据彭博社最新消息，小规模名流twitter遭骇客突袭该事件真相大白，主脑策划者为源自德克萨斯州的17岁少女希克斯·怀特（Grahamlvan Clark）。

希克斯·怀特（作者：WGNTV）

除此之外三名同党分别为源自爱尔兰的安德森·库珀（Mason Sheppard），和德克萨斯州洛里义的多吉·法兹利（Nima Fazeli）。现阶段三总和已遭拘捕。

主使希克斯·怀特（Grahamlvan Clark）遭遇主要就包括诈

最新消息一时间，有网民揶揄，

这般天才，如果惩处他到北欧国家安全部门组织工作。

但也有网民澄清，天才要说，但是主要就却是即使Twitter的可靠性做的极差。

至于黑客们如何成功盗取名流账户，Twitter最新官方澄清是采取了手机鱼叉式网络钓鱼攻击（ phone spear phishing attack）。本次FBI调查人员针对骇客的攻击行为做出了详细说明。

骇客攻击该事件回顾

7月15日，Twitter爆发史上最小规模安全漏洞该事件，主要就包括埃隆·特斯拉（Elon Musk），比尔·盖茨（Bill Gates），巴拉克·奥巴马（Barack Obama）、乔·拜登（Joe Biden）等众多名流在内的130个Twitter账户遭受到骇客攻击。

其中，45位名流账户被登录并发布比特币募集推文。

推文内容大致相似：

我在回馈社会。所有发送到一下地址的比特币都会被加倍寄回！如果你寄1000美元，我就寄回2000美元。只做30分钟。

所用推文最后全部附上了骇客的比特币钱包代码。

该事件一时间，Twitter官方立刻采取措施，限制了部分Twitter账户发布推文和重置密码等功能，从规模和影响来看，这场骇客攻击是Twitter史上爆发的最大的安全漏洞该事件。

希尔斯伯勒州州检察长安德鲁·沃伦（Andrew Warren）说：

骇客们利用名流twitter，旨在从主要就包括德克萨斯州在内的全国普通美国人那里偷钱。这种小规模的欺诈行为是精心策划的，我们绝不允许。

随后，美国执法部门对其展开了调查，最后将目标锁定在了17岁的怀特（Clark）、19岁的库珀（Sheppard）和22岁的法兹利（Fazeli）三人身上。

接受成年人的审判

据调查人员介绍，他们是在OGusers论坛上发现了嫌疑人的踪迹。OGusers是一个骇客论坛，主要就包括帖子，私人最新消息，IP地址，电子邮件地址和众多参与者的用户信息。

在Twitter该事件发生的当天，OGusers论坛上一个名为“ Chaewon”的帐号发布了一条帖子，声称可以更改与任何Twitter帐户关联的电子邮件地址，价格为250美元，并可以直接访问2500美元至3,000美元的帐户。如有需求可与Discourt用户联系。

与此同时，OGuser数据库显示，一位名“ Rolex”的账户表示，他可以控制注册到“ Rolex＃0373”的Discord帐户，因此，调查人员基本确定了法兹利（Fazeli）。

除此之外，在今年2月初，Chaewon还有一项盗版视频游戏账户的购买记录，该项交易的收付款地址正是本次该事件的比特币集群（比特币集群是一组钱包，可以绑定到单个个人或实体）。调查人员使用该账户的IP地址，绑定到另一个名为“ Mas”的OGuser帐户。最终发现该用户所使用

但是，据WFLA称，希尔斯伯勒州检察

同时，另三名成年人也在加利福尼亚州接受审查，库珀被指控串谋实施电汇欺诈，串谋洗钱和故意访问受保护的计算机三项罪名。 法兹利（Fazeli）被指控协助故意访问受保护计算机一项罪名。

他们是如何做到的？

在Twitter最新声明中指出，骇客们通过鱼叉式网络钓鱼，引导其内部员工登录不安全网站，泄露了Twitter系统的访问和管理权限。近日，首席法律官马克·拉施（Mark Rasch）对骇客的这种攻击手段进行了详细说明。

骇客通过全球最大的职场社交平台LinkedIn，获取Twitter员工的手机号和其他私人联系信息。随后致电员工，通过获取到的个人信息与员工建立信任，并确认其是否为Twitter系统授权人员。将他们引导到一个模仿内部Twitter VPN的网络钓鱼页面。当目标员工进入时，攻击者便获得了访问凭据。为了绕过Twitter所采用的两层身份信息验证，骇客在员工将信息输入到虚假的Twitter登录页面后的几秒钟内，便将凭据输入了真实的Twitter VPN门户。一旦员工输入了一次性密码，攻击者就进入了。

调查研究人员介绍，骇客们的计划之所以能取得成功，新冠疫情起到了关键作用。首先受疫情影响，大部分员工在家办公，他们使用的个人设备往往不能达到公司计算机的控制和访问限制的程度，除此之外，他们使用的VPN服务，可能尚未经过全面审核，而每个员工都拥有完全访问权限的帐户。但是，最重要的是，在家办公阻碍了员工面对面的相互验证，他们依赖的网络或手机信息越来越存在不可靠性。

那么，如何预防骇客的网络攻击？调查人员表示，对于如Twitter这样的技术服务商而言，最直接方法是使用硬件或证书检查，以确保单独使用盗取的凭据对入侵无效。除此之外，公司也必须加强网络监管，对骇客社区常用的转移技术有所了解，并与其他目标公司共享信息。

引用链接：雷锋网雷锋网雷锋网https://www.cnbc.com/2020/07/31/twitter-bitcoin-scam-masterminded-by-17-year-old.html

https://labs.unit221b.com/2020/07/31/how-the-coronavirus-enabled-the-twitter-hack-and-others-too/

https://mp.weixin.qq.com/s/3dg--xGTo8HxOWKuY_RT6g