全措施来遏制主要社交媒体平台成为潜在的攻击武器,但监管机构显然还没有准备好应对社交媒体带来的新挑战。政策制定者关注大型社交媒体公司的反垄断和内容审核问题。对于具有系统重要性的大型社交媒体公司来说,网络安全也应该是必备的能力。2、推特平台从2006年7月起,推特开始运营www.twitter.com。作为社交网络和微博网站,用户可以通过电子邮件和文本向“粉丝”(即已注册接收博客的用户)发送“推文”——不超过280个字符(以前为140个字符)的简短博文职位)。Twitter用户可以通过网站或移动应用程序关注其他个人、企业、媒体、政府或非营利实体。推特负责维护内部账户管理工具,以管理与推特用户账户相关的各种问题。Twitter向授权员工发放用户名和密码以访问内部帐户管理工具。7月15日在Twitter上发布的屏幕截图显示了黑客访问的内部工具。一些内部工具包含有关所有Twitter用户帐户的非公开信息,包括与帐户相关的电子邮件、电话号码和用户登录的互联网协议(“IP”)地址。根据用户请求,授权的Twitter员工使用内部工具更新电子邮件地址,重置忘记或过期的密码,以及启用或禁用多因素身份验证(“MFA”)——一种额外的安全层,它依赖于自动生成的号码来访问帐户。Twitter员工还使用内部工具禁止或限制某些推文或某些用户帐户发推文。这种限制可以是为了满足某些国家当地法律的要求,也可以是为了惩罚违反推特规则的用户。3.还原入侵事件的真相攻击者使用欺诈手段获得了对Twitter网络和内部应用程序的访问权。2020年7月14日至15日,黑客攻击了Twitter。此次安全事件分为三个阶段:第一阶段,通过社会工程学攻击获得对推特网络的访问权限;第二阶段,接管理想用户名的账户,出售这些账户的权限;第三阶段,接管了数十个备受瞩目的Twitter帐户,并试图诱骗人们向黑客发送比特币。所有这一切都发生在大约24小时内。第一阶段:通过社会工程学窃取证书推特入侵事件始于2020年7月14日下午,当时至少有一名黑客致电多名推特员工,自称是推特IT部门的服务人员。黑客声称打电话是为了帮助解决Twitter在其虚拟专用网络中遇到的问题。自从转向远程工作以来,VPN问题在Twitter员工中很常见。然后,黑客试图将该员工引导至一个看起来与合法的TwitterVPN站点相同并且具有非常相似域名的网络钓鱼站点。当员工在钓鱼网站上输入他们的帐户密码时,黑客会同时将该信息输入到真实的Twitter网站。这个假登录生成了一个MFA(多因素身份验证)通知,要求员工验证他们的身份,一些员工这样做了。在调查期间,纽约州金融服务部没有发现Twitter员工有意协助黑客的证据。相反,黑客使用员工的个人信息来说服他们是合法和可信的。一些员工向Twitter的内部欺诈监控团队报告了这些电话,但至少有一名员工相信了黑客的谎言。第一位账户被黑的Twitter员工无法使用内部工具来接管Twitter用户账户。黑客不得不使用这个最初的受害者账户来浏览Twitter的内部网站,以获取有关Twitter信息系统的更多情报。黑客查看了Twitter的内部网站,其中包含有关如何访问其他内部应用程序的信息。7月15日,黑客将能够访问内部工具的Twitter员工作为目标。其中一些属于负责响应全球法律请求(例如法院命令或内容删除请求)以及制定和执行政策以防止滥用在线行为的部门。第二阶段:窃取Twitter旧账户在获得接管Twitter用户账户的能力后,黑客首先将目标锁定在所谓的“原始黑帮”OG账户上,这些账户的名称通常由单个单词、字母或数字组成,属于早期的Twitter用户。任何成功劫持旧帐户的人都可以将其出售以数千美元的价格作为后续用户垂涎的在线信誉标志。2020年7月15日凌晨3:00至10:00,黑客讨论通过实时聊天接管和出售Twitter资深用户名以换取比特币,Twitter确认多个账户遭到入侵。然而,很快,黑客们开始使用更公开的方式来证明他们已经成功渗透了Twitter的内部系统。下午2点之前7月15日,黑客劫持了更多资深推特账号,并将部分账号的内部工具截图发送给相应账号在推特上的粉丝。第三阶段:备受瞩目的比特币骗局在最初的渗透之后,黑客扩大了他们的Twitter活动。值得注意的是,现阶段黑客针对的是“大V”账户,这些账户被推特定义为“公益账户”,通常是“由音乐、演艺、时尚、政府、政治、宗教、用户维护等贡献的”新闻、媒体、体育、商业和其他主要兴趣领域”。影响者账户以蓝色验证徽章区分,“让人们知道公益账户是真实的。”