Вечером 15 июля 2020 года в Twitter развернулась одна из самых громких атак за последние годы. Когда самозванцы отправляли серию мошеннических твитов с аккаунтов около 130 знаменитостей, политиков и представителей индустрии высоких технологий. В сообщениях обещали предоставить 2000 долларов за каждую 1000 долларов, отправленных на биткойн-адрес.
Давайте разберем эту ситуацию и отметим важные уроки, которые нужно извлечь из этой атаки.
Итоги атаки Twitter
Атака на Twitter была сочетанием технических приемов и тактики социальной инженерии. Злоумышленники получили более 400 переводов на общую сумму 100 000 долларов. Итоги показали, что один из троих обвиняемых якобы получил доступ к приложениям Twitter 3 мая 2020 года, а затем использовал этот доступ для работы с системами Twitter.
Согласно сообщению Twitter об инциденте, злоумышленники затем нацелились на сотрудников, чтобы получить доступ к внутренним системам. Они надеялись получить учетные данные, необходимые для доступа к тем системам, которые используются для управления учетными записями пользователей.
Twitter описал дальнейшие события:
- Злоумышленникам удалось использовать свои учетные данные для доступа к нашим внутренним системам и получения информации о наших процессах.
- Используя эти учетные данные, злоумышленники смогли получить доступ к внутренним инструментам управления учетной записью Twitter и поддержки, которые сделали атаку возможной.
- Twitter активно отслеживает случаи неправомерного использования, регулярно проверяет разрешения и принимает немедленные меры, если кто-либо получает доступ к информации учетной записи без уважительной деловой причины. Хотя эти инструменты, средства управления и процессы постоянно обновляются и улучшаются, Twitter отметил, что продолжает делать их более сложными.
Это был не первый случай, когда Twitter подвергся инсайдерской атаке. В ноябре 2019 года Министерство юстиции США обвинило пару бывших сотрудников Twitter в использовании привилегий своей учетной записи для слежки за пользователями Twitter и предоставления этой информации правительству Саудовской Аравии, согласно сообщению The Verge.
Заявление Twitter об атаки
В заявлении Twitter говорилось, что компания ограничивает доступ к конфиденциальной информации учетной записи для ограниченной группы обученных и инструменты для защиты конфиденциальности. Атака 15 июля показывает, что у компании есть над чем поработать, и Twitter пообещал сделать это.
В своем заявлении они сказали, что ищут способы улучшить ситуацию:
«Мы всегда инвестируем в протоколы, методы и механизмы повышенной безопасности – это то, как мы работаем, чтобы опережать угрозы по мере их развития. В дальнейшем мы ускоряем некоторые из наших ранее существовавших рабочих потоков по обеспечению безопасности и улучшаем наши инструменты. Мы также совершенствуем наши методы обнаружения и предотвращения несанкционированного доступа к нашим внутренним системам и уделяем приоритетное внимание работе по обеспечению безопасности во многих наших командах. Мы продолжим организовывать постоянные попытки фишинга в масштабах всей компании в течение года.
Атака, которая в значительной степени опиралась на методы социальной инженерии, была ярким напоминанием о том, насколько важен каждый человек в нашей команде для защиты сервиса. Мы серьезно относимся к этой ответственности, и каждый в Twitter стремится обеспечить безопасность вашей информации».
Если бы Twitter не удалось остановить злоумышленников (предприняв блокирование доступа для проверенных учетных записей), атака могла бы быть намного хуже и продолжаться намного дольше.
В заключение
Предприятиям необходимо сделать все возможное, чтобы ограничить доступ к привилегированным учетным записям. Необходимо:
Отслеживать пользователей и приложения на предмет аномального поведения.
Привилегированные учетные записи или учетные записи с расширенным доступом должны быть защищены многофакторной аутентификацией.
Пользователи нуждаются в обучении по вопросам безопасности и регулярных напоминаниях о необходимости оставаться начеку.
Взлом Твиттера стал напоминанием о том, что предприятия могут делать все необходимое для эффективной защиты, и все же быть взломанными. Следовательно, предприятия не только должны предпринимать перечисленные защитные меры, но и иметь план реагирования на инциденты, а также возможность выполнять этот план.