骗局泛滥!Twitter 需要强推双因素身份验证
伊隆·马斯克(Elon Musk)的推文让我生气,这有两个原因。
当他没有在 Twitter 上把真正的英雄指控为 性犯罪者 或是拿联邦政府机构 开涮 时,让我生气的就是他推文下面的内容。他大多数推文下面排名最高的回复是一些骗子伪装成他,试图把他的关注者引诱进比特币骗局。
这些 “快速致富”骗局 很简单,黑客使用偷来或泄露的密码登入一个经过验证的 Twitter 账户,然后改掉账户的名称、简介和头像——几乎都改成跟伊隆·马斯克一样——并在回复中说“点击这里给你发送比特币”或是类似的东西。
最终的结果看上去似乎是马斯克在回复自己的推文,鼓动人们把自己的比特币发送到骗子的钱包。
最新的“受害者”之一是 @FarahMenswear ,这家拥有大约 15500 名关注者的服装零售商在周一早间遭到黑客入侵,其 Twitter 账号开始推广一场所谓的“比特币大派送”。在骗局开始后没多久,骗子留下的比特币钱包地址就发生了 100 多笔交易,收到了 逾 5.84 个比特币 ——也就是,骗子仅用数小时就骗到了 37000 美元。很多 Twitter 用户报告称,骗子 “付费推广” 自己的推文,做大骗局以吸引更多的人上钩。
一方面,这种骗局非常容易实施,连我都会。另一方面,令人沮丧的是,骗子只有几小时就能挣到普通记者半年的工资。
尽管如此,对某些逍遥法外的成功骗子来说,37000 美元只不过是毛毛雨。上周,另一个骗子用 @PantheonBooks 在 一天之内 骗到了 18 万美元,其手段是欺骗人们投入比特币以换取高额回报。
另一场假冒伊隆·马斯克实施的比特币骗局。
为什么这种骗局如此容易得逞?
当然,骗局的设计很聪明。但是,这个普遍存在的问题在很大程度上可以归咎于 Twitter 对账户安全漠不关心、“放任自流”的做法。
这些加密货币骗局都涉及劫持账户,情况通常是,黑客使用 “凭证填充” (credential stuffing)来登入受害者的 Twitter 账户,也就是他们使用从其他网站或服务泄漏事件中得来的密码来进行登录操作。在几乎所有骗子得逞的案例中,遭到攻击的 Twitter 账户都不受双因素身份验证的保护。品牌厂商的社交媒体账户通常由多人共同运营,由于很难做到共享访问令牌,这些账户几乎从不使用双因素身份验证。
Twitter 的一位发言人表示,他们已经改进了对付加密货币骗局的办法,让用户能够看到的欺诈性推文数量大幅减少。该公司还表示,骗子也在不断变换方法,而 Twitter 试图做到领先一步。在很多情况下,等不到用户上报,Twitter 就已经把这些骗局清除掉了。
此外,Twitter 还表示,他们会经常提醒用户切换到更强的安全设置,比如双因素身份验证。
好吧,真是够了,Twitter!牵马到河边容易,逼马饮水难。所以,或许你们应该把水送到离马更近的地方。
在更糟糕的事情发生之前,Twitter 应该强制所有经过验证的账户使用双因素身份验证,特别是包括 政治人士 在内的一些大 V。对邮箱账户或其他社交媒体账户来说,切换到双因素身份验证早就不是什么麻烦事了。况且 Twitter 也早就支持这样的设置了,该公司在一年前甚至推出了 基于应用的认证选项 ,比基于短信的双因素身份验证更加安全。
如若不然,你们只能让伊隆·马斯克再也不要发推了……
图片来源:DAVID MCNEW / AFP / Getty Images
翻译:王灿均( @何无鱼 )
Twitter, those ‘verified’ bitcoin-pushing pillocks are pissing everyone off