Kapring av Twitter-konto 2020 - 2020 Twitter account hijacking

fra Wikipedia, den frie encyklopedi

2020 Twitter-kapring
En tweet fra Apple, som lyder: "Vi gir tilbake til samfunnet vårt. Vi støtter Bitcoin og mener du også burde! Alt Bitcoin sendt til adressene våre vil bli sendt tilbake til deg, doblet!"  Etter en bitcoin-adresse står det "Bare pågår de neste 30 minuttene."
En representativ svindel-tweet fra Apples hackede konto.
Dato 15. juli 2020, kl. 20.00–22.00 UTC
Årsaken Koordinert sosialteknisk angrep
Mål Høyprofilerte bekreftet Twitter -kontoer
Utfall Minst 130 berørte kontoer. De involverte bitcoin-adressene mottok omtrent US $ 110.000 i bitcoin-transaksjoner.
Arrestasjoner 3, per 31. juli 2020

15. juli 2020, mellom 20:00 og 22:00 UTC , ble angivelig 130 høyprofilerte Twitter- kontoer kompromittert av eksterne parter for å fremme en bitcoin- svindel . Twitter og andre mediekilder bekreftet at gjerningsmennene hadde fått tilgang til Twitters administrative verktøy slik at de selv kunne endre regnskapet og legge ut tweets direkte. De så ut til å ha brukt sosialteknikk for å få tilgang til verktøyene via Twitter-ansatte. Tre personer ble arrestert av myndighetene 31. juli 2020 og siktet for svindel , hvitvasking av penger , identitetstyveri og uautorisert datamaskintilgang relatert til svindelen.

Scam-tweets ba enkeltpersoner om å sende bitcoinvaluta til en bestemt kryptovaluta-lommebok , med løftet fra Twitter-brukeren om at pengene som sendes ville bli doblet og returnert som en veldedig gest. I løpet av få minutter fra de første tweets hadde mer enn 320 transaksjoner allerede funnet sted på en av lommebokadressene, og bitcoin til en verdi av mer enn US $ 110.000 hadde blitt satt inn på en konto før svindelmeldingene ble fjernet av Twitter. I tillegg ble full data om meldingshistorikk fra åtte ikke-bekreftede kontoer anskaffet.

Dmitri Alperovitch , medstifter av cybersecurity- selskapet CrowdStrike , beskrev hendelsen som "den verste hackingen av en stor sosial medieplattform ennå." Den Federal Bureau of Investigation (FBI) og andre politimyndigheter etterforsker svindel og sikkerhet som brukes av Twitter. Sikkerhetsforskere uttrykte bekymring for at sosialteknikk som ble brukt til å utføre hacket, kan påvirke bruken av sosiale medier i viktige online-diskusjoner, inkludert ledelsen til presidentvalget i USA i 2020 .

hendelse

Rettsmedisinsk analyse av svindelen viste at de første svindelmeldingene først ble lagt ut av kontoer med korte, ett- eller to-karakteristiske navn, for eksempel "@ 6". Dette ble fulgt av kryptokurrency Twitter-kontoer rundt 20:00 UTC 15. juli 2020, inkludert de fra Coinbase , CoinDesk og Binance . Svindelen flyttet deretter til mer høyprofilerte kontoer med den første slike tweet sendt fra Elon Musks Twitter-konto klokka 20:17 UTC. Andre tilsynelatende kompromitterte kontoer inkluderte de fra kjente individer som Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian og Kanye West ; og selskaper som Apple , Uber og Cash App . Twitter mente at 130 kontoer var berørt, selv om bare 45 faktisk ble brukt til å tweet svindelmeldingen; de fleste av kontoene som ble brukt i svindelen hadde minst en million følgere.

