Kapring av Twitter -konto 2020 - 2020 Twitter account hijacking

Kapring av Twitter -konto 2020
En tweet fra Apple, som lyder: "Vi gir tilbake til lokalsamfunnet vårt. Vi støtter Bitcoin og mener at du også bør gjøre det! All Bitcoin som sendes til våre adresser, blir sendt tilbake til deg, doblet!" Etter en bitcoin -adresse står det "Bare pågår de neste 30 minuttene."
En representativ svindeltweet fra Apples hackede konto.
Dato 15. juli 2020, 20: 00–22: 00 UTC
Årsaken Koordinert sosialteknisk angrep
Mål Profilerte Twitter- kontoer med høy profil
Utfall Minst 130 kontoer berørt. De involverte bitcoin -adressene mottok rundt 110 000 dollar i bitcoin -transaksjoner.
Arrestasjoner 3, 31. juli 2020

15. juli 2020, mellom kl. 20.00 og 22.00 UTC , skal 130 høyprofilerte Twitter- kontoer ha blitt kompromittert av eksterne parter for å fremme en bitcoin- svindel . Twitter og andre mediekilder bekreftet at gjerningsmennene hadde fått tilgang til Twitters administrative verktøy slik at de kunne endre kontoene selv og legge ut tweets direkte. De så ut til å ha brukt sosial ingeniørkunst for å få tilgang til verktøyene via Twitter -ansatte. Tre personer ble arrestert av myndighetene 31. juli 2020 og siktet for bedrageri , hvitvasking , identitetstyveri og uautorisert datatilgang knyttet til svindelen.

Svindel -tweets ba enkeltpersoner om å sende bitcoin -valuta til en bestemt kryptokurrency -lommebok , med løfte fra Twitter -brukeren om at pengene som ble sendt, ville bli doblet og returnert som en veldedig gest. I løpet av minutter fra de første tweets hadde mer enn 320 transaksjoner allerede funnet sted på en av lommebokadressene, og bitcoin til en verdi av mer enn 110 000 dollar hadde blitt satt inn på en konto før svindelmeldingene ble fjernet av Twitter. I tillegg ble det også anskaffet fullstendig meldingshistorikkdata fra åtte ikke-verifiserte kontoer.

Dmitri Alperovitch , co-grunnlegger av Cybersecurity selskap CrowdStrike , beskrev hendelsen som "den verste hack av en større sosial medieplattform ennå." Den Federal Bureau of Investigation (FBI) og andre politimyndigheter etterforsker svindel og sikkerhet som brukes av Twitter. Sikkerhetsforskere uttrykte bekymring for at sosialteknikken som ble brukt for å utføre hackingen, kan påvirke bruken av sosiale medier i viktige online diskusjoner, inkludert opptakten til presidentvalget i USA 2020 .

hendelse

Rettsmedisinsk analyse av svindelen viste at de første svindelmeldingene først ble lagt ut av kontoer med korte, ett eller to tegn karakteristiske navn, for eksempel "@6". Dette ble fulgt av kryptovaluta Twitter -kontoer rundt klokken 20:00 UTC 15. juli 2020, inkludert Coinbase , CoinDesk og Binance . Svindelen flyttet deretter til mer profilerte kontoer med den første tweet som ble sendt fra Elon Musks Twitter-konto kl. 20:17 UTC. Andre tilsynelatende kompromitterte beretninger inkluderer beretninger fra kjente personer som Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian og Kanye West ; og selskaper som Apple , Uber og Cash App . Twitter mente 130 kontoer ble påvirket, selv om bare 45 faktisk ble brukt til å tweet svindelmeldingen; de fleste av kontoene som ble åpnet i svindelen hadde minst en million følgere.

