Dirottamento account Twitter 2020 - 2020 Twitter account hijacking

Dirottamento account Twitter 2020
Un tweet di Apple, che recita: "Stiamo restituendo alla nostra community. Supportiamo Bitcoin e crediamo che dovresti farlo anche tu! Tutti i Bitcoin inviati ai nostri indirizzi ti verranno rispediti, raddoppiati!" Dopo un indirizzo bitcoin, si legge "Solo per i prossimi 30 minuti".
Un tweet rappresentativo della truffa, dall'account hackerato di Apple .
Data 15 luglio 2020, 20:00–22:00 UTC
Causa Attacco coordinato di ingegneria sociale
Obbiettivo Account Twitter verificati di alto profilo
Risultato Almeno 130 account interessati. Gli indirizzi bitcoin coinvolti hanno ricevuto circa 110.000 dollari in transazioni bitcoin.
arresti 3, al 31 luglio 2020

Il 15 luglio 2020, tra le 20:00 e le 22:00 UTC , secondo quanto riferito, 130 account Twitter di alto profilo sono stati compromessi da parti esterne per promuovere una truffa bitcoin . Twitter e altre fonti dei media hanno confermato che i colpevoli avevano ottenuto l'accesso agli strumenti amministrativi di Twitter in modo da poter modificare gli account stessi e pubblicare direttamente i tweet. Sembrava che avessero utilizzato l'ingegneria sociale per ottenere l'accesso agli strumenti tramite i dipendenti di Twitter. Tre persone sono state arrestate dalle autorità il 31 luglio 2020 e accusate di frode telematica , riciclaggio di denaro , furto di identità e accesso non autorizzato al computer relativo alla truffa.

I tweet di truffa chiedevano alle persone di inviare valuta bitcoin a uno specifico portafoglio di criptovaluta , con la promessa dell'utente di Twitter che il denaro inviato sarebbe stato raddoppiato e restituito come gesto di beneficenza. A pochi minuti dai tweet iniziali, erano già state effettuate più di 320 transazioni su uno degli indirizzi del portafoglio e bitcoin per un valore di oltre 110.000 dollari erano stati depositati in un account prima che i messaggi di truffa venissero rimossi da Twitter. Inoltre, sono stati acquisiti anche i dati completi della cronologia dei messaggi da otto account non verificati.

Dmitri Alperovitch , il co-fondatore della società di sicurezza informatica CrowdStrike , ha descritto l'incidente come "il peggior hack di una delle principali piattaforme di social media finora". Il Federal Bureau of Investigation (FBI) e altre forze dell'ordine stanno indagando sulla truffa e sulla sicurezza utilizzata da Twitter. I ricercatori della sicurezza hanno espresso preoccupazione per il fatto che l'ingegneria sociale utilizzata per eseguire l'hack potrebbe influire sull'uso dei social media in importanti discussioni online, incluso il periodo che precede le elezioni presidenziali degli Stati Uniti del 2020 .

Incidente

L' analisi forense della truffa ha mostrato che i messaggi di truffa iniziali sono stati pubblicati per la prima volta da account con nomi distintivi brevi, di uno o due caratteri, come "@6". Questo è stato seguito dagli account Twitter di criptovaluta intorno alle 20:00 UTC del 15 luglio 2020, inclusi quelli di Coinbase , CoinDesk e Binance . La truffa si è poi spostata su account più di alto profilo con il primo di questi tweet inviato dall'account Twitter di Elon Musk alle 20:17 UTC. Altri account apparentemente compromessi includevano quelli di personaggi famosi come Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian e Kanye West ; e aziende come Apple , Uber e Cash App . Twitter riteneva che fossero stati colpiti 130 account, sebbene solo 45 siano stati effettivamente utilizzati per twittare il messaggio di truffa; la maggior parte degli account a cui è stato effettuato l'accesso nella truffa aveva almeno un milione di follower.

