近期,纽约金融服务管理局发布了7月15日推特安全事件的调查报告,全面还原黑客攻击的细节与全过程。毫无复杂技术的攻击手段爆出推特平台存在的惊人安全缺陷。
1. 事件概要
2020年7月15日,一名17岁的黑客及其同伙入侵了推特(Twitter)网络,控制了几十个大V用户推特账户的控制权。全世界围观了这次公开的网络攻击:几个小时内,黑客接管了多个政客、名人和企业家的推特账户,包括贝拉克·奥巴马、金·卡戴珊·韦斯特、杰夫·贝佐斯和埃隆·马斯克,以及纽约州金融服务管理局监管的数家加密货币公司,在推特上发出 “让你的比特币翻倍 “的骗局。面对黑客入侵,推特似乎无能为力。
从货币价值上看,黑客窃取了价值超过11.8万美元的比特币。但更重要的是,安全事件暴露了全球社交媒体平台的脆弱性——推特平台的月活用户总数超过3.3亿,日活用户超过1.86亿,其中,美国用户超过3600万(20%)。简而言之,推特在我们的沟通交流和新闻传播方面扮演着核心角色。超过一半的美国成年人 “经常 “或 “有时 “从社交媒体获取新闻。
推特作为一家市值370亿美元的上市科技公司,其网络却能被黑客轻松地侵入并获得内部工具的访问权限,从而可以接管任何推特用户的帐户。
值得注意的是,攻击推特的黑客并没有采用网络攻击中经常利用的高科技或复杂技术——没有恶意软件,没有漏洞利用,也没有放置后门。黑客使用的基本技巧更类似于传统的诈骗艺术:打电话假装是推特信息技术部门的人。黑客通过这种简单的伎俩获得了非同寻常的访问权限,这凸显了推特网络安全方面的漏洞和潜在的破坏性后果。
推特入侵事件的影响远远超出了欺诈行为本身:社交媒体被用来操纵市场和干预选举,只需使用一个被入侵的账户或一组假账户就可以了。若危险的”黑客 “获得同样的访问权(有权控制任何推特用户的账户)可能会造成更大的危害。
推特安全事件表明,我们需要部署强有力的网络安全措施,遏制主要社交媒体平台成为潜在的攻击利器,但面对社交媒体带来的新挑战,监管机构显然还没有做好准备。
政策制定者关注大型社交媒体公司的反垄断和内容审核问题,对于具有系统重要性的大型社交媒体公司来说,网络安全也应当是必备的能力。
2. 推特平台
从2006年7月起,推特开始运营www.twitter.com。作为社交网络和微博网站,用户可以通过电子邮件和文字向”粉丝”(即注册接收博文的用户)发送 “推文”——不超过280个字(之前是140个字)的简短博文。推特用户通过网站或移动应用可以关注其他个人,商业、媒体、政府或非营利性实体。
推特负责维护内部账户管理工具,以管理与推特用户账户有关的各种问题。推特向获得授权的员工发放用户名和密码,用于访问内部账户管理工具。7月15日发布在推特上的截图显示了黑客访问的内部工具 。
一些内部工具含有所有推特用户账户的非公开信息,包括账户相关的电子邮件、电话号码以及用户登录位置的互联网协议(”IP”)地址。根据用户的请求,授权推特员工会使用内部工具更新电子邮件地址,重置遗忘或过期密码,启用或禁用多因素身份认证(”MFA”)——这是一种额外的安全保护,需要依赖自动生成的号码访问账户。
推特员工还使用内部工具,禁止或限制特定推文内容或特定用户账号发布推文。这种限制可以是为了满足某些国家当地法律的要求,或者是为了惩戒那些违反推特规则的用户行为。
3. 还原入侵事件真相
攻击者利用欺诈手段进入推特的网络和内部应用。
2020年7月14日和15日,黑客攻击了推特。安全事件分为三个阶段:第一阶段,通过社会工程学攻击获得推特网络的访问权;第二阶段,接管具备理想用户名的账户,并出售这些账户的权限;第三阶段,接管几十个高知名度的推特账户,并试图诱骗人们给黑客发送比特币。
所有这一切都在大约24小时内发生。
第一阶段:通过社会工程学窃取证书
