Twitter失陷社交工程攻擊防不勝防？

美國社交網站Twitter早前發出聲明，透露在7月中有多位名人及公司的賬戶被黑客入侵，認為是次黑客攻擊事件是針對個別Twitter員工進行社交工程（Social Engineering）攻擊，取得該等員工的權限，從而重置密碼、登入賬戶，並且送出詐騙帖子。Twitter正在調查事件，並繼續限制發出帖文和重設密碼，部分賬戶的功能亦受限制，稍後將會再公布如何善後。

是次被黑客入侵的賬戶多達130個，當中很多是有大量followers的名人或國際巨企，包括有蘋果公司、微軟創辦人蓋茨（Bill Gates）、美國民主黨總統候選人拜登、前美國總統奧巴馬、Tesla行政總裁馬斯克（Elon Musk），以及著名投資者畢非德（Warren Buffett）等等。

他們的Twitter賬戶都被貼上推廣比特幣的廣告，聲稱需要回饋社會，希望網民依據連結，將比特幣滙到指定網址，然後便會得到雙倍比特幣回報。這些帖文其後已被官方移除。

所謂「社交工程攻擊」，就是利用人性弱點，應用簡單的溝通和欺騙伎倆，以獲取賬戶、密碼、身份證號碼或其他敏感資料，來突破保安系統的資訊安全防護，進行非法的存取或破壞行為。

今次攻擊者就成功控制了部分Twitter員工資料，並使用他們的公司賬戶登入Twitter內部系統，包括通過Twitter的雙重認證系統（Two Factors Authentication），再利用Twitter公司內部的系統工具，登入該130個名人的賬戶。

蘋果曾低調補iCloud漏洞

其實，今次已經不是第一次有國際科技公司，因為私隱洩漏而導致名人的資料外洩，上一次較大規模的名人資料外洩事件，想必數到2014年，當時有一批荷里活女星，包括 Jennifer Lawrence、Kate Upton等，她們把裸照傳到蘋果的iCloud，卻被黑客入侵並放上貼圖網站，造成了美國史上最大宗「艷照門」。

跟這次Twitter不同，蘋果當年並沒有承認是自身系統出現問題，並反指黑客是利用正確的賬戶及密碼進入iCloud。不過，有保安專家發現，iCloud重設密碼的時候，要求用戶回答一些個人資料問題，而這些名人所設置的問題，大部分答案都可以在網上搜尋得到，例如小時候在哪裏居住、中學的學校名稱、小時候寵物的名稱等等，事後蘋果亦悄悄地修改了這個漏洞。

蘋果與美國聯邦調查局（FBI）聯手花了4年時間調查，最終成功於2019年拘捕兩名黑客，他們在2012年至2014年期間，利用網絡釣魚郵件，成功竊取了超過100個名人和其親人的賬戶密碼，盜取iCloud裏面的相片及其他資料。

六招提高警覺減傷害

社交工程攻擊是利用人性的弱點，來騙取網絡用戶的敏感資料，讓人覺得防不勝防。若能時刻提高警覺，例如經常更改密碼、開啟兩步驗證、不隨便向陌生人提供個人資料、勿開啟來歷不明的短訊或者電子郵件及附件、不隨便登入未經確認的網站、拒下載非法軟件或影片等等。

其實，只要大家做足以上保安措施，而且加強防範意識，就可以減少社交工程攻擊造成的傷害，加強保障個人私隱，令自己減少機會成為類似這次Twitter事件的受害者。

方保僑_香港互動市務商會會長