作为在线社交媒体平台的精明用户,黑客可能知道来自影响者帐户的推文会骗取他们的比特币。显得更加合法。黑客首先操纵了与知名加密货币公司和个人相关的推特账户。下午2点16分左右,黑客劫持了加密货币交易员“@AngeloBTC”的账户,并在推特上发布了以下要求比特币的公告。随后,黑客通过“@AngeloBTC”账户向多个推特用户发送了多条私信,其中包含比特币钱包的支付链接。黑客升级了他们的Twitter攻击,改变了骗局计划,并直接转发了被黑加密货币公司的推文,包括支付请求。下午3点18分左右,黑客入侵了加密货币交易所Binance的账户,并发送了包含比特币诈骗地址链接的推文。下午3:26之间下午4点12分,黑客劫持了10个与加密货币相关的账户(包括政府监管的实体Coinbase、GeminiTrustCompany和SquareInc.),并发送了不同版本的消息。接下来,攻击者将所有鸡蛋放在一个篮子里,并以拥有数百万粉丝的影响者的Twitter帐户为目标。下午4:17之间和下午6点05分,黑客使用受感染的知名个人和公司帐户发送推文,例如特斯拉公司首席执行官埃隆马斯克、微软公司联合创始人比尔盖伊兹、说唱歌手兼企业家坎耶韦斯特和媒体名人、企业家KimKardashianWest、民主党总统候选人JosephBidenJr.、BerkshireHathawayWayCompany首席执行官WarrenBuffett、不败的职业拳击手FloydMayweatherJr.、Uber和Apple。黑客还使用一些受感染的帐户多次转发同一条比特币诈骗推文。考虑到每个知名用户帐户的关注者数量,这些诈骗推文会影响全球数百万潜在受害者。黑客通过Twitter黑客窃取了价值约118,000美元的比特币。4、推特入侵事件中用户非公开信息曝光,130个推特用户账号被盗。其中45个帐户用于发送推文。对于涉及的7个Twitter帐户,黑客还通过Twitter的“YourTwitterData”(YTD)工具下载了帐户信息,该工具提供了Twitter帐户上活动的详细信息和摘要。YTD中的信息包括用户的个人资料信息、推文、私信、媒体(包括推文和私信附带的图片、视频和GIF)、帐户的关注者列表、用户关注的帐户列表、用户的通讯录、人口统计信息推特推断用户、用户在推特上看到或参与的广告信息等。用户可以通过登录账户,输入账户密码,然后提交申请获得YTD。黑客利用内部工具为7个账号申请了YTD并下载了数据,另有52个账号申请了数据却没有下载。推特证实,它直接联系了年初至今被下载的所有账户的所有者。这7个账号都不是大V账号。推特认为,在130个目标账户中,多达36个的私人消息收件箱被黑客访问,其中包括荷兰一名民选官员的账户。在Twitter遭到黑客攻击后的一周内,荷兰政客GeertWilders向多个新闻来源证实,未经授权的私人消息是从他的Twitter帐户发送的。据Twitter称,没有其他前任或现任民选官员的私人信息收件箱被访问。5.Twitter的回应Twitter最早是在7月15日上午得知这次攻击的,当时几名员工报告了可疑的登录和电话。这家加密货币公司的账户在下午3点18分左右被接管,Twitter的内部事件响应团队仍在调查可疑电话。他们紧急响应,但花了数小时才将黑客从系统中驱逐出去。Twitter黑客事件发生在光天化日之下,但Twitter并未公开报告任何实时进展。相反,在7月15日的大部分时间里,Twitter唯一的公开承认是删除了一些推文,这些推文显示了其内部工具的屏幕截图以及与该骗局有关的推文。下午5点45分左右,Twitter发推文称,它“意识到影响Twitter账户的安全事件”,并“正在采取措施修复它”。遗憾的是,推特直到下午6点18分才向用户确认了上述措施:包括阻止众多大V账号发推或修改密码,以及锁定事发前30天内修改密码的账号。结果,一些公共机构无法访问他们的帐户。例如,国家气象局无法在推特上发布龙卷风警报,甚至金融服务管理局的推特账号也有数小时无法使用。在内部,Twitter采取了严厉措施来阻止Twitter黑客攻击造成的损害。为防止黑客进一步渗透其系统或个人账户,它严格限制或撤销员工对其内部系统的访问权限,导致用户维护请求的响应时间过长。它还制定了一个积极的验证程序:每个Twitter员工(从CEO杰克多尔西开始)都必须在视频会议的监督下手动更改帐户密码。晚上8点41分,也就是官方宣布后大约三个小时,大多数账户都能够恢复发推文。6.