置頂
Gate 廣場|3/5 今日話題: #比特币创下近一月新高
🎁 解讀行情走勢,抽 5 位錦鯉送出 $2,500 仓位體驗券!
隨著白宮表示已向參議院提交凱文·沃什擔任美聯儲主席的提名,美國參議院未通過叫停特朗普打擊伊朗的投票,比特幣於今日凌晨創下 2 月 5 日以來新高,最高觸及 74,050 美元,加密貨幣總市值回升突破 2.538 萬億美元。
💬 本期熱議:
1️⃣ 凱文·沃什的提名是否意味著降息預期升溫?
2️⃣ 當前關口,你是持幣待漲、順勢追多,還是反手布局回調?
分享觀點,瓜分好禮 👉️ https://www.gate.com/post
📅 3/6 15:00 - 3/8 12:00 (UTC+8)Gate 廣場內容挖礦獎勵繼續升級!無論您是創作者還是用戶,挖礦新人還是頭部作者都能贏取好禮獲得大獎。現在就進入廣場探索吧!
創作者享受最高60%創作返佣
創作者獎勵加碼1500USDT:更多新人作者能瓜分獎池!
觀眾點擊交易組件交易贏大禮!最高50GT等新春壕禮等你拿!
詳情:https://www.gate.com/announcements/article/49802
格雷厄姆·伊凡·克拉克的推特安全漏洞:當社交工程擊敗技術
2020年7月,一名來自佛羅里達州坦帕的17歲少年完成了國家資助黑客只能夢想的事——他沒有用高級惡意軟件或利用零日漏洞入侵Twitter的伺服器。格雷厄姆·艾文·克拉克只是騙過了那些保護這些系統的人。這不是關於程式碼,而是關於心理學。
11萬美元的盜竊暴露了Twitter的致命弱點
2020年7月15日,Elon Musk、巴拉克·奧巴馬、傑夫·貝佐斯、蘋果公司和喬·拜登的驗證帳號都發佈了相同的訊息:「轉帳1,000美元比特幣,我會回傳2,000美元給你。」數小時內,超過11萬美元的加密貨幣流入了由攻擊者控制的錢包。在同一時間範圍內,Twitter做出了一個前所未有的決定——封鎖全球所有驗證帳號,這是他們從未使用過的核武器式選項。
網路陷入癱瘓。市場懷疑平台本身是否在根本層面被入侵。但這次違規與傳統駭客不同:沒有突破防火牆、沒有破解加密,也沒有利用漏洞。格雷厄姆·艾文·克拉克和他的同夥只用了一個簡單的方法就取得了全球130個最具影響力帳號的完全控制權——他們打電話給Twitter員工,並對他們說謊。
格雷厄姆·艾文·克拉克的數位學徒生涯:從遊戲詐騙到帳號盜竊
故事並非始於7月15日。它早在幾年前就開始了,在一個掙扎的社區裡,一個少年學會了欺騙比工作更有利可圖。格雷厄姆·艾文·克拉克從小就開始——在Minecraft中進行詐騙,結交玩家,提供出售遊戲內物品,收款後消失。當YouTuber曝光他的計畫時,他升級了手段,開始入侵他們的頻道,將受害者變成敵人,將控制權變成貨幣。
到15歲時,他發現了OGUsers——一個臭名昭著的線上論壇,黑客在那裡交易被盜的社交媒體帳號,並交流破解技術。值得注意的是,他並非通過寫程式或發現漏洞來參與。格雷厄姆·艾文·克拉克的武器是說服力。他的工具箱是魅力、壓力和心理操控。這是在他還不知道“社會工程學”這個詞之前,就已經掌握的社交工程。
SIM卡交換的突破:手機號碼成為主控鑰匙
16歲時,格雷厄姆·艾文·克拉克掌握了一項將定義他犯罪演變的技術:SIM卡交換。這個方法極其簡單——他會聯繫手機運營商,冒充帳號所有者,說服客服將手機號轉移到他手中的SIM卡上,突然間,他就控制了所有與雙重認證相關的內容:電子郵件帳號、加密貨幣錢包、銀行帳戶和恢復碼。