Tweets som er involvert i svindelhacket hevdet at avsenderen i veldedighet ville tilbakebetale enhver bruker dobbelt så mye som bitcoin de sendte til gitt lommebøker, ofte som en del av et COVID-19- hjelpearbeid. Tweets fulgte delingen av ondsinnede lenker av en rekke kryptovaluta -selskaper; nettstedet som inneholder koblingene ble fjernet kort tid etter at tweets ble lagt ut. Selv om slike "doble din bitcoin" -svindel har vært vanlig på Twitter før, er dette den første store forekomsten av at de ble brukt med profilerte kontoer. Sikkerhetseksperter mener gjerningsmennene drev svindelen som en " smash and grab " -operasjon: Da de visste at inntrengningen i regnskapet ville bli lukket raskt, planlegger gjerningsmennene sannsynligvis at bare en liten brøkdel av millionene som følger disse kontoene, måtte falle for svindelen på den korte tiden for å tjene raske penger på det. Flere bitcoin lommebøker hadde blitt oppført på disse nettstedene; den første observerte hadde mottatt 12 bitcoins fra over 320 transaksjoner, verdsatt til mer enn 118 000 dollar , og hadde om lag 61 000 dollar fjernet fra den, mens en annen hadde beløp på bare tusenvis av dollar da Twitter tok skritt for å stoppe posteringene. Det er uklart om disse hadde vært midler lagt til av de som ble ledet av svindelen, ettersom bitcoin -svindlere er kjent for å legge til midler i lommebøker før de starter ordninger for å få svindelen til å virke legitim. Av midlene som ble lagt til, hadde de fleste stammer fra lommebøker med kinesisk eierskap, men omtrent 25% kom fra amerikanske lommebøker. Etter at den ble lagt til, ble kryptovalutaen deretter overført gjennom flere kontoer som et middel for å skjule deres identitet.

Noen av de kompromitterte kontoene postet svindelmeldinger gjentatte ganger, selv etter at noen av meldingene ble slettet. Tweets ble merket som å ha blitt sendt ved hjelp av Twitter -webappen . En av setningene som er involvert i svindelen ble tweetet mer enn 3000 ganger i løpet av fire timer, med tweets som ble sendt fra IP -adresser knyttet til mange forskjellige land. Den gjenbrukte formuleringen tillot Twitter å enkelt fjerne de krenkende tweets da de tok skritt for å stoppe svindelen.

Klokken 21.45 UTC ga Twitter ut en uttalelse om at de var "klar over en sikkerhetshendelse som påvirket kontoer på Twitter" og at de "tok skritt for å fikse det". Kort tid etter deaktiverte det muligheten for noen kontoer til å tweet eller tilbakestille passordet. Twitter har ikke bekreftet hvilke kontoer som var begrenset, men mange brukere med kontoer Twitter hadde merket som "bekreftet" bekreftet at de ikke klarte å tweet. Omtrent tre timer etter de første svindel -tweets, rapporterte Twitter at de trodde de hadde løst alle de berørte kontoene for å gjenopprette legitimasjon til sine rettmessige eiere. Senere samme kveld sa Twitter -sjef Jack Dorsey at det var en "tøff dag for oss på Twitter. Vi føler alle forferdelige at dette skjedde. Vi diagnostiserer og vil dele alt vi kan når vi har en mer fullstendig forståelse av hva som skjedde." Minst en kryptokurrencyutveksling, Coinbase, svarteliste bitcoin -adressene for å forhindre at penger sendes. Coinbase sa at de stoppet over 1000 transaksjoner på totalt 280 000 dollar fra å bli sendt.

I tillegg til å sende ut tweets, ble kontodataene for åtte kompromitterte kontoer lastet ned, inkludert alle opprettede innlegg og direkte meldinger, selv om ingen av disse kontoene tilhørte verifiserte brukere. Twitter mistenkte også at tretti-seks andre kontoer hadde sine direkte meldinger åpnet, men ikke lastet ned, inkludert nederlandske parlamentsrepresentant Geert Wilders , men mente at ingen annen nåværende eller tidligere valgt embetsmann hadde tilgang til meldingene sine.

Angrepsmetode

Da Twitter jobbet med å løse situasjonen 15. juli, ble Vice kontaktet av minst fire personer som hevdet å være en del av svindelen og presenterte nettstedet skjermbilder som viser at de hadde fått tilgang til et Twitter -administrativt verktøy, også kjent som et "agentverktøy", som tillot dem å endre forskjellige innstillinger på kontonivå for noen av de kompromitterte kontoene, inkludert e-postbekreftelse for kontoen. Dette tillot dem å angi e -postadresser som enhver annen bruker med tilgang til den e -postkontoen kan starte en tilbakestilling av passord og legge ut tweets. Disse hackerne fortalte Vice at de hadde betalt innsidere på Twitter for å få tilgang til det administrative verktøyet for å kunne fjerne dette.