Tweets involvert i svindelhacket hevdet at avsenderen, i veldedighet, ville tilbakebetale enhver bruker dobbelt så mye verdi som bitcoin de sendte til gitte lommebøker, ofte som en del av en COVID-19 lettelse. Tweets fulgte delingen av ondsinnede lenker av en rekke kryptovalutaselskaper; nettstedet som er vert for lenkene ble fjernet kort tid etter at tweets ble lagt ut. Mens slike "doble bitcoin-svindel" har vært vanlig på Twitter før, er dette den første store forekomsten av at de blir brukt med høyprofilerte kontoer. Sikkerhetseksperter mener at gjerningsmennene kjørte svindelen som en " smash and grab " -operasjon: Å vite at innbruddet i regnskapet ville bli lukket raskt, planla gjerningsmennene sannsynligvis at bare en liten brøkdel av millionene som følger disse kontoene, måtte falle for svindelen på den korte tiden for å tjene raske penger på den. Flere bitcoin-lommebøker hadde blitt oppført på disse nettstedene; den første som ble observert hadde mottatt 12 bitcoins fra over 320 transaksjoner, verdsatt til mer enn 118 000 dollar , og hadde fjernet rundt 6 000 dollar fra den, mens et sekund hadde bare beløp i tusenvis av dollar da Twitter tok skritt for å stoppe innleggene. Det er uklart om dette hadde blitt lagt til av de som ble ført av svindelen, da det er kjent at bitcoin-svindlere legger til midler i lommebøker før ordninger for å få svindelen til å virke legitime. Av de tilførte midlene hadde de fleste stammer fra lommebøker med kinesisk eierforhold, men omtrent 25% kom fra lommebøker fra USA. Etter at den ble lagt til, ble kryptokurrency deretter overført gjennom flere kontoer som et middel til å skjule identiteten deres.

Noen av de kompromitterte kontoene postet svindelmeldinger gjentatte ganger, selv etter at noen av meldingene ble slettet. Tweets ble merket som sendt via Twitter Web-appen . En av setningene som var involvert i svindelen ble twitret mer enn 3000 ganger i løpet av fire timer, med tweets som ble sendt fra IP-adresser knyttet til mange forskjellige land. Den gjenbrukte formuleringen tillot Twitter å fjerne de fornærmende tweets enkelt da de tok skritt for å stoppe svindelen.

21:45 UTC utgav Twitter en uttalelse som sa at de var "klar over en sikkerhetshendelse som påvirker kontoer på Twitter", og at de "tok skritt for å fikse det". Rett etterpå deaktiverte det muligheten for noen kontoer til å kvitre eller tilbakestille passordet. Twitter har ikke bekreftet hvilke kontoer som var begrenset, men mange brukere med kontoer Twitter hadde merket som "bekreftet" bekreftet at de ikke klarte å tweet. Omtrent tre timer etter de første svindel-tweets, rapporterte Twitter at de trodde de hadde løst alle berørte kontoer for å gjenopprette legitimasjon til sine rettmessige eiere. Senere den kvelden sa Twitter-sjef Jack Dorsey at det var en "tøff dag for oss på Twitter. Vi føler alle forferdelig at dette skjedde. Vi diagnostiserer og vil dele alt vi kan når vi har en mer fullstendig forståelse av nøyaktig hva som skjedde." Minst en kryptovalutautveksling, Coinbase, svarteliste bitcoin-adressene for å forhindre at penger ble sendt. Coinbase sa at de stoppet sending av over 1000 transaksjoner på til sammen 280.000 dollar .

I tillegg til å sende ut tweets, ble kontodataene for åtte kompromitterte kontoer lastet ned, inkludert alle opprettede innlegg og direktemeldinger, selv om ingen av disse kontoene tilhørte verifiserte brukere. Twitter mistenkte også at trettiseks andre kontoer fikk tilgang til deres direkte meldinger, men ikke nedlastet, inkludert den nederlandske parlamentets representant Geert Wilders , men mente ingen andre nåværende eller tidligere valgte tjenestemenn hadde tilgang til sine meldinger.

Metode for angrep

Da Twitter arbeidet med å løse situasjonen 15. juli, ble Vice kontaktet av minst fire personer som hevdet å være en del av svindelen, og presenterte nettstedet med skjermbilder som viste at de hadde vært i stand til å få tilgang til et Twitter-administrasjonsverktøy, også kjent som et "agentverktøy", som tillot dem å endre forskjellige innstillinger på kontonivå for noen av de kompromitterte kontoene, inkludert bekreftelses-e-postmeldinger for kontoen. Dette tillot dem å angi e-postadresser som alle andre brukere med tilgang til den e-postkontoen kunne starte tilbakestilling av passord og legge ut tweets. Disse hackerne fortalte Vice at de hadde betalt innsidere på Twitter for å få tilgang til det administrative verktøyet for å kunne trekke dette av.