推特入侵事件始于2020年7月14日下午。当时,至少一名黑客致电了多个推特员工,自称是推特 IT部门的服务人员。黑客声称致电来帮助解决推特的虚拟专用网络(”VPN”)遇到的问题。
自从切换为远程工作后,VPN问题在推特员工中就很常见。随后,黑客尝试把该员工引导到钓鱼网站,该网站看起来与合法的推特VPN网站一模一样,域名也极其相似。员工在钓鱼网站输入他们的账号密码时,黑客会同时把这些信息输入到真正的推特网站。这种假冒登录产生了MFA(多因子验证)通知,要求员工进行身份验证,部分员工也进行了验证。
在调查中,纽约州金融服务管理局没有发现任何推特员工蓄意协助黑客的证据。相反,黑客利用员工的个人信息令其相信自己是正当且可信的。一些员工向推特内部的欺诈监控团队报告了这些电话,但至少有一名员工相信了黑客的谎言。
第一个被黑客入侵账户的推特员工无权使用内部工具来接管推特用户账户。黑客只好利用这个最初的受害者账户来浏览推特的内部网站,从而掌握更多推特信息系统的情报。黑客查看了推特的内部网站,其中包含了如何访问其他内部应用程序的信息。
7月15日,黑客将目标锁定在能够访问内部工具的推特员工身上。他们中的一些人属于负责全球法律请求的响应部门,例如法院命令或内容删除请求,以及负责制定和执行关于防止滥用网络行为的政策。
第二阶段:盗取推特元老账号
在获得接管推特用户账号的能力后,黑客首先关注的是所谓的推特元老(“original gangster“ OG)账号,这些账号名通常由单个单词、字母或数字组成,属于推特的早期用户。作为让后续用户垂涎的网络信誉标志,任何人只要成功劫持一个元老账号,就能以数千美元的价格将它出售。
在2020年7月15日凌晨3点至10点左右,黑客通过在线聊天讨论了接管和出售推特元老用户名以换取比特币的问题,推特证实了多个账户被攻破。
然而很快,黑客就开始以更多的公开手段来证明已经成功渗透了推特的内部系统。7月15日下午2点前,黑客劫持了更多推特元老账号,并在推特上将部分账号的内部工具截图发给了对应账号的粉丝。
第三阶段:高调的比特币骗局
经过最初的渗透,黑客扩大了入侵推特的行动。
值得注意的是,在这一阶段,黑客将攻击目标锁定在“大V”账户上,也就是推特定义的 “公共利益账户”,通常 “由音乐、演艺、时尚、政府、政治、宗教、新闻、媒体、体育、商业和其他关键利益领域的用户维护”。
大V账户通过蓝色的验证徽章来区分,”让人们知道公共利益账户是真实的。”作为网络社交媒体平台的精明用户,黑客可能知道,大V账户的推文会让他们的比特币诈骗显得更加正当。
黑客首先操纵了与知名加密货币公司和个人有关的推特账户。
下午2点16分左右,黑客劫持了加密货币交易商”@AngeloBTC “的账户,并在推特上发布了以下要求提供比特币的公告 。
随后,黑客通过”@AngeloBTC “账户向多名推特用户发送了数条私信,其中包含比特币钱包的支付链接。
黑客升级推特攻击行动,改变了诈骗方案,直接转发被攻陷加密货币公司的推文,包含支付请求。 下午3:18左右,黑客攻陷了加密货币交易所Binance的账户,并发送了包含比特币诈骗地址链接的推文。
下午3点26分至4点12分左右,黑客劫持了10个与加密货币相关的账户(包括政府监管的实体Coinbase、Gemini Trust Company和Square公司)并发送了不同版本的信息。
接下来,攻击者孤注一掷,将目标锁定在拥有数百万粉丝的大V 推特账户上。下午4:17至6:05之间,黑客使用知名人士和著名公司的被入侵账户发送推文,如特斯拉公司的首席执行官埃隆•马斯克、微软公司的联合创始人比尔•盖茨,说唱歌手和企业家坎耶•韦斯特(Kanye West)以及媒体人士,企业家金•卡戴珊•韦斯特,民主党总统候选人小约瑟夫•拜登,伯克希尔-哈撒韦公司CEO沃伦•巴菲特,不败职业拳击手小弗洛伊德•梅威瑟,以及Uber公司、苹果公司。黑客还利用一些被入侵账户多次重发相同的比特币诈骗推文。
