文章提供：图文资通组
文章来源：https://www.bnext.com.tw/article/58491/twitter-hacker-bitcoin
发佈日期：2020.07.16 消息来源：数位时代 #资讯安全 #社交工程攻击 #恶意连结

Twitter名人帐号遭大规模骇客攻击，美国时间週三下午包括特斯拉CEO马斯克、微软创办人比尔盖兹、亚马逊CEO贝佐斯、美国民主党总统候选人乔·拜登、前美国总统欧巴马、饶舌歌手肯伊·威斯特（Kanye West）等数十位备受瞩目的帐号被盗，且发布的内容都跟比特币有关。
Twitter官方回应，骇客可能透过Twitter内部管理员工具，狭持Twitter名人帐户，以散播密码货币诈骗，目前官方还在调查了解，骇客进行哪些恶意行动。
Twitter政商名人帐号被盗，向用户敲诈比特币
骇客发起的第一波攻击，主要瞄准多家知名密码货币公司的帐户，如bitcoin、ripple、coindesk、coinbase等，但不久后受害者扩大到政治、娱乐、科技领域的名人。週三下午，一向敢说敢言的特斯拉CEO马斯克在推特发布一条怪异推文：「因为covid-19，所有将比特币发送到这个地址的用户，任何付款我将加倍回馈。」
接着美国总统候选人乔·拜登也发布类似内容：「我将回馈社会，所有发送比特币至以下地址，我将加倍奉还。假如你送出1,000美元，我将回馈2,000美元，限时30分钟。」这种像似病毒一般的内容在Twitter名人社群之间扩散，连曾痛批比特币毫无价值的的股神巴菲特也中镖，甚至入侵到企业帐户，苹果、Uber等公司。不过美国总统川普的Twitter帐号却逃过一劫，主要是他採用特殊锁钥保护模式。
3小时骗取350万元，Twitter不是第一次被骇
这种鼓励用户将比特币匯入特定地址，是一种密码货币的诈骗手法，透过名人的名气，诱使大量追随者受骗匯款。3小时内，该比特币钱包价值达118,000美元（约新台币350万元）。Twitter大规模集体遭骇事件，让Twitter股票在盘后交易下跌3％。
虽然第一时间Twitter迅速将贴文删除，并关闭通过验证用户的发文权，试图取得控制权，但同一帐户又再次发布相同贴文。安全研究人员发现到，攻击者已完全控制受害者帐户，并更改该帐户的电子邮件地址，让用户难以重新获得访问权限。
週三晚间，Twitter官方回应，检测到骇客成功入侵内部员工内部系统与工具，发动社交工程攻击（social engineering attack），目前官方已锁住被盗的帐户，并暂时关闭用户的访问权限。
但，这不是Twitter首次被骇，去年八月骇客攻击Twitter执行长杰克·多西（Jack Dorsey）的帐户，发布种族歧视的言论及炸弹威胁，当时的骇客骗过电信公司，透过「调包SIM卡」方式，将多西的电话号码转移至第三方SIM卡，让第三方可以控制其帐号。
此次Twitter集体攻击事件，显示社交软体仍不安全。拥有强大号召力、影响力的社群名人，已成为骇客攻击目标。为防止社群帐号被盗，IT安全专家梅尔·夏克尔（Mel Shakir）就建议，别只仰赖密码，知名社群用户应使用双重认证，包括指纹等生物特徵认证或实体安全密钥，降低被骇的风险。
一般民众在使用社群网路时，不要轻易相信和点击一些不明来源的连结，或洩漏自身个人隐私资讯，在遇到一些和区块链、AI、虚拟币等相关投资或消费，应多方查证资讯。