TechCrunch rapporterte på samme måte, basert på en kilde som sa at noen av meldingene var fra et medlem av et hackingforum kalt "OGUsers", som hadde hevdet å ha tjent over 100 000 dollar på det. Ifølge Techcrunch 's kilde, hadde dette medlem 'Kirk' velig fått tilgang til Twitter administrative verktøy sannsynlig gjennom en kompromittert ansatt konto, og etter først å tilby å ta over hvilken som helst konto på forespørsel, byttet strategier for å målet kryptovaluta kontoer starter med Binance og deretter de med høyere profil. Kilden trodde ikke Kirk hadde betalt en Twitter -ansatt for tilgang.

"@6" Twitter hadde tilhørt Adrian Lamo , og brukeren som vedlikeholdt kontoen på vegne av Lamos familie rapporterte at gruppen som utførte hackingen var i stand til å omgå mange sikkerhetsfaktorer de hadde satt opp på kontoen, inkludert tofaktorer godkjenning , noe som videre indikerer at de administrative verktøyene hadde blitt brukt for å omgå kontosikkerheten. Talsmenn for Det hvite hus uttalte at president Donald Trumps konto, som kan ha vært et mål, hadde iverksatt ekstra sikkerhetstiltak på Twitter etter en hendelse i 2017, og derfor ikke ble påvirket av svindelen.

Vice ' s og Techcrunch ' s kilder ble bekreftet av The New York Times , som snakket til lignende personer involvert i hendelsene, og fra andre sikkerhetsforskere som hadde fått tilsvarende skjermer, og tweets av disse skjermene hadde blitt gjort, men Twitter fjernet disse siden de avslørte personlige detaljer om det kompromitterte regnskapet. New York Times bekreftet videre at angrepsvektoren var relatert til at det meste av selskapet jobbet hjemmefra midt i COVID-19-pandemien; OGUsers -medlemmene kunne få tilgang til Twitter -ansattes Slack -kommunikasjonskanal der informasjon og autorisasjonsprosesser for å få tilgang til selskapets servere eksternt hjemmefra hadde blitt festet.

Twitter bekreftet deretter at svindelen involverte sosial ingeniørkunst og sa: "Vi oppdaget det vi mener er et koordinert sosialteknisk angrep av mennesker som lyktes med å målrette noen av våre ansatte med tilgang til interne systemer og verktøy." I tillegg til å ta ytterligere skritt for å låse de berørte bekreftede kontoene, sa Twitter at de også har startet en intern undersøkelse og har begrenset ansattes tilgang til sine systemadministrative verktøy når de vurderer situasjonen, samt om ytterligere data ble kompromittert av ondsinnede brukere.

I slutten av 17. juli 2020 bekreftet Twitter det som var lært av disse mediekildene, og uttalte at "Angriperne manipulerte vellykket et lite antall ansatte og brukte legitimasjonene sine for å få tilgang til Twitters interne systemer, inkludert å komme seg gjennom tofaktors beskyttelse . Fra nå av vet vi at de har tilgang til verktøy som bare er tilgjengelige for våre interne støtteteam. " Twitter hadde vært i stand til ytterligere å bekrefte innen 30. juli at metoden som ble brukt var det de kalte et "telefon-spyd-phishing-angrep": de brukte i utgangspunktet sosial konstruksjon for å bryte legitimasjonen til Twitter-ansatte på lavere nivå som ikke hadde tilgang til administrasjonsverktøyene , og deretter bruke disse ansattkontoene, engasjerte seg i ytterligere sosialtekniske angrep for å få legitimasjonen til administrasjonsverktøyene fra ansatte som hadde autorisasjon for bruk.