TechCrunch rapporterte på samme måte, basert på en kilde som uttalte at noen av meldingene var fra et medlem av et hackingsforum kalt "OGUsers", som hadde hevdet å ha tjent over US $ 100.000 av det. Ifølge Techcrunch 's kilde, hadde dette medlem 'Kirk' velig fått tilgang til Twitter administrative verktøy sannsynlig gjennom en kompromittert ansatt konto, og etter først å tilby å ta over hvilken som helst konto på forespørsel, byttet strategier for å målet kryptovaluta kontoer starter med Binance og deretter høyere profilerte. Kilden trodde ikke Kirk hadde betalt en Twitter-ansatt for tilgang.

"@ 6" Twitter hadde tilhørt Adrian Lamo , og brukeren som vedlikeholdt kontoen på vegne av Lamos familie rapporterte at gruppen som utførte hacket var i stand til å omgå mange sikkerhetsfaktorer de hadde satt opp på kontoen, inkludert to-faktor autentisering , noe som videre indikerer at de administrative verktøyene hadde blitt brukt til å omgå kontosikkerheten. Talspersoner for Det hvite hus uttalte at president Donald Trumps konto, som kan ha vært et mål, hadde implementert ekstra sikkerhetstiltak på Twitter etter en hendelse i 2017, og derfor ikke ble berørt av svindelen.

Vice ' s og Techcrunch ' s kilder ble bekreftet av The New York Times , som snakket til lignende personer involvert i hendelsene, og fra andre sikkerhetsforskere som hadde fått tilsvarende skjermer, og tweets av disse skjermene hadde blitt gjort, men Twitter fjernet disse siden de avslørte personlige opplysninger om kompromitterte kontoer. New York Times bekreftet videre at vektoren for angrepet var knyttet til det meste av selskapet som jobbet hjemmefra midt i COVID-19-pandemien; OGUsers-medlemmene var i stand til å få tilgang til Twitter-ansattes Slack- kommunikasjonskanal der informasjons- og autorisasjonsprosesser ved å få tilgang til selskapets servere eksternt hjemmefra.

Twitter bekreftet deretter at svindelen involverte sosialteknikk , og sa: "Vi oppdaget det vi mener er et koordinert sosialteknisk angrep fra folk som med hell målrettet noen av våre ansatte med tilgang til interne systemer og verktøy." I tillegg til å ta ytterligere skritt for å låse de bekreftede berørte kontoene, sa Twitter at de også har startet en intern etterforskning og har begrenset ansattes tilgang til systemadministrasjonsverktøyene sine når de vurderer situasjonen, samt om ytterligere data ble kompromittert av ondsinnede brukere.

Mot slutten av 17. juli 2020 bekreftet Twitter det som hadde blitt lært av disse mediekildene, og sa at "Angriperne lykkes med å manipulere et lite antall ansatte og brukte legitimasjonen til å få tilgang til Twitters interne systemer, inkludert å komme gjennom vår tofaktors beskyttelse . Per nå vet vi at de har tilgang til verktøy som bare er tilgjengelige for våre interne supportteam. " Twitter hadde vært i stand til å bekrefte ytterligere innen 30. juli at metoden som ble brukt, var det de kalte et "phishing-angrep fra telefon": de brukte opprinnelig sosialteknikk for å bryte legitimasjonen til Twitter-ansatte på lavere nivå som ikke hadde tilgang til administratorverktøyene. , og deretter bruke de ansattes kontoer, engasjerte seg i flere sosialtekniske angrep for å få legitimasjonen til adminverktøyene fra ansatte som hadde autorisasjon for bruk.

