你想赚到比 Twitter 黑客更多的钱?不可能!
大家好,我是鸭哥。
今天,周五,要放假了,鸭哥给大家分享一篇关于黑客是如何在推特上进行攻击的文章,特别精彩。
前不久有黑客取得 Twitter 内部工具控制权,在几个超大 v 账号上发比特币诈骗信息,赚了小几十万美金。有人会说,你都已经有超大 v 账号的控制权了,怎么才赚这么点钱?
你行你上,你该怎么做?
想象一下:你突然发现了一个0day漏洞,想出了一种手段能任意进入这些Twitter大V的账户:Joe Biden、Kim Kardashian、Kanye West、XXXTentacion、Apple等,这只是你这个坏计划的第一步,那第二步应该是啥捏?
推特上的黑客找到了答案:在某大V的账户上发布 "向这个地址发送1个 BTC,我将返你2个 BTC"的信息,但是(这里是关键)并不是真的要发2个BTC给你。
在推特儿控制住局势之前,他们得想办法带着10多万美金跑路。
有些杠精(比如在推特,Hacker News等)肯定不服,并且还说如果是我的话,肯定会做些更有趣的事情。
接下来,让我们看看他们的想法,看看他们是不是真的能做得更好。
操纵股票市场
这是不是你最先想到的?感觉就是很简单:买一大堆特斯拉股票,登上马斯克的账户,发条推特儿 "以2000美元的价格私有化特斯拉",然后趁着价格上涨和马斯克那群人意识到被黑之间的时间卖出去。
呃,不过前提是你得有钱来买股票啊!但不少黑客真的很穷!就只有另外的一个选择了:做空股票。比如在推特上发布关于特斯拉新车系列的假消息,你提前做空这只股票,明天它肯定会在市场受到巨大冲击(只需在交易时间后执行的)。
不过说是这么说的,操作起来还有个特别大的问题,匿名参与股市是很困难的。美国证券交易委员会有各种监测措施,专门用来检测内幕交易和欺诈。。。
勒索
如果黑客获得了对所有Twitter账户的完全控制权,那么便意味着他们可以获取账户的直接信息。难道这不比发布假推文更有价值吗?想一想索尼泄密事件造成巨大的损失,或者可以看一下这个虽然是假的但还是有点儿可怕的汤姆-斯科特的视频,内容是关于一个 Gmail 密码检查被关闭一天的事件。
这种肯定会搞到一些钱,不过感觉不太值得。首先,你就是很难提前判断哪些账户的私信是有料的。像拜登这样的知名度账户一般都是社交媒体团队在管理,不大可能在推特儿发什么敏感信息。比较小的账户可能有更多有趣的八卦,因此,也不咋愿意或者根本没有能力给钱。
此方案还有一个问题,就是需要大量的操作,比如向每个被你入侵的用户发送单独的信息,跟踪谁支付了谁没支付,以及收集实际公开发布泄露的素材等等,这波操作还是挺烧钱的,勒索来勒索去的,最后发现入不敷出,嗯?小丑竟是你自己。。。
在暗网上出售
首先,我们就不要考虑暗网不好找买家的事情了,毕竟可能买家还没找到,你先被FBI带到局子里去了。。。
买家为了买这个漏洞能拿多少钱出来?要么买家打算以超过10万美金的价格把漏洞卖了,要么买家就是想拿漏洞搞别的事情,比如监视或情报收集什么的。(你别不信,真有这种事)
问题来了,这个特定的漏洞并不适合长期监控的业务。登录账户需要电子邮件,并触发密码重置(不知为啥也绕过了2FA)。密码重置触发了一封发往原始邮件地址的通知邮件,这基本上就是说明了账户被接管。在全世界都知道这个漏洞之前,黑客一般只有几个小时的时间。
黑客需要持续的访问,而且还是在目标不知道自己被监视的情况下进行监视。明说了吧,这个漏洞不可能实现这个想法的!
漏洞赏金
现在,我们有了新的进展......财大气粗的公司一般会给报告漏洞的白帽黑客巨资,所以你可以自产自销。虽然推特儿不会像比特币骗局那样支付100%的钱,但漏洞赏金计划的好处就是100%合法,风险它突然就降低了。那为啥黑客不走这条路呢?
有一种理论认为,如果这个黑客已经是XXX都知道的惯犯,那肯定有犯罪记录啥的,还想匿名拿漏洞赏金?这现实吗?这不得麻烦死了!
一般来说,推特压根儿都不会给10万美金?
看这条推文,OAuth 接管的价值是7700美元(税后你就只剩零头了)。如果是这样的话,呵呵哒,这就是推特儿的漏洞赏金计划的一个大问题了,你便知道了它的奖金真的少的可怜(在此,为那些提交漏洞的白帽子致敬)!
PS:技术漏洞也是要满足人家项目赏金的条件的~
网络钓鱼
好吧,也许这种方式可行:登录 Coinbase 的推特账户,发一条消息称:发布了一些“哇塞”的新功能,但是其实里面有指向某钓鱼网站的bit.ly链接。执行一个中继钓鱼攻击,你进入他们的 Coinbase 账户,同时绕过 2FA ,然后把他们所有的比特币、以太坊和狗狗币都发送给你自己的账户。
啊,不过这也有几个缺点,但也不是完全不能克服的呀~
首先,推特可能会很快删除该推文,所以,你可能需要搞定几个著名加密货币爱好者的账户。
其次,bit.ly 可能会禁用该特定 URL ,谷歌肯定会把这个钓鱼网站添加到他们的安全浏览列表中(所有主要浏览器都共享的)。哇哦,这样的话在用户访问你的网站之前就会出现加大加粗的大红色警告,这不等于把“我是骗子”写在脸上了吗?除此之外,无论你从哪家注册商买域名,就都可能会撤销的。所以,你不是需要一个钓鱼网站、一个域名和一个 URL,而是要提前建立几个这样的网站,一个网站凉了你还可以跳到另一个去。这就随便收入10万+?可能吗?
只能说,看你的运气和时机吧。在 Coinbase 账户中加密货币最多的人那也不大可能是最傻的人吧,所以不清楚你到底能搞多少钱,不过你试试还是可以的,就像,梦想还是要有的,万一实现了呢?
别看这些计划都很糟糕,但这都是一些常见的手段,而且这一切都是为了躺赚。 虽然攻击在执行上一般是跟吃了翔一样难受,但它也许是战术上最聪明的选择了。
这并不是说他们做的都是对的:我还是没办法解释为啥他们在整个攻击过程中都只使用了一个 BTC 地址( Coinbase 和其他交易所很快阻止了对这个地址的交易),而且他们的某些推文的措辞又很傻X,看得人尴尬症都要犯了。
最后吧,我觉得没有证据表明推特上的帖子只是真正攻击的 "幌子",也没有证据表明这次黑客攻击和xxx有关系。我觉得下面这条推文就总结得挺好的。
有重大影响的 bug 有时可以被任何人找到且利用,就像狗不知道怎么对付自己不小心抓到的车一样,这些 bug 没必要被夸张成那么重大。
参考
https://fortenf.org/e/security/2020/07/15/twitter-hack.html
有不少同学给鸭哥说,现在进大厂太难了!赚钱太难!因此,鸭哥特意邀请了华为、腾讯、阿里的朋友进群,与大家一起交流经验,一起增长技术。
有兴趣入群的同学,可长按扫描下方二维码,一定要备注:城市+昵称+技术方向,根据格式备注,可更快被通过且邀请进群。
▲长按扫描
2、Java 最常见的 208 道面试题:第四模块和第五模块答案
我就知道你会点赞+“在看”