Bloomberg News , etter etterforskning med tidligere og nåværende Twitter -ansatte, rapporterte at så mange som 1500 Twitter -ansatte og partnere hadde tilgang til administrasjonsverktøyene som ville tillate muligheten til å tilbakestille kontoer slik det hadde blitt gjort under hendelsen. Tidligere Twitter ansatte hadde fortalt Bloomberg at selv så sent som 2017 og 2018, de med tilgang ville lage et spill for å bruke disse verktøyene til å spore kjente kjendiser om mengden av data som er synlige gjennom verktøy alene var begrenset til elementer som IP-adresse og geolocation informasjon . En Twitter -talsperson fortalte Bloomberg at de bruker "omfattende sikkerhetstrening og ledertilsyn" for å administrere ansatte og partnere med tilgang til verktøyene, og at det ikke var "noen indikasjon på at partnerne vi jobber med om kundeservice og kontostyring spilte en rolle her". Tidligere medlemmer av Twitters sikkerhetsavdelinger uttalte at siden 2015 ble selskapet varslet om potensialet fra et innvendig angrep og andre cybersikkerhetstiltak, men disse ble lagt til side, til fordel for flere inntektsbringende tiltak.

Ars Technica innhentet en mer detaljert rapport fra en forsker som jobbet med FBI om etterforskningen. Ifølge denne rapporten skrapte angriperne LinkedIn på jakt etter Twitter-ansatte som sannsynligvis vil ha administratorrettigheter for kontoinnehaververktøy. Deretter skaffet angriperne disse ansattes mobiltelefonnumre og annen privat kontaktinformasjon via betalte verktøy LinkedIn gjør tilgjengelig for jobbrekrutterere. Etter å ha valgt ofre for neste trinn, tok angriperne kontakt med Twitter-ansatte, de fleste som jobbet hjemmefra som et resultat av COVID-19-pandemien , og ved å bruke informasjonen fra LinkedIn og andre offentlige kilder, lot de seg som Twitter-personell. Angriperne rettet ofrene til å logge inn på en falsk intern Twitter -VPN. For å omgå tofaktorautentisering skrev angriperne inn stjålne legitimasjoner i den virkelige Twitter VPN-portalen og "i løpet av sekunder etter at de ansatte skrev inn informasjonen i den falske" og ba ofrene om tofaktorautentiseringskoden.

Gjerningsmenn

Sikkerhet forsker Brian Krebs bekreftet med Techcrunch 's kilde og med informasjon innhentet av Reuters at svindelen syntes å ha sin opprinnelse i 'OGUsers' gruppe. OGUsers -forumet ("OG" som står for "original") ble opprettet for å selge og kjøpe sosiale medier -kontoer med korte eller "sjeldne" navn, og ifølge eieren, som snakket med Reuters, var det forbudt å handle med hacket legitimasjon. Skjermbilder fra forumet viser forskjellige brukere på forumet som tilbyr å hacke seg inn på Twitter -kontoer for $ 2.000–3.000 dollar hver. Krebs uttalte at et av medlemmene kan ha vært knyttet til overtakelsen av Twitter -sjef Jack Dorsey, Twitter -konto i august 2019. OGUsers -eieren sa til Reuters at kontoene som ble vist i skjermdumpene siden ble utestengt.

FBI kunngjorde 16. juli at det startet en etterforskning av svindelen, ettersom den ble brukt til å "forevige kryptovalutasvindel", et straffbart forhold. The Senate Select Committee on Intelligence også planlagt å be Twitter for ytterligere informasjon om hack, som utvalgets nestleder Mark Warner uttalte "Muligheten av dårlige skuespillere å ta over prominente kontoer, selv flyktig, signaler en bekymringsfull sårbarhet i denne media miljøet , kan utnyttes ikke bare for svindel, men for mer effektive tiltak for å forårsake forvirring, kaos og politisk uhell ". Storbritannias nasjonale cybersikkerhetssenter sa at offiserene hadde kontaktet Twitter om hendelsen. BitTorrent -administrerende direktør Justin Sun kunngjorde en dusør på 1 million dollar mot hackerne, med selskapets Twitter -konto som uttalte "Han vil personlig betale de som lykkes med å spore opp, og gi bevis for at domstolene/menneskene bak denne hackingen påvirker samfunnet vårt. "

