2020-as Twitter-fiókeltérítés - 2020 Twitter account hijacking

A Wikipédiából, a szabad enciklopédiából

2020 Twitter-fiók eltérítése
Az Apple tweetje, amely így hangzik: "Visszaadjuk közösségünknek. Támogatjuk a Bitcoin-ot, és úgy gondoljuk, hogy neked is kell! Minden címünkre küldött Bitcoin-t megduplázva küldünk vissza neked!"  A bitcoin cím után ez olvasható: "Csak a következő 30 percben folytatódik".
Reprezentatív átverés tweet az Apple feltört fiókjából.
Dátum 2020. július 15., 20: 00–22: 00, UTC
Ok Koordinált szociális mérnöki támadás
Cél Jelentősen ellenőrzött Twitter- fiókok
Eredmény Legalább 130 fiók érintett. Az érintett bitcoin címek körülbelül 110 000 USD-t kaptak bitcoin tranzakciókban.
Letartóztatások 3., 2020. július 31-én

2020. július 15-én, UTC 20: 00-22 : 00 között állítólag 130 nagy horderejű Twitter- fiókot veszélyeztettek külső felek a bitcoin átverés népszerűsítése érdekében . A Twitter és más médiaforrások megerősítették, hogy az elkövetők hozzáférést kaptak a Twitter adminisztrációs eszközeihez, hogy maguk módosíthassák a fiókokat, és közvetlenül közzétehessék a tweeteket. Úgy tűnt, hogy a szociális mérnököket használták az eszközökhöz való hozzáféréshez a Twitter munkatársai révén. Három személyt 2020. július 31-én tartóztattak le a hatóságok, akiket csalással , pénzmosással , személyazonosság-lopással és a csalással kapcsolatos jogosulatlan számítógépes hozzáféréssel vádoltak .

Az átverésről szóló tweetek arra kérték az egyéneket, hogy küldjenek bitcoin valutát egy adott kriptovaluta pénztárcába , azzal a Twitter-felhasználó ígéretével, hogy az elküldött pénzt megduplázzák és jótékonysági gesztusként visszafizetik. A kezdeti tweettől számított néhány percen belül már több mint 320 tranzakció történt az egyik pénztárca címen, és 110 000 USD- nál nagyobb értékű bitcoin került egy számlára, mielőtt a csaló üzeneteket a Twitter eltávolította. Ezenkívül nyolc nem ellenőrzött fiók teljes üzenettörténeti adatait is megszerezték.

Dmitri Alperovitch , a társ-alapítója kiberbiztonsági cég CrowdStrike , le az esetet: „a legrosszabb hack egy nagy szociális média platform még.” A Szövetségi Nyomozó Iroda (FBI) és más bűnüldöző szervek vizsgálják az átverést és a Twitter által használt biztonságot. A biztonságkutatók aggodalmukat fejezték ki amiatt, hogy a feltörés végrehajtására használt társadalmi tervezés befolyásolhatja a közösségi média használatát fontos online megbeszélések során, ideértve az Egyesült Államok 2020-as elnökválasztásán való részvételt is .

Incidens

Az átverés törvényszéki elemzése azt mutatta, hogy az első csalási üzeneteket először rövid, egy- vagy két karakterből álló megkülönböztető nevű fiókok tették közzé, például "@ 6". Ezt kriptovaluta Twitter-fiókok követték 2020. július 15-én 20 óra UTC körül, beleértve a Coinbase , a CoinDesk és a Binance fiókjait is . Az átverés ezután több nagy horderejű fiókba költözött, az első ilyen tweet Elon Musk Twitter-fiókjáról 20: 17-kor UTC-kor érkezett. Más nyilvánvalóan veszélyeztetett számlák között olyan ismert személyek voltak, mint Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian és Kanye West ; és olyan vállalatok, mint az Apple , az Uber és a Cash App . A Twitter szerint 130 fiókot érintett, bár valójában csak 45-et használtak az átverés üzenetének tweetelésére; az átverés során elért fiókok többségének legalább egymillió követője volt.

