Kapning av Twitter -konto 2020 - 2020 Twitter account hijacking

Kapning av Twitter -konto 2020
En tweet från Apple, som lyder: "Vi ger tillbaka till vårt samhälle. Vi stöder Bitcoin och anser att du också bör! All Bitcoin som skickas till våra adresser kommer att skickas tillbaka till dig, fördubblats!" Efter en bitcoin -adress står det "Pågår bara under de närmaste 30 minuterna."
En representativ blufftweet från Apples hackade konto.
Datum 15 juli 2020, 20: 00–22: 00 UTC
Orsak Koordinerad social engineering attack
Mål Högprofilerade verifierade Twitter- konton
Resultat Minst 130 konton påverkas. De involverade bitcoinadresserna fick cirka 110 000 dollar i bitcoin -transaktioner.
Arresteringar 3, den 31 juli 2020

Den 15 juli 2020, mellan 20:00 och 22:00 UTC , utsattes 130 högprofilerade Twitter- konton för att utsättas för bitcoin- bedrägeri . Twitter och andra mediekällor bekräftade att gärningsmännen hade fått tillgång till Twitters administrativa verktyg så att de själva kunde ändra kontona och lägga upp tweets direkt. De verkade ha använt social teknik för att få tillgång till verktygen via Twitter -anställda. Tre personer greps av myndigheterna den 31 juli 2020 och åtalades för bedrägeri , penningtvätt , identitetsstöld och obehörig datoråtkomst relaterad till bluffen.

Scam -tweets bad individer att skicka bitcoin -valuta till en specifik kryptovaluta -plånbok , med löftet från Twitter -användaren att pengar som skickas skulle fördubblas och returneras som en välgörenhetsgest. Inom några minuter från de första tweetsna hade mer än 320 transaktioner redan ägt rum på en av plånbokens adresser, och bitcoin till ett värde av mer än 110 000 dollar hade deponerats på ett konto innan bluffmeddelandena togs bort av Twitter. Dessutom förvärvades också fullständig meddelandehistorik från åtta icke-verifierade konton.

Dmitri Alperovitch , en av grundarna av cyber företagets CrowdStrike , beskrev händelsen som "den värsta hack av en större social medieplattform ännu." Den Federal Bureau of Investigation (FBI) och andra brottsbekämpande myndigheter undersöker bedrägeri och säkerhet som används av Twitter. Säkerhetsforskare uttryckte oro över att socialtekniken som används för att genomföra hacket kan påverka användningen av sociala medier i viktiga onlinediskussioner, inklusive inledningen till presidentvalet i USA 2020 .

Incident

Kriminalteknisk analys av bedrägeriet visade att de första bluffmeddelandena först publicerades av konton med korta, ett eller två tecken distinkta namn, till exempel "@6". Detta följdes av kryptovaluta Twitter -konton vid 20.00 UTC den 15 juli 2020, inklusive Coinbase , CoinDesk och Binance . Bedrägeriet flyttade sedan till fler högprofilerade konton med den första tweet som skickades från Elon Musks Twitter-konto klockan 20:17 UTC. Andra uppenbarligen komprometterade konton inkluderade de från välkända personer som Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian och Kanye West ; och företag som Apple , Uber och Cash App . Twitter trodde att 130 konton påverkades, även om bara 45 faktiskt användes för att tweeta bluffmeddelandet; de flesta konton som var tillgängliga i bluffen hade minst en miljon följare.

Tweetsna som var inblandade i bedrägerihacken hävdade att avsändaren, i välgörenhet, skulle återbetala alla användare dubbla värdet av eventuell bitcoin som de skickade till givna plånböcker, ofta som en del av en COVID-19- hjälpinsats. Tweets följde delningen av skadliga länkar av ett antal kryptovaluta -företag; webbplatsen som är värd för länkarna togs ner strax efter att tweets publicerades. Även om sådana "dubbla dina bitcoin" -bedrägerier har varit vanliga på Twitter tidigare, är detta den första stora förekomsten av att de används med högprofilerade konton. Säkerhetsexperter tror att gärningsmännen drev bluffen som en " smash and grab " -operation: Vetskapen om att intrånget i kontona skulle stängas snabbt, planerade förövarna sannolikt att bara en liten bråkdel av de miljoner som följer dessa konton behövde falla för bluffen på den korta tiden för att tjäna snabba pengar på det. Flera bitcoinplånböcker hade listats på dessa webbplatser; den första som observerats hade fått 12 bitcoins från över 320 transaktioner, värderade till mer än 118 000 US -dollar , och hade cirka 61 000 USD borttagna från den, medan en andra hade belopp på bara tusentals dollar när Twitter tog steg för att stoppa bokningarna. Det är oklart om dessa hade varit medel som tillkommit av dem som leds av bluffen, eftersom bitcoin -bedragare är kända för att lägga till medel i plånböcker innan de startar system för att få bluffen att verka legitim. Av de tillagda medlen hade de flesta härrör från plånböcker med kinesiskt ägande, men cirka 25% kom från amerikanska plånböcker. Efter att den lagts till överfördes sedan kryptovalutan sedan via flera konton som ett sätt att dölja deras identitet.

