Хакери у Twitter взяли понад 600 тис. Доларів; компанія говорить про соціальну інженерію

Все про

Twitter

Докладніше про Twitter

Дивитись більше

Хакери, відповідальні за гігантський порушення безпеки, що стався в середу (15), у Twitter в кишені придбали понад 600 тисяч доларів у криптовалютах. Це сума, зафіксована в перекладах до гаманця, розкритих злочинцями через десятки перевірених рахунків великих знаменитостей та політиків, в одному з найбільших зобов’язань, зафіксованих за всю історію соціальної мережі.

Дані показують, що адреса продовжує отримувати монети навіть у четвер вранці (16), навіть якщо в меншій кількості та після масового розповсюдження перевороту протягом останніх кількох годин. Активний, щонайменше, з травня 2020 року, гаманець отримав загалом 12,8 біткойнів, переважну більшість валют між ніччю цієї середи та світанком світанку, в результаті чого гігантська цінність є також однією з найуспішніших афери сегмент.

aieeee // t.co / aDRYMOWK0M pic.twitter.com/JOswhydjXn

- Дітер Бон (@backlon) 15 липня 2020 року

У "припливі доброзичливості", який тривав кілька годин, профільні компанії таких як Apple і великі імена, як Елон Маск, Кані Вест, Джо Бідден, Джефф Безос і навіть колишній президент США Барак Обама опублікували про кампанію з підтримки своїх громад під час нової пандемії коронавірусу. Пропозиція була спокусливою, але й давнє знайомство тих, хто стежить за новинами: надішліть будь-яку суму в біткойнах до певного гаманця і отримайте загальну суму в подвійному розмірі.

Відповідно до інформації, оприлюдненої лабораторією dfndr, лабораторією, що спеціалізується на цифровій безпеці в PSafe, афера може охопити понад 328 мільйонів людей через шахрайські профілі. У загальному рахунку, який хакери використовували для отримання платежів, було зафіксовано 372 трансакції, переважна більшість з яких відбулася за останні кілька годин. Однак настільки ж швидким, як і сам удар, було передача і пульверизація значень. З 12,8 біткойнів, отриманих за гаманець, лише 0,0089 залишаються там, сума еквівалентна меншій, ніж 500 доларів США. Решту було передано великими кількостями протягом ночі в середу.

Original text


Загальнодоступні записи показують загальну кількість отриманих хакерами біткойнів за п’ять годин, а також передачі, які вже поширили цінність на кілька портфелів (Зображення: Відтворення / Феліпе Демартіні)

Через саму соціальну мережу Twitter розміщував користувачів і стверджував, що атака соціальних інженерів є відповідальною за зірвані профілі. За даними компанії, узгоджена атака на працівників платформи дозволила хакерам отримати доступ до внутрішніх інструментів контролю профілю, за допомогою яких вони змогли розміщувати повідомлення від імені перевірених облікових записів. На даний момент, однак, це була єдина нерегулярна діяльність, підтверджена компанією.

Відповідь теж була хитка. Спочатку шахрайські повідомлення були видалені, але незабаром після того, як атаки були визначені, Twitter повністю обмежив можливість розміщення всіх перевірених облікових записів на платформі, навіть тих, які не зазнали нападу, які могли лише видавати телеканали або користуватися публікаціями. Окрім того, такі дії, як зміна паролів та "інші функції", були також відключені для деяких користувачів, з рефлексами, які все ще можна відчути вранці цього четверга.

Ми виявили, що ми вважаємо скоординованою атакою на соціальну інженерію людей, які успішно дісталися до деяких наших співробітників з доступом до внутрішніх інструментів та систем.

- Бразиль у Twitter? (@TwitterBrasil) 16 липня 2020 року

Перевірені бразильські профілі навіть мали можливість публікувати обмеження, але жодних повідомлень про те, що облікові записи користувачів тут піддаються компрометації, є атакою, яка, начебто, спрямована на англійських мовців. На запитання про це у звіті, речник Twitter не коментував події в нашій країні, надіславши Canaltech лише посилання на публікації, опубліковані офіційним національним обліковим записом соціальної мережі, що реплікує роз'яснення з міжнародної підтримки.