考虑到每个高知名度用户账户的粉丝数量,这些诈骗推文覆盖了全球数百万潜在受害者。黑客通过推特入侵行动窃取了价值约11.8万美元的比特币。
4. 用户的非公开信息被曝光
在推特入侵事件中,有130个推特用户账户被盗。其中有45个账户被用于发送推文。
对于其中7个涉案的推特账户,黑客还通过推特的 “你的推特数据”(YTD)工具下载了账户信息,该工具提供了一个推特账户的详细信息和活动摘要。YTD中的信息包括用户的个人资料信息、推文、私信、媒体(包括图片、视频和附加在推文和私信上的GIF)、账户的粉丝列表、用户关注的账户列表、用户的通讯录、推特推断出的关于用户的人口统计信息、用户在推特上看到或参与的广告信息等。用户可以通过登录账户、输入账户密码、然后提出申请,从而获取YTD。
黑客利用内部工具为7个账户申请YTD并下载了数据,另有52个账户的数据被申请但并没有被下载。推特证实,它直接与所有被下载YTD的账户所有者取得了联系。这7个账户都不是大V账户。
推特认为,在130个目标账户中,有多达36个账户的私信收件箱被黑客访问,包括荷兰一名民选官员的大V账户。在推特黑客事件发生后的一周内,荷兰政治家Geert Wilders向多个新闻来源证实,未经授权的私信是从其推特账户发出的。据推特称,没有其他前任或现任民选官员账户的私信收件箱被访问。
5. 推特的回应
7月15日上午,几名员工报告了可疑的登录和电话,推特才首次意识遭到攻击。下午3点18分左右,加密货币公司的账户被接管,推特的内部事件响应团队还在调查这些可疑电话。他们紧急做出了回应,但花了数小时才将黑客从系统中驱逐。
推特入侵事件在光天化日下发生,但推特并没有公开报告任何实时进展。相反,在7月15日的大部分时间里,推特唯一的公开承认是删除了揭示了其内部工具截图以及与骗局有关的推文。
下午5点45分左右,推特在发推称,它 “意识到发生了影响推特账户的安全事件”,并正在 “采取措施进行修复” 。
不幸的是,推特在下午6点18分才向用户证实了上述采取的措施:包括阻止许多大V账户发推特或更改密码,并对事发前30天内更改过密码的账户进行锁定。这直接导致多个公共机构无法访问自己的账户,例如,国家气象局无法在推特上发布龙卷风警报,连金融服务管理局的推特账户也有几个小时无法使用。
在内部,推特采取了疾风骤雨般的措施,以阻止推特入侵事件带来的破坏。为了防止黑客进一步渗透其系统或个人账户,它严格限制或撤销了员工对其内部系统的访问权限,导致用户维护请求的响应时间过长。它还制定了激进的验证流程:每位推特员工(从CEO杰克•多西开始)都必须在视频会议监督下手动更改账号密码。
晚上8点41分,即在官宣被入侵后大约三个小时,大多数账户可以恢复发推了。
6. 安全缺陷助推黑客成功
推特被黑事件警示我们:即使是初出茅庐的网络犯罪分子也会造成难以估量的破坏。黑客的成功在很大程度上是源于推特内部网络安全协议的缺陷。
问题是从高层开始的。自2019年12月以来,即入侵事件发生前7个月,推特就没有设立首席信息安全官(”CISO”)职位。缺乏强有力的组织领导及高层参与是网络安全薄弱的常见根源。COVID-19大流行给IT和网络安全带来了一系列新的挑战,2020年尤其需要强有力的领导。与许多机构一样, 推特在3月份因新冠疫情而转到远程办公。这种转变使推特更容易受到网络攻击,放大了现有的弱点。
黑客直接利用了推特向远程办公的转变。2020年3月,全面推行远程办公的升温给推特的技术基础设施带来了压力,员工在连接VPN网络时经常出现问题。黑客利用这些问题,假装从推特的IT部门打来电话询问VPN问题,然后劝说员工将自身凭证输入到近似的假冒VPN登录网站。黑客的说法更加可信,并最终成功了,因为推特的员工都使用VPN进行工作连接,经常遇到需要IT部门协助的VPN问题,。