I tweet coinvolti nell'hack della truffa affermavano che il mittente, in beneficenza, avrebbe rimborsato a qualsiasi utente il doppio del valore di qualsiasi bitcoin inviato a determinati portafogli, spesso come parte di uno sforzo di soccorso COVID-19 . I tweet hanno seguito la condivisione di collegamenti dannosi da parte di un certo numero di società di criptovaluta; il sito Web che ospitava i collegamenti è stato rimosso poco dopo la pubblicazione dei tweet. Sebbene tali truffe "raddoppia il tuo bitcoin" siano state comuni su Twitter in precedenza, questo è il primo caso importante in cui vengono utilizzate con account di alto profilo. Gli esperti di sicurezza ritengono che gli autori abbiano eseguito la truffa come un'operazione " distruggi e arraffa ": sapendo che l'intrusione nei conti sarebbe stata chiusa rapidamente, gli autori probabilmente pianificarono che solo una piccola frazione dei milioni che seguono questi conti doveva cadere per la truffa in quel poco tempo per fare soldi velocemente da esso. Diversi portafogli bitcoin erano stati elencati su questi siti Web; il primo osservato aveva ricevuto 12 bitcoin da oltre 320 transazioni, per un valore di oltre US $ 118.000 , e ne aveva rimossi circa US $ 61.000 , mentre un secondo aveva importi solo delle migliaia di dollari mentre Twitter ha preso provvedimenti per fermare i post. Non è chiaro se questi siano stati fondi aggiunti da quelli guidati dalla truffa, poiché è noto che i truffatori di bitcoin aggiungono fondi ai portafogli prima di avviare schemi per far sembrare legittima la truffa. Dei fondi aggiunti, la maggior parte proveniva da portafogli di proprietà cinese, ma circa il 25% proveniva da portafogli statunitensi. Dopo essere stata aggiunta, la criptovaluta è stata successivamente trasferita attraverso più account come mezzo per oscurare la loro identità.

Alcuni degli account compromessi hanno pubblicato ripetutamente messaggi di truffa, anche dopo aver cancellato alcuni dei messaggi. I tweet sono stati etichettati come inviati tramite l' app Web di Twitter . Una delle frasi coinvolte nella truffa è stata twittata più di 3000 volte nell'arco di quattro ore, con tweet inviati da indirizzi IP collegati a molti paesi diversi. Il fraseggio riutilizzato ha permesso a Twitter di rimuovere facilmente i tweet offensivi mentre prendeva provvedimenti per fermare la truffa.

Alle 21:45 UTC, Twitter ha rilasciato una dichiarazione in cui affermava di essere "a conoscenza di un incidente di sicurezza che ha colpito gli account su Twitter" e che stavano "prendendo provvedimenti per risolverlo". Poco dopo, ha disabilitato la possibilità per alcuni account di twittare o di reimpostare la password; Twitter non ha confermato quali account sono stati limitati, ma molti utenti con account che Twitter aveva contrassegnato come "verificato" hanno confermato di non essere in grado di twittare. Circa tre ore dopo i primi tweet di truffa, Twitter ha riferito di ritenere di aver risolto tutti gli account interessati per ripristinare le credenziali ai legittimi proprietari. Più tardi quella notte, il CEO di Twitter Jack Dorsey ha detto che è stata una "giornata difficile per noi di Twitter. Ci sentiamo tutti malissimo per questo successo. Stiamo diagnosticando e condivideremo tutto il possibile quando avremo una comprensione più completa di cosa è successo esattamente". Almeno uno scambio di criptovalute, Coinbase, ha inserito nella lista nera gli indirizzi bitcoin per impedire l'invio di denaro. Coinbase ha affermato di aver bloccato l'invio di oltre 1.000 transazioni per un totale di oltre 280.000 dollari statunitensi .

Oltre all'invio di tweet, sono stati scaricati i dati dell'account per otto account compromessi, inclusi tutti i post creati e i messaggi diretti, sebbene nessuno di questi account appartenesse a utenti verificati. Twitter ha anche sospettato che altri trentasei account abbiano avuto accesso ai loro messaggi diretti ma non siano stati scaricati, incluso il rappresentante del Parlamento olandese Geert Wilders , ma credeva che nessun altro attuale o ex funzionario eletto avesse avuto accesso ai loro messaggi.

Metodo di attacco

Mentre Twitter stava lavorando per risolvere la situazione il 15 luglio, Vice è stato contattato da almeno quattro persone che affermavano di essere parte della truffa e ha presentato al sito web degli screenshot che mostravano che erano stati in grado di accedere a uno strumento amministrativo di Twitter, noto anche come "strumento agente", che ha permesso loro di modificare varie impostazioni a livello di account di alcuni degli account compromessi, comprese le e-mail di conferma per l'account. Ciò ha permesso loro di impostare indirizzi e-mail che qualsiasi altro utente con accesso a quell'account e-mail potrebbe avviare una reimpostazione della password e pubblicare i tweet. Questi hacker hanno detto a Vice di aver pagato degli addetti ai lavori su Twitter per ottenere l'accesso allo strumento amministrativo per poterlo fare.

