Hack de Twitter: empleados engañados por estafa de phishing con lanza telefónica


  Una composición de cuatro partes muestra a Bill Gates, Kim Kardashian, el logotipo de Twitter y Joe Biden.

Derechos de imagen
Reuters

El pirateo sin precedentes de cuentas de Twitter de celebridades fue causado por un error humano y un ataque de phishing a los empleados de Twitter, confirmó la compañía.

Spear phishing es un ataque dirigido que está diseñado para engañar a las personas para que distribuyan información como contraseñas.

Twitter dijo que sus empleados fueron atacados en sus teléfonos.

] El intento exitoso permitió a los atacantes tuitear desde cuentas de celebridades y acceder a sus mensajes directos privados.

Las cuentas del fundador de Microsoft Bill Gates, el presidente demócrata Joe Biden y la estrella de la realidad Kim Kardashian West se vieron comprometidas y compartieron una estafa de Bitcoin. [19659005] Los informes dicen que los estafadores han sido acreditados con más de $ 100,000 (GBP 80,000).

El ataque planteó preocupaciones sobre el nivel de acceso de los empleados de Twitter y luego de los hackers o las cuentas de usuario.

Twitter reconoció esta preocupación en su declaración, diciendo que "miraría de cerca" cómo podría mejorar sus permisos y procesos.

"El acceso a estas herramientas es estrictamente limitado y solo se otorga por razones comerciales válidas", dijo la compañía.

No todos los empleados afectados por el ataque de spear phishing tenían acceso a las herramientas internas, dijo Twitter, pero tenían acceso a la red interna y a otros sistemas. [19659005] Después de que los atacantes adquirieron credenciales de usuario para incluirlos en la red de Twitter, la siguiente fase de su ataque fue mucho más fácil.

Fueron dirigidos contra otros empleados que tenían acceso a controles de cuenta.

Análisis

Por Joe Tidy, reportero de seguridad cibernética

Twitter no aclara si sus empleados han sido engañados o no por correo electrónico o llamada telefónica. Hay consenso en la comunidad de seguridad de la información de que es lo último.

Phonecall Spear-Phishing, comúnmente conocido como Vishing, es pan y mantequilla para el tipo de piratas informáticos sospechosos de ser atacados.

Los delincuentes recibieron los números de teléfono de un puñado de empleados de Twitter y, a través de persuasiones y trucos amigables, los persuadieron para que proporcionaran nombres de usuario y contraseñas que les permitieran ingresar por primera vez al sistema interno.

  • Hack de Twitter: lo que salió mal y por qué es importante
  • El FBI examina el hack de Twitter

Como dice Twitter, los estafadores han "explotado las vulnerabilidades humanas". Puedes imaginar cómo podrían haber ido las cosas:

Hackers a empleados de Twitter: "Hola, soy nuevo en el departamento y me he excluido del portal interno de Twitter. ¿Pueden hacerme un gran favor y hacerme esto? ¿dar?" ¿Volver a iniciar sesión? "

El hecho de que los empleados de Twitter fueran vulnerables a estos ataques básicos es vergonzoso para una empresa creada para estar a la vanguardia de la tecnología digital y la cultura de Internet.

Twitter dijo que la primera lanza -Phishing intentó el 15 de julio, el mismo día en que las cuentas se vieron comprometidas, lo que indica que se accedió a las cuentas en unas pocas horas.

"Este ataque se basó en un esfuerzo importante y concertado, Engañar a ciertos empleados y personas Utilizar las vulnerabilidades humanas para obtener acceso a nuestros sistemas internos ", dijo la compañía.

" Este fue un recordatorio notable de la importancia de cada persona en nuestro equipo para proteger nuestro servicio. "

La reproducción de medios no es compatible con su dispositivo

Firma de medios La tecnología explica: ¿Qué es el phishing?

Twitter no indicó si el ataque incluía llamadas de voz, aunque un informe anterior de Bloomberg declaró que que al menos un empleado de Twitter fue contactado por los atacantes por teléfono

La suplantación de identidad se realiza más comúnmente por correo electrónico y mensaje de texto para alentar a los destinatarios a hacer clic en los enlaces que los llevan a sitios web con pantallas de inicio de sesión falsas. [19659005] La suplantación de identidad es un problema La lucha contra el fraude está dirigida a una persona o a una empresa específica y generalmente está muy adaptada para aumentar la credibilidad.

Una víctima cuya cuenta ha sido comprometida le dijo a la BBC que Twitter podría haber hecho cosas diferentes de manera diferente.

"No debería darle a un solo empleado la capacidad de deberían eliminar la dirección de correo electrónico y la autenticación de dos factores ", dijeron.

"Entiendo por qué esto es necesario, por ejemplo, cuando una cuenta inactiva tiene correos electrónicos muy antiguos e inaccesibles que han perdido su teléfono o algo así, pero se deben requerir dos personas para desconectarse ".

También dijeron que la comunicación de Twitter era deficiente.

"Restablecer esta cuenta tardó 10 días. No hubo respuesta personal real de Twitter. Literalmente recibí el correo electrónico automático" haga clic aquí para continuar "de su sistema cuando agregaron mi correo electrónico nuevamente a su cuenta así que puedo restablecerlo, y parecía un correo electrónico de phishing "

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *