Alcuni dipendenti di Twitter sono stati oggetto di un attacco di ingegneria sociale che ha coinvolto un gran numero di account Twitter di alto profilo – Barack Obama, Joe Biden, Elon Musk; gli account ufficiali di Uber e Apple; i cambi di criptovaluta.
Gli account compromessi sono stati poi utilizzati per promuovere una truffa di criptovalute che prometteva di raddoppiare la quantità di bitcoin inviata a un certo indirizzo wallet, entro un periodo di tempo limitato.
Inoltre, gli account compromessi di grandi scambiatori di critpovalute e i leader delle community di criptovalute hanno persino dichiarato di essere partner di un’organizzazione, fittizia, chiamata “CryptoForHealth”:
Il sito web citato in quei tweet, cryptoforhealth[.]com, è stato registrato lo stesso giorno dell’attacco col pretesto di aiutare la comunità dopo le perdite finanziarie causate da COVID-19. In realtà, il sito web chiedeva l’invio di bitcoin allo stesso indirizzo del wallet che appariva nei tweet.
Sebbene l’attacco sia durato poco e Twitter abbia rapidamente bloccato e recuperato gli account interessati, uno sguardo all’indirizzo del portafoglio Bitcoin mostra che gli aggressori sono riusciti a farla franca con 12,85BTC, quasi 120.000 dollari, e stavano già trasferendo il denaro su altri conti Bitcoin per l’incasso:
Vettore d’attacco
Ci sono alcuni metodi con cui un tale attacco avrebbe potuto verificarsi.
Twitter ha annunciato che sono state utilizzate tecniche di social engineering per accedere ai loro sistemi interni.
Una tale compromissione attraverso l’attacco di ingegneria sociale avrebbe potuto iniziare utilizzando diversi possibili vettori di infezione. Una possibilità comune è l’attacco di e-mail di spear-phishing, con la consegna di un malware allegato o di un link a una pagina di phishing. In entrambi i casi è spesso accompagnato da una sorta di social engineering per motivare l’utente a eseguire il payload allegato o a inserire le proprie credenziali in una pagina di phishing fraudolenta.
Un possibile vettore di attacco che corrisponde anche alle spiegazioni precedenti è il voice phishing o Vishing. Si tratta di una tattica di ingegneria sociale che consiste nel telefonare ai dipendenti con il phishing per guadagnare fiducia, raccogliere dettagli e ingannarli per farli agire. Negli ultimi mesi sempre più organizzazioni hanno segnalato che i loro collaboratori sono stati bersaglio di tali chiamate di Vishing.
Motherboard offre un altro potenziale scenario, in cui gli aggressori hanno collaborato internamente con i collaboratori di Twitter che hanno pagato per modificare gli indirizzi e-mail dietro gli account mirati utilizzando uno strumento interno di Twitter.
Si presume che gli screenshot di questo strumento siano stati condivisi in forum di hacking sotterranei:
Una lunga storia di falle
Non è la prima volta che la privacy degli utenti della piattaforma social viene compromessa dai suoi collaboratori, né è la prima volta che i collaboratori di Twitter sono responsabili della divulgazione di dati sensibili.
L’account del CEO di Twitter Jack Dorsey è stato compromesso alcuni mesi fa dopo che il suo numero di telefono è stato acquisito in un attacco di scambio di SIM. L’anno scorso, due dipendenti sono stati accusati di aver abusato del loro accesso alle risorse interne di Twitter e di aver aiutato l’Arabia Saudita a spiare i dissidenti residenti all’estero.
Sebbene Twitter non abbia ancora condiviso tutti i dettagli di questo incidente, si può notare che cause diverse di fondo nei casi precedenti hanno portato a risultati simili. Che si tratti di dipendenti scontenti o di attacchi di social engineering su misura, il vero problema è la difficoltà di limitare l’accesso alle risorse interne ed evitare che diventino un unico punto di fallimento.
Questa volta, tuttavia, sembra che Twitter si stia attivando per evitare che tali incidenti si ripetano in futuro, rendendo meno accessibili strumenti come quello presumibilmente utilizzato in questo attacco:
Semmai, la compromissione di Twitter dimostra che nel mondo di oggi, caratterizzato da eventi sempre più frequenti di perdita di dati, le organizzazioni non hanno altra scelta se non quella di agire per proteggere i dati sensibili. I dati confidenziali dei dipendenti e dei clienti, i documenti legali e la proprietà intellettuale sono quotidianamente esposti a soggetti indesiderati.
Conclusioni
Il social engineering non è efficace solo per ottenere l’accesso ai beni aziendali; motivare gli utenti di twitter a trasferire 120.000 dollari in un wallet sconosciuto, con le false promesse fatte dalle celebrità, è un eccellente esempio di uso malevolo del social engineering.
Quando immaginiamo potenziali minacce alla sicurezza informatica, spesso immaginiamo che gli avversari stranieri si infiltrino nel loro modo di rubare la proprietà intellettuale o di intraprendere attività dannose. Questo è vero in molti casi, ma in realtà almeno il 30% delle violazioni coinvolge attori interni all’azienda.
Le misure di protezione dovrebbero affrontare gli incidenti derivanti da minacce sia interne che esterne. Check Point CloudGuard SaaS blocca sofisticati attacchi di phishing che sfruttano le tecniche di social engineering prima che raggiungano gli utenti, proteggendo così le organizzazioni dal loro anello più debole – gli utenti finali. Inoltre, impedisce il movimento laterale degli attacchi all’interno dell’organizzazione attraverso la scansione e il blocco delle minacce interne in tempo reale, blocca gli attacchi di acquisizione di account che tentano di dirottare gli account dei dipendenti – anche se le loro credenziali sono state rubate, e previene la fuga di dati sensibili secondo le policy aziendali – sia attraverso le applicazioni di e-mail cloud che attraverso le suite di produttività.
Check Point Data Loss Prevention (DLP) protegge preventivamente la vostra azienda dalla perdita involontaria di informazioni preziose e sensibili. Inoltre, monitora il movimento dei dati e consente ai vostri dipendenti di lavorare con fiducia, pur rimanendo conformi alle normative e agli standard del settore.
