Twitter比特幣騙局

Twitter比特幣騙局指協調世界時2020年7月15日多個擁有數百萬跟隨者的知名Twitter帳號遭他人盜用宣傳比特幣騙局的事件^[1][2]。入侵者誘惑用戶向特定的密碼貨幣錢包傳送比特幣，事後將會得到雙倍返還^[3]。《Vice》和《TechCrunch》引述消息人士指，詐騙犯似乎利用社會工程學手段取得Twitter的管理工具，利用工具修改帳號，並直接發布推文，而他們可能是從帶薪休假的Twitter員工或是被入侵的員工帳戶處直接取得該工具^[4][5][6] 。2020年7月31日，當局逮捕了三名被控電匯詐騙、洗錢、冒用身份及未經授權訪問電腦罪的嫌疑人^[7]。

2020年Twitter比特幣騙局

由蘋果公司帳號發布的一條代表性詐騙推文，其中的比特幣地址已被模糊處理。
日期	2020年7月15日20:00至22:00（UTC）
結果	詐騙犯共獲得至少價值11萬美元的比特幣

截至2020年7月16日，其中一個涉事地址已獲得不只12個比特幣，價值相當於11萬美元^[8]。推文發布幾分鐘後，其中一個錢包地址已收到320多項交易^[1]。

電腦安全公司CrowdStrike的創始人迪米特里·阿爾佩羅維奇（英語：Dmitri Alperovitch）形容事件是「主流社交媒體平台迄今為止所遭受的最嚴重入侵」^[2][9]。安全專家擔心社會工程學可能一直被用來執行黑客攻擊，從而影響社交媒體在一些重大網絡議題上所起的作用，包括2020年美國總統選舉前夕的話題^[10][11]。

事件

安全專家深入調查了此次騙局，發現最初發布詐騙訊息的是一些名字只有一兩個字元的帳號，例如「@6」^[12]。隨後一些加密貨幣服務的Twitter帳號於UTC時間2020年7月15日20點相繼發布訊息，包括Coinbase、CoinDesk和幣安^[13][11]。之後訊息轉移至一些跟隨度較高的帳號，其中最先發布詐騙推文的帳號是伊隆·馬斯克的，時間是UTC 20:17^[14]。其他名人的帳號，如巴拉克·奧巴馬、喬·拜登、比爾·蓋茨、謝菲·貝索斯、MrBeast、米高·彭博^[8]、禾倫·畢菲特^[15]、費萊迪·美韋達^[11]、金·卡達夏和坎耶·韋斯特^[16][2]，以及公司帳號，如蘋果、Uber和Cash App均遭到入侵^[17]。Twitter認為有130個帳號受影響^[18]，但其中只有45個發布了詐騙訊息^[19]，多數受影響的帳號有至少100萬跟隨者^[2]。

涉事推文表示，出於慈善目的，凡傳送比特幣者將獲得雙倍返還，以支援受2019冠狀病毒病疫情影響的人士。推文還附上在多家加密貨幣公司開設的電子錢包連結，不過持有這些連結的網站在推文發出後不久關閉^[3]。儘管Twitter上「雙倍返還比特幣」的騙局屢見不鮮，但知名帳戶發布相關詐騙訊息的情況卻是第一次發生^[2]。安全專家認為詐騙犯利用騙局進行「砸櫥窗搶劫」行動，即犯案者意識到入侵行動很快就會被制止，因而計劃讓百萬跟隨者中的一小部分落入騙局，從而在短時間內賺到快錢^[2]。涉事比特幣錢包有多個，最初公開的錢包獲得超過11.8萬美元的比特幣，另轉走6.1萬美元，而第二個錢包由於Twitter採取措施刪除推文，僅收到數千美元。尚未清楚上述款項是否由騙局策劃者加入帳號^[20]，而眾所周知比特幣詐騙者會在啟動計劃前向錢包充錢，從而使得詐騙行動看起來合法^[2]。新增款項大多來自中國用戶的錢包，只有約25%來自美國用戶錢包^[12]。之後，詐騙者迅速用多個帳號轉移新增資金，以此掩蓋身份^[12]。

部分遭入侵的帳號在詐騙訊息被刪除後多次發布^[21]，而推文標籤顯示這些訊息是經由Twitter網絡應用程式發出的^[22]。其中一則詐騙訊息在四小時內被傳送3000次，每則訊息均從不同國家的IP位址發出^[23]。由於內容重複，Twitter很快就辨識並刪除了這些訊息，採取行動制止騙局^[11]。