黑客依靠简单策略侵入推特:社会工程。社会工程是指利用欺骗手段诱使个人泄露机密或个人信息,这些信息随后用于欺诈。最著名的社会工程攻击类型也许是网络钓鱼–使用欺骗性的电子邮件来诱骗收件人,例如,打开恶意附件或提供他们的用户名和密码。本次黑客使用的是 “电话钓鱼”,即通过电话进行的社会工程。网络钓鱼和电话钓鱼是黑客进入网络最常用的方法之一。例如,在2020年1月至7月期间,向金融服务管理局提交的重大网络安全事件通知中,约有三分之一涉及网络钓鱼或电话钓鱼。
黑客依靠推特及其员工的基本信息使欺骗行为更加可信。黑客似乎进行了研究,以确定推特员工的基本职能和头衔,这样就可以更好地冒充推特的IT部门,电话钓鱼中的对话本身也可以提供更多关于推特内部运作的信息。掌握了这些个人信息,黑客成功地让几名推特员工相信自己来自推特的IT部门,并窃取他们的身份凭证。
2020年3月之后,推特没有实施任何重大的补偿性控制措施来减轻远程办公的高度风险,而黑客正是利用了这一点。推特现在正在实施额外的安全控制措施以防止将来发生类似的攻击,例如改进MFA、增加网络安全意识培训,并于2020年9月底宣布聘请了一名新的CISO。
推特入侵事件的后果表明,推特和其他社交媒体公司应当在遭遇网络事件之前就未雨绸缪,实施强有力的控制措施,而不是事后亡羊补牢。
7. 事件凸显社交媒体平台的安全风险
推特和其他大型社交媒体公司深受欢迎,提供了有价值的服务。通过推特,消费者可以收到来自朋友和熟人的最新近况、来自媒体机构的突发新闻,以及来自政府当局的公共安全和紧急通知。在许多情况下,推文会邀请用户点击指向其他可能用来购买商品或服务的网站链接。
推特入侵事件凸显了推特等社交媒体平台的相关风险。一个少年及其年轻同伙就可以轻松黑掉推特,并劫持了世界上最知名人士和组织的账户。本次的黑客团伙还局限于传统的欺诈活动,如果是由资源充足的敌人发起这样的入侵攻击,就会通过操纵公众对市场、选举等的看法造成更大的破坏。
近年来,推特和其他社交媒体平台被用来影响金融市场,并造成了破坏性的后果。例如,2013年,在黑客接管美联社的推特账号,并发推文谎称白宫的两起爆炸事件伤害了总统奥巴马,导致标普500指数在几分钟内损失了1365亿美元的价值。金融犯罪分子利用社交媒体进行 “拉高出货 “套路,通过虚假或误导性的推文暂时抬高股票价格;当他们卖出股票并停止宣传时,导致股价暴跌会伤害毫无戒心的投资者。多项研究表明,无论推文内容是真是假,都会影响交易量和未来的市场活动。
社交媒体也可能扰乱选举和公共机构。2020年7月,国家情报局局长办公室宣布,俄罗斯和伊朗等国利用社交媒体和传统媒体的影响措施,干预民主进程。这与参议院最近的一份情报相符,该报告发现,俄罗斯在2016年大选期间发起网络影响力行动,旨在破坏民众对民主机构的信心并挑起社会的不和谐。
之所以可能产生这种影响,很大程度上是源于美国人对社交媒体的依赖。2019年初,推特平均月活跃用户超过3.3亿人,到2020年中期,推特平均日活跃用户超过1.86亿人,其中近20%(3600万)在美国,超过一半的美国成年人 “经常 “或 “有时 “从社交媒体获取新闻。2020年,社交媒体是美国人仅次于新闻应用和网站的首要新闻来源之一,尤其是50岁以下的人群。与此同时,公众对更广泛的媒体生态系统的信任度也在下降:2019-2020年的一项调查发现,”公众对国家两极分化的媒体环境的信任度很低”,这为错误信息的滋生创造了可能。
鉴于社交媒体平台在全球交流中的重要性以及以往的攻击历史,类似推特入侵的事件暴露了社交平台对于选举、金融市场以及国家安全稳定性和完整性的风险。
8. 网络安全最佳实践减轻风险
正如推特入侵事件所示,网络安全缺陷会造成严重后果。下面的做法可以帮助保护消费者和相关行业免受类似的黑客攻击,并将大大降低推特入侵事件发生的可能性。
领导力