Det amerikanske justisdepartementet kunngjorde arrestasjonen og anklagene for tre personer knyttet til svindelen 31. juli 2020. En 19-åring fra Storbritannia ble siktet for flere konspirasjoner for å begå svindel, sammensvergelse for å begå penger hvitvasking , og forsettlig tilgang til en beskyttet datamaskin, og en 22-åring fra Florida ble siktet for å ha hjulpet til med internasjonal tilgang. Begge vil bli prøvd i USAs tingrett for Northern District of California . En tredje person, en mindreårig fra Florida, ble også tiltalt, men på grunn av deres alder ble anklagene beseglet i ungdomsdomstolen i Florida. Staten vil prøve ham som voksen på over tretti anklager knyttet til forbrytelser, inkludert organisert svindel, kommunikasjonsbedrageri, identitetstyveri og hacking, i henhold til statens lov som tillater dem å dømme mindreårige som voksne for økonomiske svindelsaker. Florida -tenåringen nektet straffskyld for anklagene 4. august 2020. Tenåringen godtok et klageoppgjør innen mars 2021 som inkluderte soning i tre års fengsel, inkludert tid som en "ungdommelig lovbryter", selv om han hadde fylt 18 år under prøve.

En fjerde person, en 16 år gammel fra Massachusetts, hadde blitt identifisert som en mulig mistenkt i svindelen av FBI. Selv om føderale agenter hadde utført et berettiget søk av eiendelene hans i slutten av august 2020, har det ikke blitt gjort noen tiltale ennå.

Reaksjon og etterspill

Berørte brukere kunne bare retweet innhold, noe som førte til at NBC News opprettet en midlertidig, ikke-bekreftet konto, slik at de kunne fortsette å tweet, og retweetet "betydelige oppdateringer" på hovedkontoen. Noen prognosekontorer for National Weather Service klarte ikke å tweet alvorlige værvarsler, med National Weather Service Lincoln, Illinois i utgangspunktet ikke i stand til å tweet en tornado -advarsel . Joe Bidens kampanje uttalte til CNN at de var "i kontakt med Twitter om saken", og at kontoen hans hadde blitt "låst". Google deaktiverte Twitter -karusellen midlertidig i søkefunksjonen som et resultat av disse sikkerhetsproblemene.

Under hendelsen falt Twitter, Inc.s aksjekurs med 4% etter at markedene stengte . Ved slutten av neste dag endte Twitter, Inc.s aksjekurs på $ 36,40, ned 38 cent eller 0,87%.

Sikkerhetseksperter uttrykte bekymring for at svindelen kan ha vært relativt liten når det gjelder økonomisk innvirkning, men muligheten for sosiale medier til å bli overtatt gjennom sosial ingeniørarbeid som involverer ansatte i disse selskapene utgjør en stor trussel ved bruk av sosiale medier, spesielt i spissen -til presidentvalget i USA 2020 , og kan potensielt forårsake en internasjonal hendelse. Alex Stamos fra Stanford University 's Senter for internasjonal sikkerhet og samarbeid sa, 'Twitter har blitt den viktigste plattformen når det kommer til diskusjon blant politiske eliter, og det har reelle svakheter.'

Twitter valgte å utsette lanseringen av sitt nye API i kjølvannet av sikkerhetsproblemene. I september uttalte Twitter at de hadde innført nye protokoller for å forhindre lignende sosialtekniske angrep, inkludert å øke bakgrunnskontrollene for ansatte som ville ha tilgang til viktige brukerdata, implementere phishing-resistente sikkerhetsnøkler for å bruke denne dagen og ha alle ansatte involvert i kundestøtte delta i opplæring for å være oppmerksom på fremtidige sosialtekniske svindel.

Selv om det ikke var en del av Twitter -hendelsen, startet Steve Wozniak og sytten andre et søksmål mot Google uken etter, og hevdet at selskapet ikke tok tilstrekkelige tiltak for å fjerne lignende Bitcoin -svindelvideoer lagt ut på YouTube som brukte hans og de andre saksøkernes navn, hevder uredelig å støtte svindelen. Wozniaks klage identifiserte at Twitter var i stand til å handle innen samme dag, mens han og de andre saksøkernes forespørsler til Google aldri hadde blitt håndtert.

September 2020 ansatte Twitter Rinki Sethi som CISO og visedirektør i selskapet etter bruddet.

Referanser

Eksterne linker