其中一個受害者是風險投資家格雷格·班尼特,他醒來時發現自己的數位錢包中超過100萬美元的比特幣不見了。當班尼特的團隊試圖聯繫攻擊者時,收到了一條旨在最大化合作意願的訊息:“付錢,否則我們會追蹤你的家人。”這個威脅並非空談——格雷厄姆的世界逐漸與有組織犯罪聯繫在一起,夥伴、競爭者和危險人物都在為利益或復仇而盤旋。
潛入:冒充IT支援獲得全能模式存取權
到2020年中期,隨著COVID-19迫使Twitter員工遠程在個人設備上工作,攻擊面大幅擴大。格雷厄姆·艾文·克拉克和他的青少年同夥鎖定了目標:Twitter本身。他們沒有試圖找到零日漏洞,而是建立了一個令人信服的假象。
攻擊者打電話給Twitter員工,聲稱自己是內部IT支援人員,正在進行安全審核。他們要求重設密碼,並引導員工進入假冒的公司登入頁面。數十名員工將帳號密碼輸入這些偽造的入口。一步步地,攻擊者沿著Twitter內部存取層級向上攀爬——從初級帳號到管理員帳號——直到找到他們要找的東西:一個能在整個平台重設密碼的“神模式”管理面板。
兩個少年現在掌握了Twitter的主控鑰匙。當他們在7月15日啟用這個存取權時,揭示了現代網路安全的令人不安的真相:認證系統的強度只取決於操作它的人。
FBI的反應:數位鑑識與傳統偵查的結合
FBI的調查速度遠超同類事件。兩週內,特工追蹤IP記錄、檢查Discord訊息,並重建SIM卡資料。數位線索直接指向格雷厄姆·艾文·克拉克。
指控非常嚴重——包括身份盜用、電信詐騙、未經授權的電腦存取和共謀等30項重罪。檢方建議判處總計210年的刑期。但格雷厄姆·艾文·克拉克的年齡徹底改變了他的法律結果。在少年法庭被起訴後,他與檢方達成認罪協議:三年少年拘留和三年緩刑。他在入侵Twitter時只有17歲,三年後在監獄裡度過了20歲,最後獲得自由。
不舒服的諷刺:促成格雷厄姆·艾文·克拉克的系統仍在運作
如今,Twitter由新所有者——Elon Musk於2022年收購,並將其改名為X。諷刺的是:每天湧入X平台的加密詐騙,正是利用格雷厄姆·艾文·克拉克所操縱的心理學。2020年成功騙過Twitter員工的社會工程技術,至今仍在2026年騙倒數百萬普通用戶。詐騙者冒充客服,創造緊迫感,部署假驗證徽章,利用人性中的弱點——這些都是格雷厄姆·艾文·克拉克所識別並利用的。
格雷厄姆·艾文·克拉克的攻擊揭示了現代安全的本質
社會工程學不需要技術天才。它需要理解恐懼、貪婪和信任在人類心理中的運作方式。格雷厄姆·艾文·克拉克證明,即使是最先進的安全架構,也能被比人更懂人的人輕易繞過。
關鍵教訓不是技術層面——而是行為層面:
持久的影響:格雷厄姆·艾文·克拉克如何改變安全對話
六年後,討論的焦點轉變了。企業開始認識到:社會工程學比大多數技術漏洞更具威脅。培訓計畫擴展,遠端工作安全規範成為標準。硬體安全金鑰也開始普及——不是為了阻止像格雷厄姆·艾文·克拉克這樣的人,而是讓他們的工作變得數學上更困難。
然而,根本的弱點依然存在。只要人類在操作安全系統,社會工程學就仍有可乘之機。格雷厄姆·艾文·克拉克不需要比Twitter的防禦者更厲害的駭客,他只需比目標更懂人性中的欺騙。
來自坦帕的少年並非靠創新突破Twitter的安全,而是掌握了資訊安全中最古老的攻擊面——人類的心智。