Az átverés-feltörésben résztvevő tweetek azt állították, hogy a küldő jótékonysági célból minden felhasználónak megtéríti az adott pénztárcába küldött bitcoin értékének dupláját, gyakran a COVID-19 segélyezési erőfeszítéseinek részeként. A tweetek számos kriptovaluta-társaság kártékony linkek megosztását követték; a linkeket tároló weboldalt nem sokkal a tweetek közzététele után eltávolították. Míg az ilyen "duplájáért a bitcoinért" csalások már korábban is elterjedtek a Twitteren, ez az első olyan nagy példa, amelyet nagy horderejű fiókoknál használnak. Biztonsági szakértők úgy vélik, hogy az elkövetők az átverést " összetörés és megragadás " műveletként hajtották végre: Tudva, hogy a számlákba történő behatolás gyorsan lezárul, az elkövetők valószínűleg azt tervezték, hogy az ezeket a számlákat követő millióknak csak egy töredékének kell esnie. az átverés rövid idő alatt, hogy gyorsan pénzt keressen belőle. Több bitcoin pénztárcát is felsoroltak ezeken a weboldalakon; az első megfigyelt több mint 320 tranzakcióból 12 bitcoint kapott , több mint 118 000 USD értékben , és körülbelül 61 000 USD-t távolítottak el belőle, míg egy másodiknak csak ezer dollárnyi összege volt, miközben a Twitter lépéseket tett a kiküldetés leállítására. Nem világos, hogy ezeket az átverés által irányítottak tették-e hozzá, mivel a bitcoin csalók köztudomásúan pénzt adnak pénztárcájukba a rendszerek megkezdése előtt, hogy az átverés jogszerűnek tűnjön. A hozzáadott alapok többsége kínai tulajdonú pénztárcákból származott, de körülbelül 25% az Egyesült Államok pénztárcájából származott. Miután hozzáadta, a kriptovalutát utólag több számlán keresztül utalták át identitásuk elhomályosítására.

A megsértett fiókok egy része többször is küldött átverési üzeneteket, még azután is, hogy néhány üzenetet töröltek. A tweeteket a Twitter webalkalmazással címkézve jelölték meg . Az átverés egyik mondatát több mint 3000 alkalommal tweetelték négy óra leforgása alatt, és tweeteket küldtek sok különböző országhoz kapcsolt IP-címekről . Az újrafelhasználott megfogalmazás lehetővé tette a Twitter számára, hogy könnyedén eltávolítsa a sértő tweeteket, miközben lépéseket tettek az átverés megállítására.

UTC 21:45 óráig a Twitter közleményt adott ki, miszerint "tudatában vannak a Twitter fiókjait érintő biztonsági eseménynek", és "lépéseket tesznek a probléma megoldására". Nem sokkal később letiltotta egyes fiókok tweetelését vagy jelszavuk alaphelyzetbe állítását; A Twitter nem erősítette meg, hogy mely fiókok voltak korlátozva, de sok olyan felhasználó, akinek a fiókját a Twitter "igazoltnak" jelölte, megerősítette, hogy nem tudott tweetelni. Körülbelül három órával az első átverési tweetek után a Twitter arról számolt be, hogy úgy vélik, hogy az összes érintett fiókot feloldották, hogy visszaállítsák a jogosultok jogosítványait. Később aznap éjjel Jack Dorsey , a Twitter vezérigazgatója azt mondta, hogy "nehéz nap volt számunkra a Twitteren. Mindannyian szörnyűnek érezzük, hogy ez történt. Diagnosztizálunk és mindent meg fogunk osztani, amit csak lehet, ha teljesebb megértésünk van arról, hogy pontosan mi történt". Legalább egy kriptovaluta-csere, a Coinbase feketelistára tette a bitcoin címeket, hogy megakadályozza a pénzküldést. A Coinbase szerint több mint 1000 tranzakciót állítottak meg, összesen több mint 280 000 USD-t .