到UTC時間21:45，Twitter發聲明表示「已了解到影響Twitter帳號的安全事件」，「正採取措施修復問題」^[24]。不久後，多個帳號被禁止發布推文或修改密碼功能^[25]。Twitter未確認哪些帳號受到限制，但部分有認證的用戶確認他們無法發表推文^[26][27][25]。首則詐騙訊息發出後大約3個小時，Twitter表示已修復所有受影響的帳號，將登入憑證交還給帳號的真正擁有者^[28]。當天晚些時候，Twitter總裁積·多西說公司遭遇了「艱難的一天」，對事件表示震驚，承諾在全面了解事件原委後公布實情^[11]。其中一間比特幣交易所Coinbase將涉事地址列入黑名單，防止資金被匯入。他們表示已阻止1000多筆交易，總額超過28萬美元^[29]。

除了發布詐騙訊息，有8個被入侵帳號的數據遭下載，包括所有推文及私訊記錄，不過上述帳號為非認證用戶^[19][30]。Twitter稱，另有36個帳戶的私訊被檢視但沒有下載，包括荷蘭議員海爾特·維爾德斯，不過亦相信沒有其他現任或前任官員的私訊被檢視^[31][32]。

襲擊手法

就在Twitter努力平息事態的時候，《Vice》聯絡到四名自稱參與騙局的人士，並貼出四人拿到Twitter管理工具，可以更改部分受入侵帳號級別設置，包括確認郵箱等功能的截圖證據。憑藉管理工具，入侵者可以更改確認電子郵箱，讓其他有權訪問該郵箱的人士重設密碼，發布推文^[12]。幾位黑客告訴《Vice》，他們賄賂了Twitter的內部員工，順利拿到管理工具實施行動^[4]。

《TechCrunch》也發表了類似的報道，參照一名消息人士指部分訊息是由黑客討論區「OGUsers」^{[注 1]}的一名用戶發出的，該用戶在網站上聲稱已騙取10萬美元^[5]。該消息人士指，這位名叫「Kirk」的成員據稱入侵了一個員工帳號取得Twitter管理工具後，最初隨意請求接管帳號，後來轉變策略專門針對加密貨幣公司的帳號，從幣安開始，之後轉移到名人帳號。該人士不認為「Kirk」賄賂了Twitter的員工^[5]。

Twitter帳戶「@6」一直以來由美國知名黑客阿德里安·拉莫持有，代表拉莫家運營帳號的用戶表示，黑客執行的行動可以繞過他們為帳號設置的多重安全要素，包括多重要素驗證，進而表示管理工具被用來繞過帳號安全驗證^[12][33]。白宮發言人表示，總統當勞·特朗普的帳號可能是目標之一，但由於2017年的事件後被Twitter設置了額外的安全措施，因此未受入侵^[12]。

《紐約時報》證實了《Vice》和《TechCrunch》的報道，同時向涉事的類似背景人士及其他安全研究專家了解情況，其中專家曾發表類似證據截圖的其他安全研究專家確認，這些截圖曾在網上流傳，但由於Twitter認為這些截圖曝光了受入侵帳號的個人細節而將之刪除^[6]。《紐約時報》強調，受襲擊的對象大多是在2019冠狀病毒病疫情期間安排在家上班的公司，OGUsers的成員因而能訪問Twitter員工的Slack通訊渠道，摸清從家中遠端訪問公司伺服器的授權過程^[6]。Twitter之後確認已發現據信由成功入侵內部員工訪問內部系統和工具的人士所發動的聯合社會工程學襲擊^[4][34]，表示除採取措施鎖定受影響的認證帳號外，會展開內部調查，在評估事態以及惡意用戶是否破壞其他數據的過程中，限制員工訪問管理工具^[35][28]

到7月17日晚，Twitter強調已經從媒體了解到情況，表示「襲擊者成功操縱了少量員工，利用其憑據訪問Twitter的內部系統，包括破解我們的雙因素保護機制。截至目前，我們知道他們訪問了僅內部支援團隊能用的工具^[36]。」

