包括美國前總統歐巴馬(Barack Obama)、特斯拉執行長馬斯克(Elon Musk)和微軟創辦人比爾蓋茲(Bill Gates)、投資家華倫巴菲特(Warren Buffett)、亞馬遜 CEO貝佐斯(Jeff Bezos)等大批政商名人,突然在 Twitter 上發出「如果你發 1,000 美元,我就還你 2,000 美元,限時 30 分鐘。」貼文,原來是集體遭到駭客入侵。
名人帳號是網路犯罪集團的首要目標,歹徒的觸角非常廣,而且,他們甚至只需短暫駭入某個名人的帳號,就能在地下市場上聲名大噪。
雖然我們認為近日 Twitter 被駭的帳號當中或許有一兩個人是真的沒有做好安全措施,但不可能這麼多人都犯同樣的錯誤。那到底發生了什麼事?
有辦法駭入全世界最有影響力的帳號,卻只用來從事比特幣詐騙?根據比特幣交易記錄來看,歹徒似乎賺了 10 萬美元多一點。不是很多,所以是不是意味著他們還有其他賺錢管道?
- 作者:Mark Nunnikhoven (雲端研究副總裁)
一開始只是一篇奇怪的 Twitter 貼文,接著又來一篇。很快地,Twitter 上一些知名的帳號都開始發送同一則貼文:
我打算要來回饋社會。
所有發送到以下位址的 比特幣(Bitcoin) 都將加倍奉還!如果你發 1,000 美元,我就還你 2,000 美元,限時 30 分鐘。
[- 比特幣錢包位址 -]
難道 Apple、Elon Musk (特斯拉汽車執行長馬斯克)、Barrack Obama (前美國總統歐巴馬)、Uber、Joe Biden (前美國副總統拜登) 以及一大堆名人都參加了這場大剌剌的比特幣騙局嗎?
喔不,當然不是,那麼問題到底是他們的個人帳號被盜,還是有更嚴重的事情正在上演?
使用者帳號防護
基本上,所有名人的帳號都是網路犯罪集團的首要目標,歹徒的觸角非常廣,而且,他們甚至只需短暫駭入某個名人的帳號,就能在地下市場上聲名大噪。
這正是為何這類帳號都會妥善運用 Twitter 提供的防護措施來保護其帳號安全。
包括:
- 使用高強度密碼 (密碼越長越好,最好使用一套密碼管理員軟體來管理)。
- 啟用密碼重設防護。
- 啟用雙重認證 (換句話說您必須擁有使用者名稱、密碼和一個臨時的一次性密碼才能登入帳號)。
- 定期檢查是否有第三方應用程式正在使用自己的帳號。
雖然我們認為上述被駭的帳號當中或許有一兩個人是真的沒有做好上述措施,但不可能這麼多人都犯同樣的錯誤。那到底發生了什麼事?
謠言滿天飛
如同任何公開的攻擊一樣,Twitter 上很快就充滿各種揣測,甚至在 Twitter 官方採取適當行動來禁止任何已驗證帳號發送上述訊息 3 小時後,謠言反而甚囂塵上。
官方所採取的行動有效防止了更多詐騙訊息散布,但卻也讓這項攻擊聲名大噪。
雖然有些人會盡量避免拉抬歹徒聲勢,但為了防止攻擊造成更多破壞,同時也防止它進一步擴散,這樣的作法也算是不得已的緩兵之計。
不過官方的這個動作,卻也透露出事情背後的真相。因為如果是個人帳號被駭,那麼官方的動作其實不太能夠防止駭客繼續使用被駭的帳號。反之,如果駭客是駭入了後台系統,那這樣的作法確實能夠發揮作用。
所以,是不是 Twitter 被駭了呢?
