Incumplimiento de cuentas de Twitter de alto perfil causadas por ataques telefónicos de phishing


Twitter confirmó que sus empleados fueron engañados para darles a los piratas informáticos sus credenciales, lo que les dio acceso a las cuentas de Invoice Gates, Jeff Bezos, Joe Biden y otros.

Bill Gates hackear Twitter

Una publicación fraudulenta hecha desde la cuenta de Twitter del icono tecnológico Bill Gates, que fue una de las muchas cuentas violadas utilizadas para tuitear mensajes similares. Hemos bloqueado la dirección de bitcoin.

ZDNet / Natalie Gagliordi

Twitter ha confirmado que la violación de varias cuentas de alto perfil que ocurrió el 15 de julio fue causada por un ataque telefónico de phishing dirigido a un pequeño número de empleados.

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (PDF gratuito) (TechRepublic)

En un actualización publicada el jueves, Twitter dijo que los atacantes pudieron obtener acceso a la purple interna de la compañía, así como a las credenciales de los empleados, que utilizaron para iniciar sesión en ciertas herramientas de soporte interno y administración de cuentas. No todos los empleados inicialmente seleccionados tenían permiso para usar las herramientas de la cuenta, agregó Twitter. Pero los atacantes lograron usar esas credenciales para acceder a sistemas internos específicos y así obtener información sobre los procesos de la cuenta de Twitter. A partir de ahí, los atacantes pudieron atacar a otros empleados que tenían acceso a las herramientas de la cuenta.

Utilizando las credenciales de los empleados afectados, los atacantes lograron comprometer 130 cuentas de Twitter diferentes, incluidas las de Invoice Gates, Jeff Bezos, Elon Musk, Joe Biden y Barack Obama, según Twitter.

Los atacantes tuitearon desde 45 de estas cuentas, accedieron a las bandejas de entrada de correo directo de 36 cuentas y descargaron datos de Twitter de siete cuentas violadas. Sin embargo, Twitter no especificó los nombres de todas las cuentas afectadas.

La suplantación de identidad se refiere a un tipo de ataque de suplantación de identidad en el que los delincuentes envían correos electrónicos a personas específicas con el objetivo de obtener las credenciales de su cuenta u otra información confidencial. Twitter no explicó qué significaba un «ataque telefónico de phishing con lanza». Esto podría significar que los atacantes en realidad llamaron a ciertos empleados por teléfono en lugar de usar el correo electrónico para averiguar sus credenciales, o podría significar que los empleados seleccionados recibieron un mensaje por teléfono o correo electrónico para convencerlos de llamar a cierta persona que se hace pasar por un administrador legítimo de Twitter.

Cuando TechRepublic le solicitó más detalles, un portavoz de Twitter dijo que la compañía no tenía nada que compartir fuera de la publicación del web site. Pero dos expertos en seguridad expresaron sus opiniones sobre la suplantación de identidad telefónica.

«Un ataque de phishing por teléfono sería very similar (al phishing por correo electrónico), pero en cambio los objetivos son telefoneados y el felony intentaría obtener información, en este caso, probablemente sus credenciales de cuenta», dijo Mike McLellan, investigador senior de seguridad de Secureworks. TechRepublic. «Podrían, por ejemplo, pretender ser del soporte de TI o de algún otro rol con autoridad percibida, para persuadir al usuario de que está bien divulgarle información. Los intentos de phishing por teléfono son menos comunes, porque requieren mucho más recursos que correo electrónico y es quizás indicativo del hecho de que Twitter fue un objetivo muy específico en este caso «.

Al igual que con muchos tipos de delitos cibernéticos, el spear phishing, ya sea por correo electrónico o por teléfono, comienza con una investigación por parte del atacante.

«La suplantación de identidad por teléfono comienza con una investigación realizada por cibercriminales que utilizan Inteligencia de código abierto técnicas para aprender sobre las personas y los roles en la organización, todo a partir de información en línea «, dijo James McQuiggan, defensor de la conciencia de seguridad con KnowBe4.» Se dirigen a gerentes de nivel medio u otros empleados que sienten que nadie sabe. Con el tiempo, se establece una buena relación hasta que el cibercriminal se sienta cómodo aprovechando el objetivo «.