TechCrunch ha riferito in modo simile, sulla base di una fonte che ha affermato che alcuni dei messaggi provenivano da un membro di un forum di hacking chiamato "OGUsers", che aveva affermato di aver guadagnato oltre $ 100.000 da esso. Secondo la fontedi TechCrunch , questo membro "Kirk" avrebbe ottenuto l'accesso allo strumento amministrativo di Twitter probabilmente attraverso un account di dipendente compromesso e, dopo essersi inizialmente offerto di rilevare qualsiasi account su richiesta, ha cambiato strategia per prendere di mira gli account di criptovaluta a partire da Binance e poi quelli di alto profilo. La fonte non credeva che Kirk avesse pagato un dipendente di Twitter per l'accesso.

Il Twitter "@6" era appartenuto ad Adrian Lamo e l'utente che gestiva l'account per conto della famiglia di Lamo ha riferito che il gruppo che ha eseguito l'hack è stato in grado di aggirare numerosi fattori di sicurezza che avevano impostato sull'account, incluso quello a due fattori autenticazione , indicando ulteriormente che gli strumenti amministrativi sono stati utilizzati per aggirare la sicurezza dell'account. Portavoce per la Casa Bianca ha dichiarato che il presidente Donald Trump conto s', che potrebbe essere stato un obiettivo, aveva misure di sicurezza supplementari attuate a Twitter dopo un incidente nel 2017, e quindi non ha risentito della truffa.

Vice ' s e TechCrunch ' s fonti sono state corroborate da The New York Times , che ha parlato a persone simili coinvolti con gli eventi, e da altri ricercatori di sicurezza che erano stati dati schermi simili, e tweet di questi schermi era stato fatto, ma Twitter rimossi questi poiché hanno rivelato i dettagli personali degli account compromessi. Il New York Times ha inoltre affermato che il vettore dell'attacco era correlato alla maggior parte dell'azienda che lavorava da casa durante la pandemia di COVID-19; i membri di OGUsers sono stati in grado di accedere al canale di comunicazione Slack dei dipendenti di Twitter dove erano state appuntate le informazioni e i processi di autorizzazione per l'accesso remoto da casa ai server dell'azienda.

Twitter ha successivamente confermato che la truffa ha coinvolto l'ingegneria sociale , affermando "Abbiamo rilevato quello che riteniamo essere un attacco di ingegneria sociale coordinato da parte di persone che hanno preso di mira con successo alcuni dei nostri dipendenti con accesso a sistemi e strumenti interni". Oltre a prendere ulteriori misure per bloccare gli account verificati interessati, Twitter ha affermato di aver anche avviato un'indagine interna e di avere limitato l'accesso dei dipendenti ai propri strumenti di amministrazione del sistema mentre valutano la situazione, nonché se eventuali dati aggiuntivi sono stati compromessi dal utenti malintenzionati.

Entro la fine del 17 luglio 2020, Twitter ha confermato quanto appreso da queste fonti mediatiche, affermando che "Gli aggressori hanno manipolato con successo un piccolo numero di dipendenti e hanno utilizzato le loro credenziali per accedere ai sistemi interni di Twitter, compreso il superamento delle nostre protezioni a due fattori . A partire da ora, sappiamo che hanno avuto accesso a strumenti disponibili solo per i nostri team di supporto interni." Twitter era stato in grado di confermare ulteriormente entro il 30 luglio che il metodo utilizzato era quello che chiamavano un "attacco di phishing telefonico": inizialmente utilizzavano l'ingegneria sociale per violare le credenziali dei dipendenti di Twitter di livello inferiore che non avevano accesso agli strumenti di amministrazione , e quindi utilizzando gli account dei dipendenti, si sono impegnati in ulteriori attacchi di ingegneria sociale per ottenere le credenziali per gli strumenti di amministrazione dai dipendenti che avevano l'autorizzazione per il loro utilizzo.