Några av de komprometterade kontona publicerade bluffmeddelanden upprepade gånger, även efter att några av meddelandena raderats. Tweetsna märktes som skickade med Twitter -webbappen . En av fraserna som var inblandade i bluffen twittrades mer än 3000 gånger på fyra timmar, med tweets som skickades från IP -adresser kopplade till många olika länder. Den återanvända formuleringen gjorde det möjligt för Twitter att enkelt ta bort de kränkande tweetsna när de tog steg för att stoppa bluffen.

Vid 21:45 UTC släppte Twitter ett uttalande om att de var "medvetna om en säkerhetsincident som påverkar konton på Twitter" och att de "vidtar åtgärder för att åtgärda det". Kort därefter inaktiverade det möjligheten för vissa konton att twittra eller återställa lösenordet. Twitter har inte bekräftat vilka konton som var begränsade, men många användare med konton som Twitter hade markerat som "verifierade" bekräftade att de inte kunde twittra. Ungefär tre timmar efter de första blufftweetarna rapporterade Twitter att de trodde att de hade löst alla berörda konton för att återställa legitimationsuppgifter till sina rättmätiga ägare. Senare samma kväll sa Twitter -vd Jack Dorsey att det var en "tuff dag för oss på Twitter. Vi känner alla fruktansvärda att detta hände. Vi diagnostiserar och kommer att dela allt vi kan när vi har en mer fullständig förståelse för exakt vad som hände." Minst en kryptovalutautbyte, Coinbase, svartlistade bitcoin -adresserna för att förhindra att pengar skickas. Coinbase sa att de stoppade över 1 000 transaktioner på totalt 280 000 US dollar från att skickas.

Förutom att skicka ut tweets laddades kontodata för åtta komprometterade konton ner, inklusive alla skapade inlägg och direktmeddelanden, även om inget av dessa konton tillhörde verifierade användare. Twitter misstänkte också att trettiosex andra konton hade sina direktmeddelanden tillgängliga men inte nedladdade, inklusive nederländska parlamentets representant Geert Wilders , men trodde att ingen annan nuvarande eller tidigare vald tjänsteman hade tillgång till sina meddelanden.

Angreppssätt

När Twitter arbetade med att lösa situationen den 15 juli, kontaktades Vice av minst fyra personer som påstod sig vara en del av bluffen och presenterade webbplatsen för skärmdumpar som visar att de hade kunnat få tillgång till ett Twitter administrativt verktyg, även känt som ett "agentverktyg", som tillät dem att ändra olika inställningar på kontonivå för några av de komprometterade kontona, inklusive e-postbekräftelser för kontot. Detta tillät dem att ställa in e -postadresser som alla andra användare med åtkomst till det e -postkontot kunde initiera en lösenordsåterställning och lägga upp tweets. Dessa hackare berättade för Vice att de hade betalat insiders på Twitter för att få tillgång till det administrativa verktyget för att kunna ta bort detta.

TechCrunch rapporterade på liknande sätt, baserat på en källa som uppgav att några av meddelandena var från en medlem i ett hackingsforum som kallades "OGUsers", som hade hävdat att han hade tjänat över 100 000 dollar på det. Enligt Techcrunch : s källa hade denna medlem 'Kirk' enligt uppgift fått tillgång till Twitter administrativa verktyget sannolikt genom en komprometterad anställd konto och efter att först erbjuda att ta över ett konto på begäran bytte strategier för att målet kryptovaluta konton börjar med Binance och sedan högre profil. Källan trodde inte att Kirk hade betalat en Twitter -anställd för åtkomst.

