駭客 Croll 如何入侵 Twitter 帳戶

這件事剛剛傳​​遍了全世界。本週，一名來自多姆山的年輕法國網路用戶因在 2009 年入侵微博網站 Twitter 上的多個帳戶而被捕。他遭到聯邦調查局和 OCLCTIC 的追捕 (1)。

警方在克萊蒙費朗警察局拘留了 48 小時後，他於週三晚上被釋放。“我不是駭客。我是一個善良的海盜自稱駭客克羅爾的男子告訴法新社。我只是想證明大公司並不比任何網路使用者更安全，這就是我想傳達的訊息。»

然而，據法新社報道，這名年輕人因一次網路詐騙而被警方所知，據報道，他透過網路詐騙賺取了 15,000 歐元。由於他的新“功績”，他於 6 月 24 日被刑事法庭傳喚。

大約一年前，即 2009 年 6 月，Hacker Croll 接受了線上雜誌 Zataz 的採訪。然後，他解釋了他闖入知名人士（其中提到了美國總統巴拉克·奧巴馬的名字）或微博網站員工的Twitter 帳戶的方法，其中包括該網站的創始人之一埃文·威廉姆斯( Evan Williams)，他的Gmail 和亞馬遜帳戶也遭到駭客攻擊。

Hacker Croll 技術是基於社會工程，即收集個人資訊以推斷出某個人的行為的藝術。登入和密碼。以下是他接受札塔茲採訪的一些摘錄。

扎塔茲：可以–你向我們解釋一下你的方法？
駭客捲軸： 哦，這幾乎很簡單。這需要一點時間、運氣和好奇心。第一個行動，找到員工的電子郵件地址。我只需透過對屬於員工的網域執行 whois (2) 進行搜尋即可。然而，一開始，這很麻煩。一些註冊商 [網域管理者，編者註]隱藏地址以對抗垃圾郵件並為客戶保留更多的匿名性。我造訪了 Twitter 的「關於我們」頁面，查看了每位員工的個人資料。有些人提供了他們的網站網址。我只需要再做一次whois。

您對這些電子郵件做了什麼？
有些員工的地址類似“[電子郵件受保護]」。我認為在這種情況下不可能做任何事情，因為這些地址沒有密碼重置過程。其他員工的地址如@gmail.com。在 Gmail 中，另一個問題是，您只能在相關帳戶 24 小時不活動後才能存取秘密問題 (3)。由於大多數員工每天都會登錄，因此很難經歷這個過程。

因此，雅虎發動了攻擊！ ？
是的，還有其他員工提供了地址@yahoo.com。傑森·戈德曼（Jason Goldman）就是這樣的例子。我去雅虎！我點擊“忘記密碼”並輸入其地址。我遇到了第一個困難。

哪個 ？ 
雅虎！要求在能夠存取秘密問題之前驗證身份。為此，他要求您輸入帳戶中顯示的出生日期、郵遞區號和國家/地區。我從未成功邁出這一步，但幸運的是，該員工有一個 2002 年的博客，他在其中寫下了自己的生活。他的個人資料包括他的年齡和星座。因此我能夠確定他的出生年份。

你沒有白天嗎？
不，但透過搜尋文章，我很快就在 2004 年 10 月的一個頁面中找到了答案。十次錯誤嘗試後阻止電子郵件帳戶[在十次失敗的連線嘗試之後，編者註]。郵遞區號並不複雜。我使用 whois 找到了它。對於他的秘密而簡單的問題，這是他的出生地，聖路易斯。

套間？
然後我忘記了一個步驟，這就是毀了一切的原因。他和推特都不會看到或知道任何事情。

它是什麼這個錯誤？
該男子提供了幾封備份電子郵件來恢復他的密碼。在 Yahoo!，一旦您更改密碼、秘密問題的答案等，網頁郵件就會發送電子郵件通知。他就是這麼知道的！他當時登入了自己的 Gmail 帳號。

接下來你做了什麼？
當我進入他的雅虎帳戶後，我做的第一件事就是轉發他的備份電子郵件。我還編輯了他的秘密問題。然後我開始用關鍵字「密碼」搜尋他的消息。我遇過很多不同的密碼。他實際上仍然使用相同的密碼，只是有一點小小的變化，兩個字母。使用網站的前兩個字母。谷歌給了GOxxxx；推特：TWxxx； Gmail：GMxxx； ETC。

[…]

一件事接二連三地發生，這名年輕人成功黑掉了幾個推特帳號。但他聲稱從未試圖將他的資訊貨幣化。儘管如此，他現在仍面臨兩年監禁。

找到整個採訪關於你。

1. 打擊與資訊和通訊科技相關的犯罪的中央辦公室。

2. 搜尋服務可讓您取得有關網域名稱的信息，特別是有關其所有者的資訊。

3. 有些網路郵件在遺失密碼的情況下使用此技術：帳戶所有者必須回答一個問題，而他應該是唯一知道答案的人。如果他成功通過身份驗證，則會透過電子郵件向他發送新密碼。

🔴為了不錯過01net的任何新聞，請關注我們谷歌新聞等WhatsApp。