製造推特史上最大規模入侵事件的駭客落網了。這次駭客攻擊讓推特的安全系統變成了一個笑話,如今他們被抓獲了,令人驚訝的是,背後的操控者並不是什麼神秘的駭客軍團,而只是三名青少年,最年輕的只有17歲!
那是推特最黑暗的一天:美國前總統歐巴馬、股神巴菲特、微軟創始人比爾‧蓋茲、馬斯克、世界首富貝索斯……美國最重磅的政商名流推特帳戶集體被盜,並且發送了一條比特幣詐騙信息。
這次駭客攻擊讓推特的安全系統變成了一個笑話,關於背後的主使者有各種傳言,包括推特內有員工監守自盜,或是來自中國、俄羅斯的駭客軍團佈局已久,諸如此類的。
如今,背後的犯罪者被抓獲了,竟是三名青少年:
- 英國的Mason Sheppard,化名「Chaewon」,現年19歲。
- 美國的Nima Fazeli,化名「Rolex」 ,居住在佛羅里達州,現年22歲。
- 事件的中心人物:Graham Ivan Clark,佛羅里達州,網名「Kirk」的駭客,現年17歲。
他們是如何完成了這場推特史上最大的駭客攻擊?卻又被抓獲的呢?
駭客落網
雖然這些駭客少年掌握了「核武器」一般的力量,他們卻用來騙取比特幣。
加密貨幣號稱難以追蹤交易,但在加密貨幣交易所驗證身份卻需使用身份證件,美國調查部門就透過這一點,找到了追蹤的方法。
美國聯邦調查局表示,他們發現Sheppard使用了個人駕駛執照在Binance和Coinbase這兩家加密貨幣交易所進行身份驗證,並且發現他的帳戶已經發送和接收了一些騙取的比特幣。
Fazeli也使用駕照向Coinbase進行身份驗證,調查員發現,他的化名「Rolex」控制的帳戶收到付款,以換取被盜的推特使用者帳戶。
調查部門還從Coinbase獲得了這些駭客所涉足的比特幣地址數據,以及過去三名駭客在網路論壇Discord聊天和OGUsers論壇帖子中使用、提及的地址。
聯邦調查局對來自三個來源的數據進行關聯,能夠跟蹤三個站點上的駭客身份,並將它們鏈接到電子郵件和IP地址。
Fazeli在掩飾自己的身份方面還犯了諸多錯誤。首先,他使用一個郵箱地址在OGUsers論壇上註冊了一個帳戶,使用另一個郵箱地址來劫持推特帳戶。
然而,他還使用相同的兩個電子郵件地址註冊Coinbase帳戶,隨後用駕照照片進行了驗證。
此外,Fazili還使用其家庭網路來訪問三個站點上的帳戶,將其家庭IP地址保留在所有三個服務(Discord,Coinbase和OGUsers)的連接日誌中。
Sheppard也是如此,他化名Chaewon加入網路論壇OGUsers。他在駭客事件當天在網站上發佈了帖子,調查部門能夠將Sheppard的Discord使用者與其OGUsers使用者聯繫起來。
調查部門還通過OGUsers洩露的數據庫得到了確認,他們發現Chaewon在這裡購買了影片遊戲帳戶,其比特幣地址已與推特駭客當天使用的地址相關聯。
十七歲少年的騙術
在三名少年中,駭客事件的核心人物是Clark,他成功獲取了控制推特帳戶的內部工具。
這名少年並非具有高超的電腦技術,而是擁有超出他年齡的騙術能力。
根據推特發佈的信息,Clark使用「電話釣魚詐騙」的形式,推測先是騙取了一些推特內部員工的接觸內網的權限,進而瞭解了推特內部的運作流程,並鎖定了有帳戶控制工具的員工。
接著,他又借助已經獲得的推特內部信息,成功向第二批員工騙取了控制帳戶工具的權限。比方說,他說服了一名推特員工,讓對方認為他曾在推特IT部門工作,並欺騙了該員工給他提供權限。
然後,Clark進一步侵入了大量政商要人的帳戶,並在他們的推特帳戶上發佈了一條詐騙信息:如果將比特幣發送到帳戶,就雙倍返還給受害者。
獲得帳戶權限後,Clark開始在網路論壇上出售推特帳號。Sheppard和Fazeli就是在此期間購買了帳號。
Clark將騙取的資金轉移到另一個帳戶,實施詐騙期間獲得了大約117000美元。
據推特發佈的調查結果:
- 駭客使用竊取的工具鎖定了130個推特帳戶
- 後來從45個帳戶發送了推文
- 訪問36個帳戶的站內信郵箱
- 下載了7個帳戶的數據
《紐約時報》調查發現,17歲的Clark也曾在微軟的遊戲Minecraft中騙取其他玩家的錢。而他的律師則稱,這名少年擁有價值超過300萬美元的比特幣,並否認這些財富是通過詐騙獲取的。
超越年齡的重罪
這三名少年製造了推特歷史上最黑暗的一天。
儘管他們只是騙取比特幣,但他們所控制的名人帳戶,真實力量足以擾亂金融市場,甚至有可能掀起社會混亂。
不論如何,他們都讓推特的安全系統變成了一個笑話。
Fazeli被判處五年徒刑和25萬美元罰款。Sheppard被指控犯有計算機入侵、電信詐騙罪和洗錢罪,其中最嚴重的罪名在美國應判20年徒刑和25萬美元罰款。
罪魁禍首Clark目前已經入獄,並被指控犯有30項重罪,包括有組織的欺詐,通訊欺詐,身份盜竊和駭客攻擊。
他被作為成年人指控——該案的檢察官表示:「這不是一個普通的17歲少年」。並且新聞發佈會明確表示,執法部門正在考慮駭客入侵的嚴重後果。
法官決定將保釋金定為每29項罰款25000美元,總計72.5萬美元。對於第30條指控,法官下令,如果Clark保釋,他必須戴上電子監控器並被限制在家中,除非去看醫生或律師。
法官禁止他使用任何設備去連接Internet,並命令他如果擁有護照,則交出護照。
Clark還沒有認罪,他的騙術細節也還在調查之中。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!