奧卡姆剃刀法則 (Occam’s Razor)
當我們在假想攻擊情境的時候,通常都會模擬主要服務遭駭客直接入侵的情況,而大多數公司也都會針對這樣的情況做好萬全準備。
如同任何公司一樣,Twitter 的系統有其自身的困難,由於他們的主要業務是內容管理,因此其後台系統的安全性自然算不上非常頂尖。
這一點從 2018 年發生的一起事件就能看出。當時,由於 Twitter 工程師犯了一個錯誤,使得任何使用者的密碼都可能出現在他們內部的記錄檔中。為了保險起見,Twitter 呼籲每一位使用者都重設自己的密碼。
儘管這樣的情況不無可能,但 Twitter 的後台系統直接遭駭客入侵的機率實在不大。所以,更簡單的解釋就是:內賊所為。
內部截圖
就在攻擊發生後不久,資安界就有人員就注意到一張 Twitter 內部支援工具的畫面截圖出現在地下論壇上。這張罕見的內部截圖顯然是 Twitter 支援人員所看到的畫面。
這類權限其實相當危險,非常危險。
Joseph Cox 在一篇有關駭客攻擊的文章這麼說:
「我們雇用了一名代理人來幫我們處理所有的事。」
匿名消息來源
目前仍不清楚這是不是一起社交工程(social engineering)攻擊案例 (一名擁有高級權限的內部人員受騙做了一些事),或是不肖的內部人員所為 (內部人員蓄意攻擊系統)。
到底是哪一種情況,對於站在防禦一方的外界來說非常重要。
目前 Twitter 仍在調查此事,未來也將持續透過 @TwitterSupport 發布最新消息。
社交工程技巧
CNN 記者 Donnie Sullivan 曾經專訪傳奇人物 Rachel Tobac,專訪中就示範了社交工程技巧有多麼容易,以及這些技巧可能帶來的危險衝擊。
假使這次攻擊是因社交工程技巧所引起,那麼 Twitter 的資安團隊就必須建置更多流程與管控措施來確保同樣情況不會再發生。
而這也是您的團隊必須面對的問題:雖然密碼重設、帳號關閉、資料傳輸以及其他關鍵流程特別容易遭到社交工程攻擊,但金融犯罪才是網路犯罪集團的首要目標。
例如變臉詐騙 (BEC) 光 2019 一整年就造成了 17 億美元的損失。
企業若能增加一些其他確認管道、額外的認證步驟、明確而清楚的核准步驟或其他流程,就能有效降低這類社交工程攻擊的風險。
惡意的內賊
如果這次攻擊最後發現是來自惡意的內部人員所為,那麼企業必須採取另一種不同的作法。
惡意的內賊不僅是資安部門的問題,更是人事部門的問題。
從資安的角度而言,企業可採取兩項原則來防範這類攻擊的風險:
確保每位人員都僅擁有自己分內工作所需的系統權限,而且只能用於對應的用途,這是防範這類攻擊的關鍵。然後再配合適當的職務分離 (一人負責提出變更申請,另一人負責核准),如此就能大幅降低這類攻擊的潛在損害。
這類攻擊還有另一個比較少被探討的面向就是歹徒背後的動機。有些人純粹就是壞,只要一有機會就搞破壞。
但很多時候是有某位員工覺得自己被人忽略、不受重視,或者因為某些事情而心生不滿。所以,良好的內部氣氛、定期的溝通、優質的人才培育計畫,都有助於解決這樣的問題,避免問題升高到員工發生內神通外鬼的情況。
支援部門的風險
這整起事件背後其實還有一項更嚴重的問題,那就是支援人員對於各個系統倒底有擁有多少存取權限。
一般人很容易以為您的 Twitter 帳號是「您自己的」。但其實不然,它只是該公司營業系統的小小一部分,而他們必須隨時監控系統的狀況、回應支援相關問題,必要時甚至還要協助司法調查。
這一切要求的背後,都需要某種程度的存取權限,這一點是絕大多數人沒想到的。
您是否經常透過即時通訊來傳送私密資訊?支援人員很可能有辦法存取這些訊息。
那麼,有什麼機制可以防止支援人員在任何時候存取任何帳號或任何訊息?我們不曉得。
只希望 Twitter 和其他公司都設有明確的規範 (技術與政策規範) 來防範支援人員濫用權限,並且定期稽核。
只是要怎麼拿捏,卻不是件簡單的事,一不小心就可能破壞使用者的信賴,危及服務的命脈。
此時,明確而透明的政策與管控是成敗的關鍵。
權限濫用可能發生在內部,也可能發生在外部。一般來說,支援團隊會擁有存取權限,但他們卻常常是企業內薪水最低的一群,支援人員通常被視為入門的工作 (除非是 SRE 工程師)。
由於他們能夠存取敏感的資訊,因此一旦發生問題很可能就會帶來莫大損失。此時,最低授權原則、職務分離、嚴格的政策,都有助於防範這類事件發生。
下一步該怎麼做?
未來幾天,進一步的攻擊相關資訊應該會陸續浮上檯面。目前,資安界仍在猜測到底歹徒獲得了多少權限,以及做了多少事情。
有辦法駭入全世界最有影響力的帳號,卻只用來從事比特幣詐騙?根據比特幣交易記錄來看,歹徒似乎賺了 10 萬美元多一點。不是很多,所以是不是意味著他們還有其他賺錢管道?
或許我們可以再次引用奧卡姆剃刀法則,比特幣騙局與挖礦是犯罪集團最直接的獲利方式。但就這起攻擊如此高調的程度來看,馬上就被人發現是預料中的事。但這或許是歹徒這次攻擊「最穩當」的獲利方式。
對於社群網路及其他類似服務的使用者來說,這次無疑是上了寶貴的一課:就算您已做好萬全的防範措施,服務廠商本身的安全還是最重要的,這是永遠都無法改變的事實。
眼前活生生的教訓就是,對於服務廠商和企業來說,經營服務所用到的工具,本身或許就是最大的風險來源,而這也是經常被忽略或低估的風險。
Marques Brownlee 最後下了一個簡短有力總結:
對於 這整起事件您有什麼看法?讓我們在 Twitter 上 (@marknca) 好好討論一下 (我可沒有諷刺的意思喔)。