DeepTech深科技|推特名人账号大骗局告破，17岁美国少年或是主谋

7月31日，美国联邦调查局，国税局，特勤局和佛罗里达州执法机关逮捕了一名17岁美国少年格雷厄姆·克拉克（Graham Clark）。他被指控是策划推特史上最大的安全漏洞和隐私泄露案件的主谋。
在克拉克被逮捕后不久，美国司法部又对另外两名年轻人提出了指控：22岁的奥兰多少年尼玛·法泽利（Nima Fazeli）和19岁的英国少年梅森·谢普德（Mason Sheppard）。一名未披露身份的加利福尼亚未成年人也向联邦调查员承认，他/她帮助谢普德出售了推特账户的访问权限。
这还不算完。执法机构仍在调查这起惊人的推特账户被盗和比特币诈骗案，目标对象是推特内部员工。警方文件显示，克拉克很可能诱骗了一名在推特IT部门工作的员工，骗取了可以使用推特内部工具的凭据，直接以很高的权限实施盗窃和诈骗。
警方公布的资料写道：克拉克使用社会工程手段欺骗推特员工，使其相信他是IT部门的同事，诱导该员工提供内部工具的访问凭据，未经授权就获得了访问推特客服平台的权限。
随后，克拉克登录了很多名人和企业的账号，包括美国总统竞选者乔·拜登，前总统巴拉克·奥巴马，苹果公司等等。据推特统计，共有约130个账号遭到非法入侵， 45个被用来发表推文， 36个账号的私信被浏览。由于总统特朗普的账号有多重保护，因此没有受到影响。

本文插图
图 | 推特官方给出的受影响账号
再之后的事情就广为人知了。
7月15日，许多知名人士、公司和机构的推特账号突然发出措辞相似的比特币推文，声称“自己要回馈社会：如果有人将比特币发送到某一地址，就会收到双倍返还的比特币” 。
苹果、Uber、比特币官方账号（Bitcoin）、币安、Coinbase、马斯克、贝佐斯、比尔盖茨和奥巴马等官方认证账号都被卷入其中，好似一场放送比特币的狂欢派对。
可惜天上不会掉馅饼，如果你打钱了，就相当于白白把钱转到了别人的账户里，根本不会有双倍返还。如果不是这事儿闹得太大，鉴于比特币交易的特殊性，这笔钱基本上是石沉大海了。有经验的诈骗者会用购买礼品卡等手段将其洗白，追踪起来十分困难。
这其实是比特币诈骗中的最常见套路，几年前就已经出现了。有很多诈骗账号会将自己的名字和头像改成马斯克等名人，冒充他们发出这种推文。他们还会做出有模有样的倒计时网站，声称这个活动还有几分钟就要结束了，营造紧迫感。
但由官方认证的正牌账号发出这种推文还是头一遭。

本文插图
图 | 部分受到影响的知名推特账号
执法机关披露的文件显示，在一天之内，克拉克等人总共收到了415笔转账，诈骗了价值超过11.7万美元的比特币。
由此看来，再显眼的诈骗手段，也抵不过名人站台。
不过另一个关键问题仍然悬而未决：克拉克最开始是如何获得推特内部系统的访问权限的。
如前文所述，调查人员倾向于是社会工程技术，即诈骗者冒充同事或高管骗取员工信任，获取敏感数据、内部权限并实施诈骗，但具体是哪种手段仍在调查之中。推特的官方说法是遭受了“电话钓鱼攻击” ，也有早期报道声称是推特内部Slack系统被入侵，甚至是有员工被贿赂。
联邦执法人员还透露了锁定几名嫌疑人的方法。谢普德使用了个人驾照在币安和Coinbase加密货币交易所进行了身份验证，其账户地址发送和收取了一部分被骗走的比特币。法泽利的情况类似，其Coinbase账户与其驾照绑定，被发现收取了比特币作为出售推特账户的酬金。
分页标题

本文插图
图 | 用来诈骗的网站长这样
法泽利和谢普德分别使用了网名“Rolex”和“ever so anxious”在Discord平台联络，不过他们只是中间人。调查人员认为，此案主谋是一个名为“Kirk”或“Kirk#5270”的黑客，就是他/她非法获取了推特内部工具的权限，然后找上了法泽利和谢普德帮他寻找下家，贩售特殊账号或者帮人重置账号的绑定邮箱。
目前尚不清楚已被拘捕的克拉克是否就是“Kirk#5270” ， FBI表示案件仍在调查之中，但多项证据暗示两者就是同一个人。
警方获得的Discord聊天记录披露了更多细节。
“Kirk”最初向“Rolex”和“ever so anxious”表示自己的推特员工，可以修改任何账号的资料和推文，甚至是重新绑定邮箱。言语间满是得意，但没忘记让他们低调。
不过两人也都是老网民了，虚拟世界口说无凭，哪能直接相信。于是“Rolex”要来了两人的推特账户，直接用推特内部工具访问了账号，还展示了给停用一年多的账号重新绑定邮箱， “Kirk”最终赢得了两人的信任。
随后他们就开始谋划在OGUsers.com论坛出售账号，价格视账号是否知名，经过认证或者是原创账号（OG账号）而定，但“Kirk”坚持1000美元是起价，同时还有修改绑定邮箱服务，叫价250美元/账号。

本文插图

本文插图
图 | “Kirk”和“Rolex”的聊天记录这种所谓的OG推特账号，字面意思是做原创内容的号，但可以引申出多种含义：有的类似于微博认证号（通常有大量关注者），有的类似于QQ靓号（比如@1234567），也有带有特殊含义或者特别酷的账号（比如@Cool）。
至少有两个账号被成功交易了，分别是“@obinna”和“@drug” 。 “ever so anxious”自己也买了一个名为“anxious”的账号——可能是为了与自己的网名相呼应。
另一个值得一提的细节是，警方之所以能这么快就锁定几人的真实身份，除了利用比特币地址和交易所信息，还用到了OGUsers论坛之前被泄露的数据。
2020年4月2日， OGUsers论坛遭到黑客攻击，所有用户的信息都泄露了，包括私人聊天记录， IP地址和电子邮箱等等，全部被黑客挂到了网上。对于一个游走在灰色地带的网站和上面的用户来说，几乎称得上是毁灭性打击。
更可怕的是， FBI借着黑客的光，顺手下载了一份数据库（这操作可以，很FBI）。

本文插图
没想到3个多月之后，这份数据就帮了FBI大忙。他们先找到谁发的贴子，然后直接在数据库里匹配IP地址和电子邮箱，简直不要太省事儿。
FBI还顺带翻了翻用户以前的聊天记录，恰好又找出几个比特币地址——它们都指向加密货币交易所里面的同一个账户，证据确凿。
目前，三人都面临洗钱和欺诈等指控，单项指控的刑期从5-20年不等，罚款也超过25万美元。其中克拉克一人就面临30项指控，包括有组织欺诈、通信欺诈，未经授权访问计算机或电子设备，欺诈性使用个人信息等等。
“这不是游戏……这些都是严重的罪行，会带来严重的后果， ”佛罗里达检察官安德鲁·沃伦警告称， “如果你觉得自己可以在网上欺骗别人，拿到不义之财后溜之大吉，那就等着联邦特工早上6点钟去你家敲门吧。 ”
-End-
参考：
【DeepTech深科技|推特名人账号大骗局告破，17岁美国少年或是主谋】分页标题