"@6" Twitter hade tillhört Adrian Lamo , och användaren som upprätthöll kontot på uppdrag av Lamos familj rapporterade att gruppen som utförde hacket kunde kringgå många säkerhetsfaktorer som de hade skapat på kontot, inklusive tvåfaktor autentisering , vilket ytterligare indikerar att de administrativa verktygen hade använts för att kringgå kontosäkerheten. Talspersoner för Vita huset uppgav att president Donald Trumps konto, som kan ha varit ett mål, hade extra säkerhetsåtgärder genomförda på Twitter efter en incident 2017, och därför inte påverkades av bluffen.

Vice ' s och Techcrunch : s källor bekräftades av The New York Times , som talade till liknande personer som är inblandade med händelserna, och från andra säkerhetsforskare som hade fått liknande skärmar och tweets av dessa skärmar hade gjorts, men Twitter bort dessa eftersom de avslöjade personliga detaljer om de komprometterade kontona. New York Times bekräftade vidare att angreppsvektorn var relaterad till att det mesta av företaget arbetade hemifrån under COVID-19-pandemin; OGUsers medlemmar kunde få tillgång till Twitter -anställdas Slack -kommunikationskanal där information och behörighetsprocesser för åtkomst till företagets servrar på distans hemifrån hade fästs.

Twitter bekräftade därefter att bluffen involverade social engineering , med uttalandet "Vi upptäckte vad vi anser vara en samordnad social engineering attack av människor som framgångsrikt riktade några av våra anställda med tillgång till interna system och verktyg." Förutom att vidta ytterligare åtgärder för att stänga de berörda verifierade kontona sa Twitter att de också har påbörjat en intern utredning och har begränsad anställdas tillgång till sina systemadministrativa verktyg när de utvärderar situationen, samt om ytterligare data har äventyrats av skadliga användare.

I slutet av den 17 juli 2020 bekräftade Twitter vad man hade lärt sig från dessa mediekällor och sade att "Angriparna lyckades manipulera ett litet antal anställda och använde sina referenser för att komma åt Twitters interna system, inklusive att komma igenom våra tvåfaktorsskydd . Från och med nu vet vi att de har tillgång till verktyg som endast är tillgängliga för våra interna supportteam. " Twitter hade kunnat ytterligare bekräfta senast den 30 juli att metoden som använts var vad de kallade en "phear phishing attack": de använde inledningsvis social teknik för att bryta mot legitimationen för Twitter-anställda på lägre nivå som inte hade tillgång till administrationsverktygen , och sedan använda de anställdas konton, engagerade sig i ytterligare sociala teknikattacker för att få legitimationen till administrationsverktygen från anställda som hade behörighet för deras användning.

Bloomberg News rapporterade efter utredning med tidigare och nuvarande Twitter -anställda att så många som 1500 Twitter -anställda och partners hade tillgång till administrationsverktygen som skulle möjliggöra möjlighet att återställa konton som hade gjorts under incidenten. Tidigare Twitter -anställda hade berättat för Bloomberg att även så sent som 2017 och 2018 skulle de med tillgång göra ett spel med att använda dessa verktyg för att spåra berömda kändisar, även om mängden data som var synlig genom verktygen enbart var begränsad till element som IP -adress och geografisk platsinformation . En talesperson för Twitter sa till Bloomberg att de använder "omfattande säkerhetsutbildning och ledningstillsyn" för att hantera anställda och partners med tillgång till verktygen, och att det inte fanns "någon indikation på att de partners vi arbetar med om kundservice och kontohantering spelade en roll här". Tidigare medlemmar av Twitters säkerhetsavdelningar uppgav att företaget sedan 2015 larmades om potentialen från en inre attack och andra åtgärder för cybersäkerhet, men dessa lades åt sidan, till förmån för fler intäktsgenererande initiativ.

Ars Technica erhöll en mer detaljerad rapport från en forskare som arbetade med FBI om utredningen. Enligt denna rapport har angripare skrapat bort LinkedIn på jakt efter Twitter-anställda som sannolikt kommer att ha administratörsrättigheter för kontohållarverktyg. Därefter fick angriparna dessa anställdas mobiltelefonnummer och annan privat kontaktinformation via betalda verktyg som LinkedIn gör tillgängligt för arbetsrekryterare. Efter att ha valt offer för nästa steg kontaktade angripare Twitter-anställda, de flesta som arbetade hemifrån som ett resultat av COVID-19-pandemin , och med hjälp av informationen från LinkedIn och andra offentliga källor låtsades de vara Twitter-personal. Angripare uppmanade offren att logga in på en falsk intern Twitter -VPN. För att kringgå tvåfaktorsautentisering skrev angriparna in stulna referenser i den verkliga Twitter VPN-portalen och "inom några sekunder efter att de anställda skrev in sin information i den falska" och bad offren om tvåfaktorsautentiseringskoden.

