“Doubleswitch”双重开关:一种针对有影响力的社交媒体账号的新型攻击

“Doubleswitch”双重开关:一种针对有影响力的社交媒体账号的新型攻击

前情提要

全世界的活动家都依赖于类似Facebook或Twitter这样的社交媒体平台来交流和宣传他们的反专制的思想和活动,这也使得他们的社交媒体账号成为攻击者的主要目标。攻击者控制账号可以使评论家们禁言或者名誉受损,也可能会利用账号散播虚假或错误消息。受害群体包括记者、社会活动家和人权捍卫者。尽管有时受害人可以通过在线服务重新找回账号,然而,最近在委内瑞拉、巴林、缅甸和其他地方,发现一些新兴的攻击手法,这种攻击的受害人无法通过标准的恢复程序找回其社交账号,我们称这种新型的账号劫持为“Doubleswitch”。

“Doubleswitch”的受害人不仅会失去对其社交媒体账号的控制权,也很难恢复这些账号,某些情况下,他们无法将账号找回。

“Doubleswitch”双重开关:一种针对有影响力的社交媒体账号的新型攻击

类似Facebook或Twitter这类社交媒体平台为信息和思想的传播提供了便利,但这些平台上的信息并不都是真实的。错误的,或者“虚假新闻”已经成为社交媒体平台面临的一个主要问题,一条错误的或虚假信息可能在瞬间影响到数以百万个用户。

在过去的几年中,我们已经看到了政党和其他团体如果利用有影响力的或领导人的社交账号传播虚假的消息,并且这个攻击策略总是能够取得人们的信任,相信所传播的消息是真实的。

尽管Facebook, Twitter 和 Google为公众人物提供了账号验证服务,但是我们已经发现多例黑客成功劫持经过验证的账号的案例,从合法账户中向百万名追随者发布虚假的消息。

目前,研究人员发现了一种新的狡猾的攻击技术,黑客通过这种技术接管经过验证的Twitter账号,并把它们重命名为有影响力的人,以便于散播虚假消息。

这种攻击被称为“DoubleSwitch”。最新的一份报告显示,黑客们瞄准了委内瑞拉、巴林和缅甸的记者、社会活动家和人权维护者的Twitter账户,其中一些账号被证实存在大量的追随者。

两名记者Milagros Socorro 和 Miguel Pizarro,同时也是委内瑞拉的议会成员被黑客攻击,使得这类攻击浮出了水面。

这类攻击到底有什么可怕之处?

黑客成功盗取受害人的账号之后,会修改账户的名称,利用社交媒体平台的账号回收机制,再注册一个新的账号,新的账号使用受害人的原账号名称并使用攻击者的电子邮件地址。这就意味着,每一次受害人试图通过常规的密码重置方式(邮箱找回)来收回自己的账号时,验证电子邮件都会发送到黑客手中,黑客会假装问题已经得到解决,从而使得受害人几乎无法追回自己的账户。

然后,黑客使用被劫持的验证过的账号(已经修改为另一个有影响力的名称),向原始账号的大量的追随者发布虚假消息。

虽然还无法确定黑客师如何成功劫持验证过的账号的,但推测很可能是从恶意软件或网络钓鱼攻击开始的。

“DoubleSwitch”攻击流程示例

我们不妨用一个示例,来说明DoubleSwitch这种攻击手法。

比如,一个黑客设法劫持了“The Hacker News”的Twitter账户(@thehackersnews),这一账户已经通过了验证,并且有368,000个粉丝,在信息安全圈里有相当的社会影响力。

“Doubleswitch”双重开关:一种针对有影响力的社交媒体账号的新型攻击

然后,”DoubleSwitch” 攻击开始了。

“Doubleswitch”双重开关:一种针对有影响力的社交媒体账号的新型攻击

第一个开关(The First Switch):一旦成功控制了受害人的账号,黑客首先会修改密码、相关的电子邮件地址和用户名信息,我们以苹果现任CEO 库克的twitter账号为例,真实的为“@tim_cook”(单下划线),黑客会把@thehackersnews 的账号名称修改为“@tim__cook”(双下划线)。

“Doubleswitch”双重开关:一种针对有影响力的社交媒体账号的新型攻击

现在,黑客持有一个经过验证的以苹果CEO 蒂姆库克命名的Twitter账号了,可以向来自科技行业的近370,000名有影响力追随者(原@thehackersnews 账号的粉丝)提供错误/虚假消息了,粉丝中的很多人都不会意识到这个账号被劫持了,而推特消息也是虚假的。

第二个开关(The Second Switch):黑客创建一个新的 Twitter 账号,与受害者原来的 Twitter 账号重名(示例中是@thehackersnews),这个操作是可行的,因为当一个 Twitter 账号被停用,这个账号就会释放给其他人使用。

但是注意,新注册的 Twitter 账号(@thehackersnews)没有经过验证,几乎也没有粉丝。

受害者为了找回账号,会使用密码重置流程进行申请,Twitter方面会向关联的电子邮箱发送邮件,而这个电子邮件已经是攻击者控制用来注册新账号的。

因此,受害人无法通过这种途径找回自己的账号,攻击者还可以简单的回复Twitter,账号问题已经解决,这就锁定了原账号合法的持有人。

幸运的事,Twitter还提供了备选方案,即在线提交信息,向Twitter团队报告账号被黑客攻击,然后Twitter会对该问题做相应的审查和调查,帮助受害人恢复他们的账号。

使用这种方式,可以帮助受害人重新找回账号,但是实际案例中,当记者重新访问自己的账号时,一些原来发布的消息都删除了,账号被用于散布关于委内瑞拉事件的假新闻,迷惑用户,损害了账号所有者的名誉。

这种攻击方式适用于Facebook 和 Instagram 平台,平台的用户可以通过启用双因素身份验证功能的服务为自己的账号提供更多的保护。

然而,对于委内瑞拉这样的国家的记者、社会活动家和人权维护者来说,双因素身份验证并不是一个好的解决方案,他们为了免于被人发现,一般不把个人身份信息(如电话号码)和他们的在线账户联系起来。

*参考来源:thehackernews,转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/102851.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code