Bloomberg News , dopo un'indagine con ex e attuali dipendenti di Twitter, ha riferito che fino a 1500 dipendenti e partner di Twitter avevano accesso agli strumenti di amministrazione che avrebbero consentito la possibilità di ripristinare gli account come era stato fatto durante l'incidente. Ex dipendenti di Twitter avevano detto a Bloomberg che anche nel 2017 e nel 2018 coloro cheavevanoaccesso avrebbero utilizzato questi strumenti per tracciare celebrità famose, sebbene la quantità di dati visibili solo attraverso gli strumenti fosse limitata a elementi come l' indirizzo IP e leinformazioni di geolocalizzazione . . Un portavoce di Twitter ha detto a Bloomberg che utilizzano "un'ampia formazione sulla sicurezza e una supervisione manageriale" per gestire dipendenti e partner con accesso agli strumenti e che "non vi era alcuna indicazione che i partner con cui lavoriamo per il servizio clienti e la gestione degli account abbiano avuto un ruolo qui". Ex membri dei dipartimenti di sicurezza di Twitter hanno dichiarato che dal 2015 la società è stata avvisata del potenziale di un attacco interno e di altre misure di sicurezza informatica, ma queste sono state messe da parte, a favore di iniziative più redditizie.

Ars Technica ha ottenuto un rapporto più dettagliato da un ricercatore che ha lavorato con l'FBI alle indagini. Secondo questo rapporto, gli aggressori hanno raschiato LinkedIn alla ricerca di dipendenti di Twitter che potrebbero avere privilegi di amministratore e strumenti per titolari di account. Quindi gli aggressori hanno ottenuto i numeri di cellulare di questi dipendenti e altre informazioni di contatto private tramite strumenti a pagamento che LinkedIn mette a disposizione dei reclutatori di lavoro. Dopo aver scelto le vittime per la fase successiva, gli aggressori hanno contattato i dipendenti di Twitter, la maggior parte che lavorava da casa a causa della pandemia di COVID-19 e, utilizzando le informazioni di LinkedIn e di altre fonti pubbliche, si è finto personale di Twitter. Gli aggressori hanno indirizzato le vittime ad accedere a una falsa VPN Twitter interna. Per aggirare l'autenticazione a due fattori, gli aggressori hanno inserito le credenziali rubate nel vero portale VPN di Twitter e "in pochi secondi i dipendenti hanno inserito le loro informazioni in quello falso" e hanno chiesto alle vittime il codice di autenticazione a due fattori.

autori

Il ricercatore di sicurezza Brian Krebs ha confermato con la fonte di TechCrunch e con le informazioni ottenute da Reuters che la truffa sembrava aver avuto origine nel gruppo "OGUsers". Il forum OGUsers ("OG" sta per "originale") è stato creato per vendere e acquistare account di social media con nomi brevi o "rari" e, secondo il suo proprietario, parlando con Reuters, la pratica del traffico di credenziali violate era vietata. Le schermate del forum mostrano vari utenti del forum che si offrono di hackerare account Twitter a US $ 2.000-3.000 ciascuno. Krebs ha affermato che uno dei membri potrebbe essere stato legato all'acquisizione dell'account Twitter del CEO di Twitter Jack Dorsey nell'agosto 2019. Il proprietario di OGUsers ha detto a Reuters che gli account mostrati negli screenshot sono stati banditi.

L'FBI ha annunciato il 16 luglio che stava avviando un'indagine sulla truffa, poiché è stata utilizzata per "perpetuare la frode di criptovaluta", un reato penale. Il comitato ristretto per l'intelligence del Senato ha anche pianificato di chiedere a Twitter ulteriori informazioni sull'hack, poiché il vicepresidente del comitato Mark Warner ha dichiarato: "La capacità di cattivi attori di assumere il controllo di account importanti, anche di sfuggita, segnala una preoccupante vulnerabilità in questo ambiente mediatico. , sfruttabile non solo per truffe ma per sforzi più impattanti per causare confusione, scompiglio e malizia politica". Il National Cyber ​​Security Center del Regno Unito ha dichiarato che i suoi funzionari hanno contattato Twitter in merito all'incidente. BitTorrent CEO Justin Sun ha annunciato un $ 1 milione di taglie contro gli hacker, con la sua compagnia di account Twitter affermando "Lui personalmente quelle che traccia con successo verso il basso, e fornire le prove per portare alla giustizia, gli hacker / persone che stanno dietro questo hack che interessano la nostra comunità. "