鉴于网络安全的重要性,需要从高层开始定调。领导力至关重要,执行层的领导应当对网络安全负责。金融服务管理局的网络安全法规要求公司必须设立CISO,这是有充分理由的。CISO应该有足够的独立性来推动网络安全协议的改进。此外,对于获得来自高级管理层和整个组织对网络安全措施的认同方面,CISO发挥着重要作用。若不设立CISO,则会显得高层领导并不重视网络安全。
访问管理和身份验证
推特的访问管理和身份验证未能阻止初出茅庐的黑客获取强大的内部工具。访问控制是限制谁可以访问或使用资源的安全技术或措施。根据最佳实践,金融服务管理局的网络安全法规要求每个用户只能访问其工作所需的系统和应用程序。为适应角色和职责的变化,应当对访问定期重新认证,。
推特确实有一些访问控制措施,但还不足以阻止入侵事件的发生。推特限制了对内部工具的访问权限,但仍有超过1000名推特员工使用这些工具来履行工作职能和职责,如推特用户账户维护和支持、内容审查以及对违反推特规则的报告做出回应。在入侵事件发生后,推特立即减少了可使用内部工具的员工数量。
认证需求也应根据风险进行校正。例如,对于高风险的应用和功能(如推特的内部工具),认证要求应当更加严格。对关键功能的访问应该要求MFA。对于高风险功能的另一个可能的控制措施是,要求在完成操作之前必须由另一名员工进行认证或批准。如果攻击者只攻破了一名员工的访问权限,上述要求可以减少损失。
MFA至关重要,但并非所有的MFA方法都生而平等。推特使用了基于应用的MFA,它向员工的智能手机发送认证请求。这是一种常见的MFA形式,但是可以被规避。在推特入侵事件中,黑客在登录时通过说服推特员工进行基于应用的MFA认证,从而绕过了MFA。最安全的MFA形式是物理安全密钥,或者说是硬件MFA,即使用插入电脑的USB密钥来认证用户。这种类型的硬件MFA可以阻止黑客,推特现在正在实施它来代替基于应用的MFA。
员工教育和培训
黑客通过社会工程学攻击愚弄推特员工从而获得成功。这类攻击可以针对组织中任何部门的员工,而第一道防线是确保所有员工意识到威胁,包括旨在利用远程工作这种新常态的社会工程技术。例如,金融服务管理局的网络安全法规要求所有员工进行定期的网络安全意识培训。除了为培训设立指标,机构还应该定期进行网络钓鱼和电话钓鱼演习,以测试应对此类攻击的应对能力。
组织应进一步建立统一的标准,用于信息沟通和对员工进行相关教育。例如,制定测试金融机构安全和健全性监管标准的联邦金融机构考试委员会,推荐在客户上网获取产品和服务时,开展网络安全卫生教育。
以下这些原则也适用于员工,特别是当其访问雇主的VPN时或使用自己的设备而不是雇主发放的设备时。
- 以简洁易懂的方式解释公司将如何与员工进行联系,来调查可疑的账户活动(例如,公司不会要求员工通过电话或电子邮件提供其登录凭证)。
- 员工在使用机构的远程访问服务时应采取的建议措施和谨慎做法。
- 为减轻诈骗诡计带来的风险,技术和业务方面可行的建议措施。
- 提供当雇员发现可疑的账户活动时与机构联系的方法。
安全监控
除了确保正确的人在正确的时间有正确的访问权之外,最佳实践是始终记录和监测其使用情况。安全信息和事件管理(SIEM)系统不仅记录使用情况,而且收集、汇总、分析和关联来自离散系统和应用程序的信息,并利用这些信息来识别异常活动,包括内部威胁和恶意行为者。
如果推特拥有强大的安全监控程序,它就能近乎实时地检测到异常活动,并迅速做出响应(或根据风险主动终止会话)。安全团队应该使用SIEM系统来监控网络活动,并对威胁警报进行跟踪。
无论采用哪种日志管理方法,机构都应该制定流程来收集、汇总、分析和关联安全信息。安全策略应该定义安全和操作日志的保留期限。机构维护事件日志以了解安全事件或网络事件。监测这些事件日志,发现是否存在异常,并将这些信息与其他信息源进行比较,可以增强机构掌握趋势、快速应对威胁和改进报告的能力。