Bloomberg News , etter etterforskning med tidligere og nåværende Twitter-ansatte, rapporterte at så mange som 1500 Twitter-ansatte og -partnere hadde tilgang til administratorverktøyene som muliggjorde muligheten til å tilbakestille kontoer slik det var gjort under hendelsen. Tidligere Twitter ansatte hadde fortalt Bloomberg at selv så sent som 2017 og 2018, de med tilgang ville lage et spill for å bruke disse verktøyene til å spore kjente kjendiser om mengden av data som er synlige gjennom verktøy alene var begrenset til elementer som IP-adresse og geolocation informasjon . En talsmann for Twitter sa til Bloomberg at de bruker "omfattende sikkerhetstrening og ledertilsyn" for å administrere ansatte og partnere med tilgang til verktøyene, og at det ikke er "noe som tyder på at partnerne vi samarbeider med om kundeservice og kontoadministrasjon spilte en rolle. her". Tidligere medlemmer av Twitters sikkerhetsavdelinger uttalt at selskapet siden 2015 ble varslet om potensialet fra et indre angrep og andre cybersikkerhetstiltak, men disse ble lagt til side, til fordel for mer inntektsgenererende tiltak.

Ars Technica innhentet en mer detaljert rapport fra en forsker som jobbet med FBI om etterforskningen. I følge denne rapporten skrapte angripere LinkedIn på jakt etter Twitter-ansatte som sannsynligvis hadde administratorrettigheter til kontoinnehaververktøy. Da fikk angripere disse ansattes mobiltelefonnummer og annen privat kontaktinformasjon via betalte verktøy som LinkedIn gjør tilgjengelig for jobbrekrutterere. Etter å ha valgt ofre til neste trinn, kontaktet angriperne Twitter-ansatte, de fleste som jobbet hjemmefra som et resultat av COVID-19-pandemien , og ved å bruke informasjonen fra LinkedIn og andre offentlige kilder, lot de ut for å være Twitter-personell. Angripere instruerte ofre om å logge seg på en falsk intern Twitter-VPN. For å omgå tofaktorautentisering, angrep angripere stjålet legitimasjon i den virkelige Twitter VPN-portalen og "innen få sekunder etter at de ansatte skrev inn informasjonen i den falske" og ba ofrene om å få tofaktorautentiseringskoden.

Gjerningsmenn

Sikkerhet forsker Brian Krebs bekreftet med Techcrunch 's kilde og med informasjon innhentet av Reuters at svindelen syntes å ha sin opprinnelse i 'OGUsers' gruppe. OGUsers-forumet ("OG" som står for "original") ble etablert for salg og kjøp av sosiale mediekontoer med korte eller "sjeldne" navn, og ifølge eieren, og snakket med Reuters, var det ikke tillatt med handel med hacket legitimasjon. Skjermbilder fra forumet viser forskjellige brukere på forumet som tilbyr å hacke seg inn på Twitter-kontoer til USD 2 000 - 3000 hver. Krebs uttalte at et av medlemmene kan ha vært knyttet til august 2019-overtakelsen av Twitter-sjef Jack Dorsey's Twitter-konto. OGUsers-eieren fortalte Reuters at kontoene som ble vist på skjermbildene siden var utestengt.

FBI kunngjorde 16. juli at de iverksetter en etterforskning av svindelen, da den ble brukt til å "opprettholde svindel med kryptovaluta", en straffbar handling. The Senate Select Committee on Intelligence også planlagt å be Twitter for ytterligere informasjon om hack, som utvalgets nestleder Mark Warner uttalte "Muligheten av dårlige skuespillere å ta over prominente kontoer, selv flyktig, signaler en bekymringsfull sårbarhet i denne media miljøet , utnyttbart ikke bare for svindel, men for mer effektive anstrengelser for å forårsake forvirring, kaos og politisk ondskap ". Storbritannias National Cyber ​​Security Center sa at offiserene hadde kontaktet Twitter angående hendelsen. BitTorrent- sjef Justin Sun kunngjorde en $ 1 million dollar mot hackerne, med selskapets Twitter-konto som sier "Han vil personlig betale de som lykkes med å spore opp, og gi bevis for å stille for retten, hackerne / menneskene bak denne hackingen som påvirker samfunnet vårt. "