彭博新聞社調查了Twitter的前任和現任員工，發現多達1500名Twitter員工及合作夥伴能夠使用管理工具，執行和事件相同的重設帳號操作。前員工告訴彭博社，直到2017年和2018年，擁有重設帳號權限的員工會玩弄該工具，憑藉其呈現的IP位址和地理位置資訊等有限元素跟蹤名人。Twitter發言人向彭博社表示，公司已進行「廣泛的安全培訓及管理監督」，監管使用該工具的員工和合作夥伴，目前尚無證據證明其客戶服務與帳戶管理夥伴有參與其中^[37]。

攻擊者

安全研究專家布萊恩·克雷布斯（英語：Brian Krebs）向《TechCrunch》確認路透社稱騙局起源於「OGUsers」組織的消息屬實^{[38][39][5][40]}。該組織的討論區最初成立的目的是向短名稱社交帳號交易提供合法平台，其創始人向路透社表示走私靠黑客入侵得到的憑證是禁止的^[40]。而該討論區的截圖顯示有多個用戶提供入侵Twitter帳號的服務，要價2000到3000美元不等。克雷布斯表示其中一名會員可能參與了2019年8月入侵多西帳號的行動^[38]。不過，創始人告訴路透社，截圖中的帳號自那時起被封禁^[40]。

案發翌日，聯邦調查局表示正對騙局展開調查，指事件使得「加密貨幣詐騙常態化」，是一種犯罪行為^[41]。美國參議院情報專責委員會也計劃就事件的其他資訊質問Twitter，該委員會的副主席馬克·沃納表示：「不法分子迅速接管重要帳號的能力預示着這種媒體環境存在脆弱性，不僅可以用於實施詐騙，還能夠有效製造混亂、破壞和政治惡作劇」^[12]。英國國家網絡安全中心（英語：National Cyber Security Centre (United Kingdom)）表示正就事件聯絡Twitter^[42]。

2020年7月31日，美國司法部宣布逮捕涉及案件的三名嫌犯。一人為19歲英國公民，被控串謀欺詐、串謀洗錢以及故意訪問受保護的電腦等罪名；一人為22歲佛羅里達州公民，被控協助和教唆他人跨國入侵電腦，兩人會在美國加利福尼亞北區聯邦地區法院受審。第三人為未成年人，由於年紀原因，其罪名由佛羅里達州少年法庭封存^[43]。負責監督該少年案件的佛羅里達州律師安德魯·華倫（Andrew Warren）表示，他們將以成年罪名對他進行審判，罪名涉及三十多項與重罪有關的指控，包括有組織的欺詐、通訊欺詐、盜用身份和黑客攻擊^[7][44]。然而涉案的佛州青少年於8月4日拒絕認罪^[45]。

反應

受影響的用戶保留轉發推文的能力，使得NBC新聞臨時設立未認證帳號繼續轉發主帳號的「重要新聞」^[46]。美國國家氣象局的部分預報員無法發布惡劣天氣預警，其中伊利諾伊州林肯市的氣象局就無法發布龍捲風警告（英語：tornado warning）^[47]。喬·拜登競選團隊向有線電視新聞網表示「正就事件聯絡Twitter」，指拜登的帳號「被封鎖」^[1]。出於安全考慮，Google暫停在搜尋結果中顯示Twitter輪轉內容^[48]，而Twitter也推遲計劃的新版應用程式介面的上線^[49]。

事發當天，Twitter公司股票的收盤價（英語：Extended-hours trading）下跌4%^[50]。

安全專家表示，儘管事件對金融方面的衝擊相對較小，但擔心社交媒體被社會工程學手段入侵，所涉事公司的內部員工帳號唾手可得，會對社交媒體產生重大威脅，尤其是在2020年美國總統選舉前夕，可能會引發國際事件^[10]。史丹福大學國家安全與合作中心（英語：Center for International Security and Cooperation）教授艾力士·斯塔莫斯（英語：Alex Stamos）表示「Twitter已經成為政治精英之間進行討論最重要的平台，有真正的漏洞」^[11]。

BitTorrent總裁孫宇晨懸賞100萬美元通緝黑客。發布這則通告的是BitTorrent的Twitter帳戶，公告指孫宇晨「會親自獎賞成功追蹤並提供證據將策劃襲擊影響社群的黑客繩之以法的人士」^[51][52]。

事發第二周，斯蒂夫·沃茲尼亞克連同另外17人向Google發起訴訟，聲稱該公司未採取有效措施刪除出現在YouTube上、用他及其他原告的名字聲稱他們支援騙局的比特幣騙局影片。沃茲尼亞克的訴狀指出，Twitter在事發當天便採取行動，而Google從未回應他和其他原告的請求^[53]。