"Головний ключ"

Більше деталей про те, що сталося, однак було розкрито у звіті на веб-сайті Motherboard. Транспортний засіб навіть стверджує, що не було державного перевороту, як стверджує Twitter, але працівник соціальної мережі працював би разом з хакерами (і отримував за це), щоб звільнити доступ до перевірених профілів. Однак текст не підтверджує, чи відповідала ця сама особа за посади чи чи її діяння повинна звільнити внутрішню систему платформи, щоб злочинці могли діяти.

Зображення показують подробиці внутрішньої системи Twitter, порушеної під час вторгнення, що дозволило б розміщувати, блокувати та вживати інших дій на підтверджених акаунтах або зі спеціальним символом (Зображення: Відтворення / Заступник материнської плати)

Зображення системи внутрішнього управління профілем Twitter також були опубліковані на транспортному засобі, тоді як репродукції скріншотів у самій соціальній мережі були піддані блокуванню та вилучені самою компанією. Вони показують, як працює платформа зсередини, з кнопками та індикаторами на різних характеристиках профілю, таких як його статус перевірених, перевірки безпеки та активність. По цьому шляху повідомлялося, що можна було публікувати від імені керованих облікових записів.

Ідея про те, що треті сторони, можливо, діяли безпосередньо у профілях, виникла незабаром після того, як почалися публікації шахрайства, коли деякі дуже конкретні акаунти почали обмінюватися електронними адресами та вимикали двоетапну автентифікацію. Зокрема, це були користувачі, профілі яких складаються з кількох символів, що також гарантувало їм особливий захист через Twitter.

Принаймні одне з цих «вторгнень» було підтверджено проти акаунта Адріана Ламо, профіль якого лише @ 6. Хакер, вбитий у 2018 році, відповідав за взломи таких компаній, як Yahoo, Microsoft та The New York Times, а також відомо, що він є шахраєм Челсі Меннінг, колишньої військової служби США, яка просочила ряд офіційних урядових документів у WikiLeaks, в т.ч. зображення нападів на журналістів та рятувальників у Багдаді, Ірак.

FML давай @TwitterSupport Це лайно все ще триває ПІСЛЯ ви нібито виправили речі? pic.twitter.com/CbUuANq7BO

- Lucky225? 2️⃣ 2️⃣ 5️⃣? (@ lucky225) 16 липня 2020 року

Вторгнення було підтверджено Lucky225, хакером та другом фахівця, який контролював його профіль з часу смерті Ламо. За його словами, він отримав сповіщення електронною поштою про зміни, які були зроблені приблизно через півтори години після початку нападів, але не можна сказати, що ці дві фактично пов'язані між собою. Тим не менше, час змушує вас так подумати.

Більше всього цього він звернув увагу користувачів та міжнародної преси на існування такої системи контролю, яка здатна не лише перевіряти стан та інформацію облікових записів, чого можна було б очікувати, але й публікувати від імені від них. Отже, питання полягає в тому, що ще можна зробити за допомогою такого інструменту та чи можна отримати доступ до інших аспектів облікових записів, наприклад, прямих повідомлень. Про це теж Twitter не відповів.

Справа цієї середи також привернула увагу американського уряду. Ще в середу ввечері сенатор Джош Хоулі направив заяву виконавчому директору Twitter Джеку Дорсі, просячи пояснення щодо інциденту. У тексті він запитує, скільки користувачів постраждало загалом, як відбулося вторгнення, і особливо, якщо обліковий запис президента Дональда Трампа також був порушений. Виступ відображає занепокоєння, яке також є загальним: що робити, якщо цей тип вторгнення був використаний для спричинення міжнародного інциденту?