A tweetek kiküldése mellett nyolc sérült fiók fiókadatait is letöltötték, beleértve az összes létrehozott bejegyzést és közvetlen üzenetet, bár ezek a fiókok egyike sem tartoztak ellenőrzött felhasználókhoz. A Twitter azt is gyanította, hogy harminchat másik fiók közvetlen üzeneteit érte el, de nem töltötte le, beleértve Geert Wilders holland parlamenti képviselőt is , de úgy vélte, hogy más jelenlegi vagy volt megválasztott tisztviselőhöz nem férnek hozzá az üzenetek.

A támadás módszere

Mivel a Twitter július 15-én igyekezett megoldani a helyzetet, az alelnökhöz legalább négy olyan személy felvette a kapcsolatot, akik azt állították, hogy részesei az átverésnek, és a webhelyhez képernyőképeket adott át, amelyekből kiderül, hogy hozzáférhettek egy közismert Twitter-adminisztrációs eszközhöz. mint "ügynök eszköz", amely lehetővé tette számukra, hogy megváltoztassák a sérült fiókok egyes fiókszintű beállításait, beleértve a fiók megerősítő e-mailjeit is. Ez lehetővé tette számukra, hogy olyan e-mail címeket állítsanak be, amelyeket bármely más, az e-mail fiókhoz hozzáféréssel rendelkező felhasználó kezdeményezhet jelszó-visszaállítást és közzéteheti a tweeteket. Ezek a hackerek azt mondták az Vice-nak , hogy fizettek bennfenteseknek a Twitteren, hogy hozzáférjenek az adminisztrációs eszközhöz, hogy ezt lehessen kihúzni.

A TechCrunch hasonló módon számolt be egy forrás alapján, amely szerint egyes üzenetek egy "OGUsers" nevű hacker fórum egyik tagjától származnak, aki azt állította, hogy több mint 100 000 dollárt keresett belőle. Szerint a TechCrunch „s forrás, ez a tag»Kirk«állítólag bejutott a Twitter felügyeleti eszköz valószínűleg egy sérült munkavállaló számla, és miután először kínál átvenni egyetlen számla kérésre kapcsolva stratégiák cél cryptocurrency számlák kezdve Binance és majd magasabb profilúak. A forrás nem gondolta, hogy Kirk fizetett egy Twitter alkalmazottnak a hozzáférésért.

A "@ 6" Twitter Adrian Lamóé volt , és a Lamo családja nevében a fiókot vezető felhasználó arról számolt be, hogy a feltörést végrehajtó csoport meg tudta kerülni számos, a számlán beállított biztonsági tényezőt, köztük két tényezőt hitelesítés , jelezve továbbá, hogy az adminisztrációs eszközöket használták a fiók biztonságának megkerülésére. A Fehér Ház szóvivői kijelentették, hogy Donald Trump elnök beszámolója, amely célpont lehet, további biztonsági intézkedéseket hajtott végre a Twitteren egy 2017-es eset után, ezért a csalás nem érintette őket.

Vice s és TechCrunch ” s forrásokból alátámasztották a The New York Times , aki beszélt a hasonló részt vevő személyek az események, és a többi biztonsági kutatók, akik kaptak hasonló képernyők és tweets ilyen képernyők tettek, de a Twitter eltávolított ezeket, mivel felfedték a megsértett fiókok személyes adatait. A New York Times azt is megerősítette, hogy a támadás vektora a vállalat nagy részével volt otthon, a COVID-19 járvány közepette; az OGUsers tagjai hozzáférhettek a Twitter alkalmazottak Slack kommunikációs csatornájához, ahol információs és engedélyezési folyamatokat rögzítettek a vállalat szervereiről otthonról történő távoli eléréshez.