Cualquiera que sea el método específico de spear phishing utilizado en la violación, claramente los atacantes confiaron en una combinación de habilidades técnicas y conocimientos de ingeniería social para poder convencer a los empleados de compartir sus credenciales de cuenta. Por supuesto, ese es el M.O. para muchos ataques de phishing y otros tipos de campañas maliciosas.

«Este ataque se basó en un intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas para obtener acceso a nuestros sistemas internos». Twitter reconocido «Este fue un recordatorio sorprendente de la importancia de cada persona en nuestro equipo para proteger nuestro servicio».

Además de capacitar a los empleados a través de simulaciones de phishing y métodos similares, tratar de corregir el comportamiento humano siempre es un desafío. Es por eso que los ataques de ingeniería social a menudo son exitosos.

«Este incidente demuestra que la ingeniería social sigue siendo un método común para que los atacantes tengan acceso a los sistemas internos», dijo a TechRepublic Ray Kelly, ingeniero de seguridad principal de WhiteHat Protection. «El ser humano es a menudo el eslabón más débil en cualquier cadena de seguridad. La capacitación adecuada de los empleados y el empleo de servicios que prueban la susceptibilidad humana a los ataques de ingeniería social, como el correo electrónico de phishing, las llamadas telefónicas y los ataques en persona pueden ser invaluables para ayudar a prevenir al empleado de ser la brecha de seguridad en cualquier organización «.

Aún así, el ataque plantea la pregunta de por qué Twitter no tenía una seguridad más estricta para proteger mejor sus cuentas y herramientas de administración.

«Dentro de cualquier organización, es esencial tener una estructura de seguridad en capas para acceder a las joyas de la corona o sistemas sensibles que son críticos para la organización», dijo McQuiggan. «Las cuentas restringidas, la autenticación multifactorial (MFA), la limitación del acceso al sistema y las revisiones periódicas pueden reducir significativamente el riesgo de acceso y exposición no autorizados».

En su actualización, Twitter explicó que united states sus herramientas de cuenta para ayudar con diferentes problemas de soporte, para revisar el contenido y para responder a los informes. La compañía dijo que el acceso a estas herramientas es estrictamente limitado y se da solo por razones comerciales. Aunque estas herramientas y los procesos asociados siempre se actualizan, Twitter dijo que está buscando cómo hacerlos más sofisticados.

«Siempre estamos invirtiendo en protocolos, técnicas y mecanismos de mayor seguridad así es como trabajamos para adelantarnos a las amenazas a medida que evolucionan», dijo Twitter. «En el futuro, estamos acelerando varios de nuestros flujos de trabajo de seguridad preexistentes y mejoras en nuestras herramientas. También estamos mejorando nuestros métodos para detectar y prevenir el acceso inapropiado a nuestros sistemas internos y priorizando el trabajo de seguridad en muchos de nuestros equipos. Continuaremos organizar ejercicios continuos de phishing en toda la empresa durante todo el año «.

Al comprometer tantas cuentas de alto perfil, el incidente fue particularmente alarmante porque mucha gente ahora confía en Twitter para obtener noticias e información. Un tuit supuestamente de un presidente u otro político o un CEO prominente puede tener un efecto profundo e inmediato, lo que podría afectar los mercados de valores, las elecciones y otros elementos críticos para la sociedad.

¿Qué debe hacer Twitter para evitar otro incidente identical en el futuro?

«Puede reducirse a un sistema donde el acceso a los sistemas críticos requerirá el AMF de dos personas diferentes», dijo McQuiggan. «En los bancos, una bóveda requiere que dos personas la abran, ya que cada persona tiene dos de los cuatro números necesarios para abrirla. No pueden compartir sus números y deben protegerlos. Un concepto similar podría ser la necesidad de que dos personas se autentiquen para realizar las acciones más sensibles o críticas dentro de una organización «.

Esta historia ha sido actualizada con comentarios adicionales.

Ver también





Enlace a la noticia original