安全漏洞助长黑客的成功Twitter黑客事件提醒人们,即使是初出茅庐的网络犯罪分子也能造成难以估量的破坏。黑客的成功很大程度上是由于Twitter内部网络安全协议的缺陷。问题从头开始。自2019年12月以来,也就是违规事件发生前七个月,Twitter一直没有首席信息安全官(“CISO”)职位。缺乏强有力的组织领导和高层参与是网络安全薄弱的常见根源。COVID-19大流行给IT和网络安全带来了一系列新挑战,2020年尤其需要强有力的领导。与许多机构一样,由于COVID-19大流行,Twitter在3月份转为远程工作。这种转变使Twitter更容易受到网络攻击,放大了现有的弱点。黑客直接利用了Twitter向远程办公的转变。2020年3月,全面远程办公活动的兴起给Twitter的技术基础设施带来了压力,员工经常在连接到虚拟专用网络时遇到问题。黑客利用这些问题假装从Twitter的IT部门打电话询问VPN问题,然后说服员工将他们的凭据输入到一个近似虚假的VPN登录站点。黑客的说法更加可信,并最终取得了成功,因为Twitter的员工都使用VPN进行工作连接,经常遇到需要IT部门协助的VPN问题。黑客依靠一种简单的策略闯入Twitter:社会工程。社会工程是使用欺骗手段诱使个人泄露机密或个人信息,然后利用这些信息进行诈骗。也许最著名的社会工程攻击类型是网络钓鱼——使用欺骗性电子邮件诱骗收件人打开恶意附件或提供他们的用户名和密码等。这一次,黑客使用了“电话网络钓鱼”,即通过电话进行的社会工程。网络钓鱼和网络钓鱼是黑客用来访问网络的最常见方法之一。例如,在2020年1月至2020年7月期间,向FSA提交的重大网络安全事件通知中约有三分之一涉及网络钓鱼或网络钓鱼。黑客依靠有关Twitter及其员工的基本信息来使欺骗更加可信。黑客似乎进行了研究以确定Twitter员工的基本职能和头衔,这将使他们能够更好地冒充Twitter的IT部门,而网络钓鱼本身的对话可以提供有关Twitter内部运作的更多信息。有了这些个人信息,黑客设法让几名Twitter员工相信他们来自Twitter的IT部门,并窃取了他们的凭据。2020年3月之后,Twitter没有实施任何重要的补偿性控制措施来减轻黑客利用的远程办公风险的增加。Twitter现在正在实施额外的安全控制措施以防止未来发生类似的攻击,例如改进MFA、增加网络安全意识培训,并在2020年9月下旬宣布聘请了新的CISO。Twitter漏洞的后果表明,Twitter和其他社交媒体公司应该提前计划网络事件并实施强有力的控制,而不是事后修复。七、事件凸显社交媒体平台安全风险推特等大型社交媒体公司广受欢迎,提供有价值的服务。通过Twitter,消费者可以收到来自朋友和熟人的更新、来自媒体的突发新闻以及来自政府当局的公共安全和紧急通知。在许多情况下,推文会邀请用户点击指向他们可以购买商品或服务的其他网站的链接。Twitter黑客事件凸显了与Twitter等社交媒体平台相关的风险。一个少年和他的年轻同伙可以轻易地破解Twitter并劫持世界上最著名的人物和组织的帐户。这个黑客组织仍然局限于传统的欺诈活动。如果这种入侵攻击是由资源丰富的敌人发起的,它将通过操纵公众对市场、选举等的看法造成更大的破坏。近年来,推特和其他社交媒体平台被用来影响金融市场,具有毁灭性的影响结果。例如,2013年,在黑客接管了美联社的Twitter帐户并发布虚假推文称白宫的两起爆炸事件伤害了巴拉克奥巴马总统之后,标准普尔500指数在几分钟内损失了1365亿美元的价值。金融犯罪分子利用社交媒体进行“拉高出货”策略,通过虚假或误导性推文暂时推高股价;当他们出售股票并停止推销时,导致股价暴跌可能会伤害毫无戒心的投资者。多项研究表明,一条推文的真假会影响交易量和未来的市场活动。社交媒体也可能扰乱选举和公共机构。2020年7月,国家情报总监办公室宣布,俄罗斯和伊朗等国家利用社交媒体和传统媒体影响力手段干预民主进程。这与参议院最近的一份情报报告一致,该报告发现俄罗斯在2016年大选期间发起了一项网络影响行动,旨在破坏人们对民主制度的信心并引发社会不和。之所以可能产生这种效果,很大程度上是因为美国人对社交媒体的依赖。2019年初,推特月均活跃用户超过3.3亿。到2020年年中,Twitter的日均活跃用户超过1.86亿,其中近20%(3600万)在美国,超过一半的美国成年人“经常”或“有时”从社交媒体获取新闻”。2020年,社交媒体仅次于新闻应用程序和网站,成为美国人尤其是50岁以下人群的主要新闻来源之一。