A Twitter ezt követően megerősítette, hogy az átverés társadalmi mérnöki tevékenységet vont maga után , és kijelentette, hogy "olyan embereket észleltünk, amelyek véleményünk szerint egy összehangolt szociális mérnöki támadást jelentenek, akik sikeresen megcélozták alkalmazottaink egy részét, hozzáféréssel a belső rendszerekhez és eszközökhöz". Az érintett hitelesített számlák zárolásának további lépésein túl a Twitter elmondta, hogy belső vizsgálatot is megkezdtek, és a munkavállalók korlátozott hozzáféréssel rendelkeznek rendszergazdai eszközeikhez, amikor értékelik a helyzetet, valamint ha bármilyen további adatot veszélyeztetett a rosszindulatú felhasználók.

2020. július 17-ig a Twitter megerősítette az e médiaforrásokból tanultakat, kijelentve, hogy "A támadók sikeresen manipuláltak kis számú alkalmazottat, és hitelesítő adataikat felhasználva beléptek a Twitter belső rendszereibe, beleértve a kétfaktoros védelem átélését is. Mostantól tudjuk, hogy csak a belső támogató csoportjaink számára elérhető eszközökhöz jutottak. " A Twitter július 30-ig tovább tudta erősíteni, hogy az általuk "telefon-lándzsás adathalász-támadásnak" nevezett módszert használták: kezdetben szociális mérnököket alkalmaztak, hogy megsértették az adminisztrációs eszközökhöz nem hozzáférő alacsonyabb szintű Twitter-alkalmazottak hitelesítő adatait. , majd ezeket az alkalmazói fiókokat használva további társas mérnöki támadásokba ütközött, hogy megszerezze a hitelesítő adatokat az adminisztrációs eszközökhöz azoktól az alkalmazottaktól, akiknek engedélyük volt a használatukra.

A Bloomberg News a Twitter volt és jelenlegi alkalmazottjaival folytatott vizsgálat után arról számolt be, hogy akár 1500 Twitter alkalmazott és partner hozzáférhetett az adminisztrációs eszközökhöz, amelyek lehetővé teszik a fiókok visszaállítását, ahogy az eset során megtették. A Twitter egykori munkatársai azt mondták a Bloombergnek, hogy még 2017-ben és 2018-ban is a hozzáféréssel rendelkezők játékkal fogják játszani ezeket az eszközöket híres hírességek nyomon követésére, bár az eszközökön keresztül látható adatok mennyisége csak olyan elemekre korlátozódik, mint az IP-cím és a geolokációs információk . A Twitter szóvivője a Bloombergnek azt mondta , hogy "kiterjedt biztonsági képzést és vezetői felügyeletet" alkalmaznak az alkalmazottak és partnerek kezeléséhez, hozzáféréssel az eszközökhöz, és hogy "semmi nem utal arra, hogy azok a partnerek, akikkel együtt dolgozunk az ügyfélszolgálat és a számlavezetés területén, szerepet játszottak itt". A Twitter biztonsági részlegének korábbi tagjai kijelentették, hogy 2015 óta a vállalatot belső támadás és más kiberbiztonsági intézkedések miatt riasztották a potenciálra, de ezeket félretették a bevételtermelőbb kezdeményezések mellett.

Az Ars Technica részletesebb jelentést kapott egy kutatótól, aki az FBI-val dolgozott együtt a nyomozással. E jelentés szerint a támadók lekaparták a LinkedIn- t olyan Twitter-alkalmazottak keresése során, akik valószínűleg rendszergazdai jogosultságokkal rendelkeznek a fióktulajdonosok számára. Ezután a támadók fizetős eszközökön keresztül megszerezték ezen alkalmazottak mobiltelefonszámait és egyéb privát elérhetőségeit, a LinkedIn pedig elérhetővé tette a munkaerő-toborzók számára. Miután kiválasztották az áldozatokat a következő szakaszra, a támadók felvették a kapcsolatot a Twitter munkatársaival, akik a legtöbbet otthon dolgoztak a COVID-19 járvány következtében , és a LinkedIn és más nyilvános források információinak felhasználásával Twitter személyzetének tettették ki magukat . A támadók arra irányították az áldozatokat, hogy jelentkezzenek be egy hamis belső Twitter VPN-be. A kétfaktoros hitelesítés megkerülése érdekében a támadók ellopott hitelesítő adatokat adtak meg a valódi Twitter VPN-portálon, és "másodperceken belül, miután az alkalmazottak beírták adataikat a hamisba", és megkérték az áldozatokat a kétfaktoros hitelesítési kód megadására.