Il Dipartimento di Giustizia degli Stati Uniti d'America ha annunciato l'arresto e l'accusa di tre persone legate alla truffa in data 31 luglio 2020. A 19 anni dal Regno Unito è stato accusato di molteplici conti di cospirazione per commettere frodi filo, cospirazione per commettere i soldi riciclaggio e accesso intenzionale a un computer protetto, e un 22enne della Florida è stato accusato di favoreggiamento nell'accesso internazionale. Entrambi saranno processati presso la Corte Distrettuale degli Stati Uniti per il Distretto Settentrionale della California . Anche un terzo individuo, un minore della Florida, è stato incriminato ma, a causa della loro età, le accuse sono state archiviate nel tribunale per i minorenni della Florida. Lo stato lo processerà da adulto con oltre trenta accuse relative a reati, tra cui frode organizzata, frode nelle comunicazioni, furto di identità e hacking, in base alla legge dello stato che consente loro di condannare minorenni come adulti per casi di frode finanziaria. L'adolescente della Florida si è dichiarato non colpevole delle accuse il 4 agosto 2020. L'adolescente ha accettato un patteggiamento entro marzo 2021 che includeva tre anni di carcere, compreso il tempo servito come "giovani delinquenti", anche se aveva compiuto 18 anni durante il processo.

Un quarto individuo, un sedicenne del Massachusetts, era stato identificato come possibile sospettato della truffa dall'FBI. Sebbene gli agenti federali abbiano condotto una perquisizione autorizzata dei suoi beni alla fine di agosto 2020, non sono state ancora formulate incriminazioni.

Reazione e conseguenze

Gli utenti interessati potevano solo retwittare i contenuti, portando NBC News a creare un account temporaneo non verificato in modo che potessero continuare a twittare, ritwittando "aggiornamenti significativi" sul loro account principale. Alcuni uffici di previsione del National Weather Service non sono stati in grado di twittare avvisi di maltempo, con il National Weather Service Lincoln, Illinois, inizialmente incapace di twittare un avviso di tornado . La campagna di Joe Biden ha dichiarato alla CNN che erano "in contatto con Twitter sulla questione" e che il suo account era stato "bloccato". Google ha temporaneamente disabilitato il suo carosello Twitter nella sua funzione di ricerca a causa di questi problemi di sicurezza.

Durante l'incidente, il prezzo delle azioni di Twitter, Inc. è sceso del 4% dopo la chiusura dei mercati . Entro la fine del giorno successivo, il prezzo delle azioni di Twitter, Inc. si è concluso a $ 36,40, in calo di 38 centesimi o dello 0,87%.

Gli esperti di sicurezza hanno espresso preoccupazione per il fatto che, sebbene la truffa possa essere stata relativamente piccola in termini di impatto finanziario, la possibilità per i social media di essere rilevata attraverso l'ingegneria sociale che coinvolge i dipendenti di queste aziende rappresenta una grave minaccia nell'uso dei social media, in particolare in testa -fino alle elezioni presidenziali negli Stati Uniti del 2020 e potrebbe potenzialmente causare un incidente internazionale. Alex Stamos della Stanford University 's Centro per la Sicurezza e la Cooperazione Internazionale , ha detto, 'Twitter è diventata la piattaforma più importante quando si tratta di discussione tra le élite politiche, e ha le vulnerabilità reali'.

Twitter ha scelto di ritardare il lancio della sua nuova API a seguito dei problemi di sicurezza. A settembre, Twitter ha dichiarato di aver messo in atto nuovi protocolli per prevenire attacchi di ingegneria sociale simili, tra cui l'intensificazione dei controlli in background per i dipendenti che avrebbero avuto accesso ai dati chiave degli utenti, l'implementazione di chiavi di sicurezza resistenti al phishing da utilizzare oggi e il fatto che tutti i dipendenti coinvolti nell'assistenza clienti partecipano a corsi di formazione per essere a conoscenza di future truffe di ingegneria sociale.

Anche se non fa parte della vicenda Twitter, Steve Wozniak e altri diciassette avviato una causa contro Google la settimana successiva, affermando che la società non ha preso misure sufficienti per eliminare simili Bitcoin video truffa inviati ad YouTube che ha usato i nomi dei suoi e gli altri querelanti, pretendendo fraudolentemente di sostenere la truffa. La denuncia di Wozniak ha identificato che Twitter è stato in grado di agire entro lo stesso giorno, mentre lui e le richieste degli altri querelanti a Google non hanno mai avuto seguito.

Il 29 settembre 2020, Twitter ha assunto Rinki Sethi come CISO e VP della società dopo la violazione.

Riferimenti

link esterno