与此同时,公众对更广泛的媒体生态系统的信任度正在下降:2019-2020年的调查发现,“公众对该国两极分化的媒体环境的信任度很低”,为错误信息提供了支持。育种创造可能性。鉴于社交媒体平台在全球通信中的重要性以及以往攻击的历史,像Twitter黑客攻击这样的事件暴露了选举、金融市场以及国家安全的稳定性和完整性的风险。8.降低风险的网络安全最佳实践正如Twitter漏洞所表明的那样,网络安全缺陷可能会产生严重后果。以下做法有助于保护消费者和相关行业免受类似黑客攻击,并将大大降低Twitter遭到破坏的可能性。1.领导力鉴于网络安全的重要性,基调需要从高层开始。领导力至关重要,行政级别的领导层应对网络安全负责。金融服务管理局的网络安全法规要求公司拥有CISO,这是有充分理由的。CISO应该有足够的独立性来推动网络安全协议的改进。此外,CISO在获得高级管理层和整个组织对网络安全措施的支持方面发挥着重要作用。如果没有CISO,高级领导层似乎不会认真对待网络安全。2.访问管理和认证Twitter的访问管理和认证未能阻止初出茅庐的黑客获得强大的内部工具。访问控制是一种安全技术或措施,用于限制谁可以访问或使用资源。根据最佳实践,FSA的网络安全法规要求每个用户只能访问他们完成工作所需的系统和应用程序。应定期重新认证访问权限,以适应角色和职责的变化。Twitter确实有一些访问控制,但不足以防止入侵的发生。Twitter限制了对内部工具的访问,但1,000多名Twitter员工仍在使用这些工具来履行工作职能和职责,例如Twitter用户帐户维护和支持、内容审核以及报告违反Twitter规则的行为。出回应。违规事件发生后,Twitter立即减少了可以访问内部工具的员工人数。认证要求也应根据风险进行校准。例如,对于高风险的应用和功能(如推特的内部工具),认证要求应该更加严格。访问关键功能应该需要MFA。对高风险功能的另一种可能的控制是在操作完成之前需要另一名员工的认证或批准。如果攻击者仅危及一名员工的访问权限,则上述要求会限制损害。MFA很关键,但并非所有MFA方法生而平等。Twitter使用基于应用程序的MFA,它向员工的智能手机发送身份验证请求。这是MFA的常见形式,但可以规避。在Twitter漏洞中,黑客通过说服Twitter员工在登录时执行基于应用程序的MFA身份验证来绕过MFA。最安全的MFA形式是物理安全密钥或硬件MFA,它使用插入计算机的USB密钥进行身份验证用户。这种类型的硬件MFA可以阻止黑客,Twitter现在正在实施它来代替基于应用程序的MFA。3.员工教育培训黑客通过社会工程学攻击来愚弄推特员工,从而得逞。这些类型的攻击可以针对组织任何部分的员工,第一道防线是确保所有员工都意识到威胁,包括旨在利用远程工作新常态的社会工程技术。例如,金融服务管理局的网络安全法规要求所有员工定期接受网络安全意识培训。除了设置培训指标外,组织还应定期进行网络钓鱼和网络钓鱼演习,以测试他们应对此类攻击的能力。组织应进一步建立统一的员工信息沟通和相关教育标准。例如,联邦金融机构考试委员会制定了测试金融机构安全性和稳健性的监管标准,建议在客户上网获取产品和服务时进行网络安全卫生教育。以下这些原则也适用于员工,尤其是在访问雇主的虚拟专用网络或使用自己的设备而不是雇主发放的设备时。以简明易懂的方式说明公司将如何联系员工调查可疑帐户活动(例如,公司不会要求员工通过电话或电子邮件提供登录凭据)。员工在使用机构的远程访问服务时应采取的建议措施和预防措施。建议的技术和操作措施,以减轻欺诈计划带来的风险。为员工提供一种在发现可疑帐户活动时联系该机构的方式。4.安全监控除了确保合适的人在合适的时间拥有合适的访问权限外,最好的做法是始终记录和监控他们的使用情况。安全信息和事件管理(SIEM)系统不仅记录使用情况,还收集、汇总、分析和关联来自离散系统和应用程序的信息,并使用这些信息来识别异常活动,包括内部威胁和恶意行为者。如果Twitter有一个强大的安全监控程序,它就能够近乎实时地检测异常活动并快速响应(或根据风险主动终止会话)。安全团队应该使用SIEM系统来监控网络活动和跟踪威胁警报。无论日志管理方法如何,机构都应该有适当的流程来收集、汇总、分析和关联安全信息。安全策略应定义安全和操作日志的保留期限。机构维护安全事件或网络事件的事件日志。监视这些事件日志中的异常并将此信息与其他信息源进行比较可以增强组织发现趋势、快速响应威胁和改进报告的能力。