Tettesek

Biztonsági kutató Brian Krebs alátámasztották a TechCrunch „s forrás és a szerzett információk szerint a Reuters , hogy az átverés úgy tűnt, hogy eredetileg a»OGUsers«csoport. Az OGUsers fórumot ("OG" az "eredeti" helyett) rövid vagy "ritka" nevű közösségi médiafiókok értékesítésére és vásárlására hozták létre, és tulajdonosa szerint a Reutersnek nyilatkozva tiltották a feltört hitelesítő adatokkal való kereskedelmet. A fórum képernyőfotói azt mutatják, hogy a fórum különböző felhasználói felajánlják a Twitter-fiókok feltörését, darabonként 2 000–3 000 USD értékben . Krebs kijelentette, hogy az egyik tag kapcsolódhatott Jack Dorsey, a Twitter vezérigazgatójának Twitter-fiókjához. Az OGUsers tulajdonosa a Reuters hírügynökségnek elmondta, hogy a képernyőképeken látható számlákat azóta betiltották.

Az FBI július 16-án jelentette be, hogy vizsgálatot indít az átverés ellen, mivel bűncselekményként "kriptovaluta-csalások állandósítására" használták. A szenátus hírszerzési bizottsága azt is tervezte, hogy további információkat kérjen a Twittertől a feltörésről, mivel Mark Warner , a bizottság alelnöke kijelentette: "A rossz szereplők képessége, hogy akár prominens módon is átvegyék a kiemelkedő számlákat, aggasztó sebezhetőséget jelez ebben a médiakörnyezetben. , nemcsak a csalások, hanem a zavart, pusztítást és politikai balhét okozó erőteljesebb erőfeszítések miatt is kihasználható ". Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja szerint tisztjei a Twitterhez fordultak az eset kapcsán. BitTorrent vezérigazgatója Justin Sun bejelentette US $ 1.000.000 bounty ellen hackerek, az ő cég Twitter fiókot, amely „Ő személyesen fizet azoknak, akik sikeresen lenyomozni, és bizonyítékot arra vonatkozóan, hogy az igazságosság, a hackerek / emberek mögött ez csapkod érintő mi közösségünk. "

Az Egyesült Államok Igazságügyi Minisztériuma 2020. július 31-én jelentette be három, az átveréshez kötődő személy letartóztatását és vádemelését. Az Egyesült Királyság 19 éves fiatalját többszöri összeesküvéssel vádolták csalás elkövetése érdekében, összeesküvést pénz elkövetésére pénzmosást és egy védett számítógép szándékos hozzáférését, és egy 22 éves floridai fiatalt vád alá helyeztek a nemzetközi hozzáférés elősegítésében. Mindkettőt az Egyesült Államok Kaliforniai Északi Kerületének kerületi bíróságán fogják tárgyalni . Harmadik személyt, egy floridai kiskorú személyt is vád alá helyeztek, de életkoruk miatt a floridai fiatalkorúak bíróságán lezárták a vádakat. Az állam felnőttként bíróság elé állítja több mint harminc bűncselekmény - többek között szervezett csalás, kommunikációs csalás, személyazonosság-lopás és hackelés - vádjával, az állam törvényei szerint, amelyek lehetővé teszik kiskorúak felnőttként való elítélését pénzügyi csalások miatt. A floridai tinédzser 2020. augusztus 4-én nem vallotta magát bűnösnek a vádakban. A tinédzser 2021 márciusáig elfogadta a vádalkut, amely három év börtönbüntetést tartalmazott, ideértve az "ifjúkori elkövetőként" töltött időt is, annak ellenére, hogy 18 éves volt a próba.