Det amerikanske justisdepartementet kunngjorde arrestasjonen og siktelsen av tre personer knyttet til svindelen 31. juli 2020. En 19-åring fra Storbritannia ble siktet for flere tilfeller av sammensvergelse for å begå svindel, sammensvergelse for å begå penger hvitvasking , og bevisst tilgang til en beskyttet datamaskin, og en 22-åring fra Florida ble siktet for å ha hjulpet og gitt internasjonal tilgang. Begge skal prøves i USAs tingrett for det nordlige distriktet i California . En tredje person, en mindreårig fra Florida, ble også tiltalt, men på grunn av deres alder ble anklagene forseglet i ungdomsretten i Florida. Staten vil prøve ham som voksen på over tretti anklager relatert til straffeteller, inkludert organisert svindel, kommunikasjonssvindel, identitetstyveri og hacking, i henhold til statens lov som tillater dem å dømme mindreårige som voksne for økonomiske svindelsaker. Tenåringen i Florida erkjente seg ikke skyldig i anklagene 4. august 2020. Tenåringen godtok en anbudskonkurranse innen mars 2021, som inkluderte soning i tre års fengsel, inkludert tid som tjente som en "ungdomsforbryter", selv om han hadde fylt 18 år i løpet av prøve.

En fjerde person, en 16-åring fra Massachusetts, ble identifisert som en mulig mistenkt i svindelen av FBI. Selv om føderale agenter hadde foretatt en garantert ransaking av hans eiendeler i slutten av august 2020, er det ikke kommet noen tiltale ennå.

Reaksjon og ettervirkninger

Berørte brukere kunne bare retweet innhold, noe som førte til at NBC News opprettet en midlertidig ikke-bekreftet konto, slik at de kunne fortsette å tweet, og retweetet "viktige oppdateringer" på hovedkontoen. Noen National Weather Service- prognosekontorer klarte ikke å tweet advarsler om alvorlige vær, med National Weather Service Lincoln, Illinois som i utgangspunktet ikke kunne twitre en advarsel om tornado . Joe Bidens kampanje uttalte til CNN at de var "i kontakt med Twitter om saken", og at kontoen hans hadde blitt "låst". Google deaktiverte midlertidig sin Twitter-karusell i søkefunksjonen som et resultat av disse sikkerhetsproblemene.

Under hendelsen falt aksjekursen på Twitter, Inc. med 4% etter at markedene stengte . Ved slutten av neste dag endte aksjekursen på Twitter, Inc. på $ 36,40, ned 38 cent, eller 0,87%.

Sikkerhetseksperter uttrykte bekymring for at selv om svindelen kan ha vært relativt liten når det gjelder økonomisk innvirkning, utgjør muligheten for sosiale medier å bli overtatt gjennom sosial engineering som involverer ansatte i disse selskapene en stor trussel i bruken av sosiale medier, spesielt i ledelsen -til USAs presidentvalg i 2020 , og potensielt kunne forårsake en internasjonal hendelse. Alex Stamos fra Stanford University 's Senter for internasjonal sikkerhet og samarbeid sa, 'Twitter har blitt den viktigste plattformen når det kommer til diskusjon blant politiske eliter, og det har reelle svakheter.'

Twitter valgte å forsinke utrullingen av sin nye API i etterkant av sikkerhetsproblemene. I september uttalte Twitter at de hadde satt inn nye protokoller for å forhindre lignende sosialtekniske angrep, inkludert økning av bakgrunnssjekker for ansatte som ville ha tilgang til nøkkelbrukerdataene, implementering av phishing-resistente sikkerhetsnøkler å bruke denne dagen og å ha alle ansatte involvert i kundesupport delta i opplæring for å være klar over fremtidige sosialtekniske svindel.

Selv om det ikke var en del av Twitter-hendelsen, innledet Steve Wozniak og sytten andre en søksmål mot Google uken etter, og hevdet at selskapet ikke tok tilstrekkelige grep for å fjerne lignende Bitcoin-svindelvideoer som ble lagt ut på YouTube som brukte hans og de andre saksøkernes navn, bedrager hevd å ha støttet svindelen. Wozniaks klage identifiserte at Twitter var i stand til å handle innen samme dag, mens han og de andre saksøkernes forespørsler til Google aldri hadde blitt behandlet.

29. september 2020 hyret Twitter Rinki Sethi som CISO og VP for selskapet etter bruddet.

Referanser

Eksterne linker