騙局泛濫！Twitter 需要強推雙重認證

伊隆·馬斯克（Elon Musk）的推文讓我生氣，這有兩個原因。

當他沒有在 Twitter 上把真正的英雄指控為 性犯罪者 或是拿聯邦政府機構 開涮 時，讓我生氣的就是他推文下面的内容。他大多數推文下面排名最高的回複是一些騙子偽裝成他，試圖把他的關註者引誘進比特幣騙局。

這些 “快速致富”騙局 很簡單，黑客使用偷來或泄露的密碼登入一個經過驗證的 Twitter 賬戶，然後改掉賬戶的名稱、簡介和頭像——幾乎都改成跟伊隆·馬斯克一樣——並在回複中說“點擊這裏給你發送比特幣”或是類似的東西。

最終的結果看上去似乎是馬斯克在回複自己的推文，鼓動人們把自己的比特幣發送到騙子的錢包。

最新的“受害者”之一是 @FarahMenswear，這家擁有大約 15500 名關註者的服裝零售商在周一早間遭到黑客入侵，其 Twitter 賬號開始推廣一場所謂的“比特幣大派送”。在騙局開始後沒多久，騙子留下的比特幣錢包地址就發生了 100 多筆交易，收到了 逾 5.84 個比特幣 ——也就是，騙子僅用數小時就騙到了 37000 美元。很多 Twitter 用戶報告稱，騙子 “付費推廣” 自己的推文，做大騙局以吸引更多的人上鉤。

一方面，這種騙局非常容易實施，連我都會。另一方面，令人沮喪的是，騙子只有幾小時就能掙到普通記者半年的工資。

盡管如此，對某些逍遙法外的成功騙子來說，37000 美元隻不過是毛毛雨。上周，另一個騙子用 @PantheonBooks 在 一天之内 騙到了 18 萬美元，其手段是欺騙人們投入比特幣以換取高額回報。

另一場假冒伊隆·馬斯克實施的比特幣騙局。

為什麼這種騙局如此容易得逞？

當然，騙局的設計很聰明。但是，這個普遍存在的問題在很大程度上可以歸咎於 Twitter 對賬戶安全漠不關心、“放任自流”的做法。

這些加密貨幣騙局都涉及劫持賬戶，情況通常是，黑客使用 “憑證填充”（credential stuffing）來登入受害者的 Twitter 賬戶，也就是他們使用從其他網站或服務泄漏事件中得來的密碼來進行登錄操作。在幾乎所有騙子得逞的案例中，遭到攻擊的 Twitter 賬戶都不受雙因素身份驗證的保護。品牌廠商的社交媒體賬戶通常由多人共同運營，由於很難做到共享訪問令牌，這些賬戶幾乎從不使用雙重認證。

Twitter 的一位發言人表示，他們已經改進了對付加密貨幣騙局的辦法，讓用戶能夠看到的欺詐性推文數量大幅減少。該公司還表示，騙子也在不斷變換方法，而 Twitter 試圖做到領先一步。在很多情況下，等不到用戶上報，Twitter 就已經把這些騙局清除掉了。

此外，Twitter 還表示，他們會經常提醒用戶切換到更強的安全設置，比如雙因素身份驗證。

好吧，真是夠了，Twitter！牽馬到河邊容易，逼馬飲水難。所以，或許你們應該把水送到離馬更近的地方。

在更糟糕的事情發生之前，Twitter 應該強制所有經過驗證的賬戶使用雙重認證，特别是包括 政治人士 在内的一些大 V。對郵箱賬戶或其他社交媒體賬戶來說，切換到雙重認證早就不是什麼麻煩事了。況且 Twitter 也早就支持這樣的設置了，該公司在一年前甚至推出了 基於應用的認證選項 ，比基於短信的雙因素身份驗證更加安全。

如若不然，你們隻能讓伊隆·馬斯克再也不要發推了……

圖片來源：DAVID MCNEW / AFP / Getty Images

翻譯：王燦均（@何無魚）

Twitter, those ‘verified’ bitcoin-pushing pillocks are pissing everyone off