揭开推特史上最大黑客入侵事件：十七岁少年的惊人骗术

文｜硅星人 CJ

编辑｜Vicky Xiao

制造推特史上最大规模入侵事件的黑客落网了。

那是推特最黑暗的一天：美国前总统奥巴马、股神巴菲特、微软创始人比尔·盖茨、硅谷钢铁侠马斯克、世界首富贝佐斯……美国最重磅的政商名流推特账户集体被盗，并且发送了一条比特币诈骗信息。

这次黑客攻击让推特的安全系统变成了一个笑话，如今他们被抓获了，竟是三名青少年：

英国的Mason Sheppard，化名“Chaewon”，现年19岁。

美国的Nima Fazeli，化名“Rolex” ，居住在佛罗里达州，现年22岁。

事件的中心人物：Graham Ivan Clark，佛罗里达州网名“Kirk”的黑客，现年17岁。

他们是如何完成了这场推特史上最大的黑客攻击？却又被抓获的呢？

黑客落网

虽然这些黑客少年掌握了“核武器”一般的力量，他们却用来骗取比特币。

加密货币号称难以追踪交易，但在加密货币交易所验证身份却需使用身份证件，美国调查部门就从中找到了漏洞。

美国联邦调查局表示，他们发现Sheppard使用了个人驾驶执照在Binance和Coinbase这两家加密货币交易所进行身份验证，并且发现他的帐户已经发送和接收了一些骗取的比特币。

Fazeli也使用驾照向Coinbase进行身份验证，调查称他的化名“Rolex”控制的帐户收到付款，以换取被盗的推特用户账户。

调查部门还从Coinbase获得了这些黑客所涉足的比特币地址数据，以及过去三名黑客在网络论坛Discord聊天和OGUsers论坛帖子中使用、提及的地址。

联邦调查局对来自三个来源的数据进行关联，能够跟踪三个站点上的黑客身份，并将它们链接到电子邮件和IP地址。

Fazeli在掩饰自己的身份方面还犯了诸多错误。首先，他使用一个邮箱地址在OGUsers论坛上注册了一个帐户，使用另一个邮箱地址来劫持推特帐户。

然而，他还使用相同的两个电子邮件地址注册Coinbase帐户，随后用驾照照片进行了验证。

此外，Fazili还使用其家庭网络来访问三个站点上的帐户，将其家庭IP地址保留在所有三个服务（Discord，Coinbase和OGUsers）的连接日志中。

Sheppard也是如此，他化名Chaewon加入网络论坛OGUsers。他在黑客事件当天在网站上发布了帖子，调查部门能够将Sheppard的Discord用户与其OGUsers用户联系起来。

调查部门还通过OGUsers泄露的数据库得到了确认，他们发现Chaewon在这里购买了视频游戏账户，其比特币地址已与推特黑客当天使用的地址相关联。

十七岁少年的骗术

在三名少年中，黑客事件的核心人物是Clark，他成功获取了控制推特账户的内部工具。

这名少年并非具有高超的电脑技术，而是拥有超出他年龄的骗术能力。

根据推特发布的信息，Clark使用“电话钓鱼诈骗”的形式，推测先是骗取了一些推特内部员工的接触内网的权限，进而了解了推特内部的运作流程，并锁定了有账户控制工具的员工。

接着，他又借助已经获得的推特内部信息，成功向第二批员工骗取了控制账户工具的权限。消息称他说服了一名推特员工他曾在推特IT部门工作，并欺骗了该员工给他提供权限。

然后，Clark进一步侵入了大量政商要人的账户，并在他们的推特帐户上发布了一条诈骗信息：如果将比特币发送到帐户，就双倍返还给受害者。

获得账户权限后，Clark开始在网络论坛上出售推特账号。Sheppard和Fazeli就是在此期间购买了账号。

Clark将骗取的资金转移到另一个帐户，实施诈骗期间获得了大约117000美元。

据推特发布的调查结果：

• 黑客使用窃取的工具锁定了130个推特帐户
• 后来从45个账户发送了推文
• 访问36个账户的站内信邮箱
• 下载了7个账户的数据

《纽约时报》调查发现，17岁的Clark也曾在微软的游戏Minecraft中骗取其他玩家的钱。而他的律师则称，这名少年拥有价值超过300万美元的比特币，并否认这些财富是通过诈骗获取的。

超越年龄的重罪

这三名少年制造了推特历史上最黑暗的一天。

尽管他们只是骗取比特币，但他们所控制的名人账户，真实力量足以扰乱金融市场，甚至有可能掀起社会混乱。

不论如何，他们都让推特的安防系统变成了一个笑话。

Fazeli被判处五年徒刑和25万美元罚款。Sheppard被指控犯有计算机入侵、电信诈骗罪和洗钱罪，其中最严重的罪名在美国应判20年徒刑和25万美元罚款。

罪魁祸首Clark目前已经入狱，并被指控犯有30项重罪，包括有组织的欺诈，通讯欺诈，身份盗窃和黑客攻击。

他被作为成年人指控——该案的检察官表示：“这不是一个普通的17岁少年”。并且新闻发布会明确表示，执法部门正在考虑黑客入侵的严重后果。

法官决定将保释金定为每29项罚款25000美元，总计72.5万美元。对于第30条指控，法官下令，如果Clark保释，他必须戴上电子监控器并被限制在家中，除非去看医生或律师。

法官禁止他使用任何设备访问互联网，并命令他如果拥有护照，则交出护照。

Clark还没有认罪，他的骗术细节也还在调查之中。但从这次案件中可以看出，可怕的不是技术，而是人心。

[1]https://www.zdnet.com/article/how-the-fbi-tracked-down-the-twitter-hackers/

[2]https://www.tampabay.com/news/crime/2020/08/01/twitter-teen-makes-first-court-appearance-in-tampa/