17岁的Twitter黑客嫌疑人面临30项重罪指控名人账户实施了比特币诈骗,获利超过100,000美元。旧金山的联邦检察官指控17岁的GrahamIvanClark(校长)策划并实施了7月15日的Twitter攻击。17岁的克拉克被指控犯有30项重罪。参与袭击的另外两名嫌疑人——19岁的MasonSheppard和22岁的NimaFazili——也已被起诉。根据法庭文件,整个黑客攻击始于5月3日,当时来自坦帕但居住在加利福尼亚州的青少年克拉克获得了部分Twitter网络的访问权限。目前尚不清楚5月3日至7月15日之间发生了什么,也就是实际的黑客攻击日,但看起来Clark无法从最初的攻击入口立即渗透到Twitter管理工具中,该工具用于接管和劫持Twitter帐户。在Twitter被黑客攻击几天后,《纽约时报》的报道表明,Clark最初获得了对Twitter内部Slack工作区之一的访问权限,而不是Twitter本身。《纽约时报》记者援引黑客社区消息人士的话称,黑客在推特的一个Slack频道中发现了推特技术支持工具的账户凭证。然而,该工具的账户凭据不足以访问Twitter后台,根据Twitter的调查,黑客使用“鱼叉式电话钓鱼攻击”诱骗部分Twitter员工进入账户并“成功通过Twitter的双因素身份验证”。Twitter的后续调查发现,克拉克在访问Twitter管理工具时与130个帐户进行了交互,为45个用户启动了密码重置,并访问了36个用户的私人消息。获得Twitter管理工具访问权限的克拉克随后在社交媒体账户交易论坛Discord上联系了Sheppard和Fazili,自称是Twitter员工,并展示了他修改任何Twitter账户设置的能力。聊天记录样本如下:三人在获得谢泼德和法兹里的信任后,达成合作协议,在OGUser论坛上发布广告,宣传和销售他们的推特账号劫持服务,吸引了大量买家。根据美国检察官办公室发布的YouTube消息,他们仍在调查参与黑客攻击的多个(买家)用户。至少其中一名买家对7月15日劫持多个Twitter名人账户以实施比特币诈骗负有责任。推特向当局提出了正式的刑事诉讼,联邦调查局和特勤局在袭击发生一天后展开调查。根据法庭文件,FBI使用社交媒体和新闻媒体共享的数据从社交媒体帐户交易论坛Discord获取聊天记录和用户详细信息。由于一些黑客广告发布在OGUsers上,FBI还使用了OGUsers论坛数据库的副本,该数据库在今年4月的一次黑客攻击中被泄露到网上。该数据库包含有关注册论坛用户的详细信息,例如电子邮件和IP地址,以及私人消息。当局在美国国税局的帮助下,还从Coinbase获得了与黑客相关的比特币地址数据,以及过去三名黑客在Discord聊天和OGUsers论坛帖子中使用和提及的比特币地址。通过关联来自三个来源的数据,FBI能够追踪三个网站上黑客的身份,并将他们与电子邮件和IP地址相关联。例如,当局在Fazili(Discord代号Rolex)从他的OGUsers页面链接了他的Discord用户名后追踪到了他,这是一个明显的操作安全(OpSec)错误。法子里在隐瞒真实身份方面还犯了其他多项低级错误。首先,他使用地址daniamevil20@gmail.com在OGUsers论坛上注册了一个帐户,并使用电子邮件地址chancelittle10@gmail.com劫持了@foreign推特帐户。不幸的是,Fazili在注册Coinbase账户时也使用了上述两个邮箱,在验证个人信息时也使用了他的驾照照片。此外,Fazili使用他的家庭网络访问三个站点上的帐户,将他的家庭IP地址保存在所有三个服务(Discord、Coinbase和OGUsers)的访问日志中。Sheppard也有同样的问题,他以Chaewon的身份加入了OGUsers。调查人员表示,他们能够将Sheppard的Discord用户与其OGUsers角色联系起来,这要归功于他在黑客攻击当天在网站上发布的一则广告,但他们还通过泄露的OGUsers数据库获得了确认,他们发现Chaewon在游戏中购买了视频,使用了与Twitter攻击中相同的比特币地址。和Fazili一样,Sheppard在Coinbase的账户验证也使用了真实的驾照。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