Важкий день для нас у Twitter. Всі ми відчуваємо жахливе, що це сталося.

Ми ставимо діагноз і поділимося всіма можливостями, коли матимемо більш повне розуміння того, що саме сталося.

? щоб наші товариші по команді наполегливо працювали, щоб зробити це правильно.

- джек (@jack) 16 липня 2020 року

Звичайно, Дорсі цього не коментувала. У Twitter він сказав лише, що це був "важкий" день для працівників Twitter. Він сказав, що шкодує про те, що сталося, і виявив підтримку тих, хто працює над вирішенням проблеми, пообіцявши більше інформації, як тільки сама компанія отримає всі подробиці про те, що сталося.

Це може бути набагато гірше, згідно з попередженням, опублікованим у четвер Касперським. "Атака на Twitter була безпрецедентною і дозволила поширювати зловмисний контент одночасно", - пояснив Дмитро Бестужев, директор групи досліджень і аналізу компанії в Латинській Америці. За даними експертів, у рамках кампанії було підготовлено 200 підроблених доменів, які, крім того, були опубліковані в облікових записах знаменитостей, і більше гаманців криптовалют, що може призвести до того, що вартість, отримана хакерами, буде ще більшою. .

"Користувачі не могли нічого зробити для запобігання атаки, яка передбачала інструменти для внутрішнього використання Twitter", - пояснює Деніз Джусто, фахівець з питань інформаційної безпеки ESET Латинської Америки. За її словами, цей ризик ніколи не дорівнює нулю, притаманний будь-якому корпоративному середовищу. "З цієї причини дуже важливо [щоб компанії] дотримувались принципів меншої пільги при призначенні дозволів користувачам, класифікуючи інформацію відповідно до їх чутливості та використовуючи засоби управління для запобігання витоку даних", додає він, даючи кілька порад, щоб те ж не відбувається з іншими гравцями в секторі.

Ми всі ризикуємо?

Сумна новина полягає в тому, що в цьому конкретному випадку Twitter користувачі могли зробити мало для захисту себе. Хороша річ, що подібні ситуації зустрічаються дуже рідко (Зображення: Відтворення)

Ідея компромісу з обліковим записом, який має місце вище рівня користувача та навіть змогла би подолати встановлений ним захист, щонайменше, лякає. Хоча бракує інформації про те, наскільки внутрішні системи Twitter можуть контролювати кожен профіль, а не лише перевірені, рекомендація експертів полягає в тому, щоб люди вкладали гроші в захист власних облікових записів.

"Оскільки ця атака сильно націлена, [атака] не представляє небезпеки для пересічного користувача", - пояснює Джусто. Однак афери проти звичайних користувачів трапляються постійно і їх можна уникнути простими заходами. Рекомендація експертів завжди використовувати захищені та різні паролі між службами, щоб витікання облікових даних з одного не ставити під загрозу решту. Крім того, для облікових записів електронної пошти та соціальних мереж більш важливого значення є також можливість двоетапної автентифікації, яка захищає акаунти навіть у разі порушення, що викриває паролі та інформацію про доступ.

Завжди варто встановити рішення безпеки на комп’ютері та смартфоні, оскільки вони можуть запобігти неналежним завантаженням або неспокійним загрозам вживати заходів. Також зверніть увагу на встановлені вами програми та їх шрифти, уникаючи завантаження поза офіційними джерелами або магазинами програм виробника. Ніколи не завантажуйте файли чи програмне забезпечення із посилань, які надходять через електронну пошту чи месенджери, особливо якщо вони надсилаються незнайомцями.

У разі порушень системи, таких як Twitter, важливо також стежити за самим обліковим записом у разі підозрілої діяльності. У такій ситуації видаліть шахрайські повідомлення та повідомте про контакти, якщо, як у ситуації на цьому тижні, публікація передбачає запити на гроші або надсилання персональних даних.

Джерело: Vice Motherboard, Ars Technica

Схожі Статті