Az FBI egy negyedik egyént, egy 16 éves massachusettsi személyt azonosított az átverés lehetséges gyanúsítottjaként. Noha a szövetségi ügynökök 2020 augusztusának végén indokoltan átkutatták vagyonát, vádemelés még nem történt.

Reakció és utóhatás

Az érintett felhasználók csak retweetelni tudták a tartalmat, ami arra késztette az NBC News-t, hogy hozzon létre egy ideiglenes, nem ellenőrzött fiókot, hogy tovább folytathassák a tweetelést, és "jelentős frissítéseket" retweetelve a fő fiókjukon. Néhány Országos Meteorológiai Szolgálat előrejelző irodája nem tudta tweetelni a súlyos időjárási figyelmeztetéseket, az Illinois állambeli Lincoln Nemzeti Meteorológiai Szolgálat pedig kezdetben nem tudott tweetelni egy tornádó figyelmeztetést . Joe Biden kampánya a CNN-nek kijelentette, hogy "kapcsolatban vannak a Twitterrel az ügyben", és a fiókját "lezárták". A Google ezeknek a biztonsági problémáknak az eredményeként ideiglenesen letiltotta keresőfunkciójában a Twitter körhintáját.

Az incidens során a Twitter, Inc. részvényeinek ára 4% -kal csökkent a piacok bezárása után . Másnap végére a Twitter, Inc. árfolyama 36,40 dolláron ért véget, 38 centes, 0,87% -os csökkenéssel.

Biztonsági szakértők aggodalmuknak adtak hangot amiatt, hogy bár az átverés pénzügyi hatása szempontjából viszonylag kicsi lehetett, a közösségi média képessége a társadalmi mérnöki úton történő átvételre ezen vállalatok alkalmazottainak bevonásával komoly veszélyt jelent a közösségi média használatában, különösen az élen - az Egyesült Államok 2020-as elnökválasztásáig , és nemzetközi eseményt okozhat. Alex Stamos a Stanford University „s Center for International Biztonsági és Együttműködési mondta:»Twitter vált a legfontosabb platform, amikor a vita mind a politikai elit, és ez valódi biztonsági réseket.«

A Twitter úgy döntött, hogy késlelteti új API-jának bevezetését a biztonsági problémák következtében. Szeptemberig a Twitter kijelentette, hogy új protokollokat vezettek be a hasonló társadalmi mérnöki támadások megakadályozása érdekében, ideértve az alkalmazottak háttérellenőrzésének fokozását, akik hozzáférhetnek a legfontosabb felhasználói adatokhoz, adathalászat-ellenálló biztonsági kulcsokat hajtanak végre ezen a napon, és az összes alkalmazott rendelkezésére áll részt vesz az ügyfélszolgálatban, részt vesz a képzésen, hogy tisztában legyen a jövőbeni társadalmi mérnöki csalásokkal.

Bár Steve Wozniak és tizenhét másik nem vett részt a Twitter-incidensben, a következő héten pert indított a Google ellen , azt állítva, hogy a vállalat nem tett elegendő lépést a YouTube-ra feltett hasonló Bitcoin-átverési videók eltávolítására , amelyek az ő és a többi felperes nevét használták, csalárd módon azt állítva, hogy támogatja az átverést. Wozniak panaszában megállapították, hogy a Twitter ugyanazon a napon belül cselekedhetett, miközben ő és a többi felperes Google-hoz intézett kérelme soha nem teljesült.

2020. szeptember 29-én a Twitter alkalmazta Rinki Sethit a vállalat CISO-ként és alelnökeként a jogsértés után.

Hivatkozások

Külső linkek