Gärningsmän

Säkerhet forskare Brian Krebs bekräftas med Techcrunch : s källa och information som erhålls genom Reuters att bluff tycktes ha sitt ursprung i 'OGUsers' grupp. OGUsers -forumet ("OG" står för "original") inrättades för att sälja och köpa sociala mediekonton med korta eller "sällsynta" namn, och enligt dess ägare var det förbjudet att handla med hackade referenser. Skärmdumpar från forumet visar olika användare på forumet som erbjuder att hacka sig in på Twitter -konton för 2 000–3 000 dollar vardera. Krebs uppgav att en av medlemmarna kan ha varit knuten till augusti 2019 övertagande av Twitter -vd Jack Dorsey Twitter -konto. OGUsers ägare berättade för Reuters att kontona som visas på skärmdumparna sedan var förbjudna.

FBI meddelade den 16 juli att det inledde en undersökning av bedrägeriet, eftersom det användes för att "fortsätta bedrägeri med kryptovaluta", ett brott. Den Senate Select Committee on Intelligence planeras också fråga Twitter för ytterligare information om hack som utskottets vice ordförande Mark Warner konstaterade "Förmågan dåliga aktörer att ta över framstående konton, även flyktigt, signaler en oroande sårbarhet i detta mediemiljö , exploaterbar inte bara för bedrägerier utan för mer effektfulla ansträngningar att orsaka förvirring, förödelse och politisk bus ". Storbritanniens nationella cybersäkerhetscenter sa att dess tjänstemän hade kontaktat Twitter angående händelsen. BitTorrent -vd Justin Sun tillkännagav en premie på 1 miljon dollar mot hackarna, med sitt företags Twitter -konto som säger "Han kommer personligen att betala dem som framgångsrikt spårar och tillhandahålla bevis för att de hackare/människor som ligger bakom detta hack hackar oss i samhället. "

Den Förenta staternas Department of Justice meddelade gripandet och avgifter av tre personer knutna till bluff den 31 juli, 2020. En 19-årig från Storbritannien har belastats med flera fall av konspiration för att begå tråd bedrägeri, stämpling till pengar tvättning och avsiktlig tillgång till en skyddad dator, och en 22-åring från Florida åtalades för att ha hjälpt till med internationell åtkomst. Båda kommer att prövas i USA: s tingsrätt för Northern District of California . En tredje person, en minderårig från Florida, åtalades också men på grund av deras ålder förseglades anklagelserna i ungdomsdomstolen i Florida. Staten kommer att pröva honom som vuxen på över trettio anklagelser relaterade till grovt brott, inklusive organiserat bedrägeri, kommunikationsbedrägeri, identitetsstöld och hackning, enligt statens lag som tillåter dem att döma minderåriga som vuxna för ekonomiska bedrägerier. Florida -tonåringen nekade sig skyldig till anklagelserna den 4 augusti 2020. Tonåringen accepterade en vädjandeförhandling i mars 2021 som innehöll att avtjäna tre års fängelse, inklusive tid som "ungdomlig gärningsman", trots att han hade fyllt 18 år under rättegång.

En fjärde person, en 16-åring från Massachusetts, hade identifierats som en möjlig misstänkt för bluffen av FBI. Även om federala agenter hade genomfört en motiverad sökning av hans ägodelar i slutet av augusti 2020, har inga åtal ålagts ännu.

Reaktion och efterspel

Berörda användare kunde bara retweeta innehåll, vilket ledde till att NBC News skapade ett tillfälligt icke-verifierat konto så att de kunde fortsätta att twittra och retweeta "betydande uppdateringar" på sitt huvudkonto. Vissa National Weather Service -prognoskontor kunde inte tweeta allvarliga vädervarningar, med National Weather Service Lincoln, Illinois, kunde först inte twittra en tornado -varning . Joe Bidens kampanj uppgav till CNN att de var "i kontakt med Twitter i frågan" och att hans konto hade "spärrats". Google har tillfälligt inaktiverat sin Twitter -karusell i sin sökfunktion till följd av dessa säkerhetsproblem.

Under incidenten sjönk Twitter, Inc.s aktiekurs med 4% efter att marknaderna stängdes . I slutet av nästa dag slutade Twitter, Inc.s aktiekurs på 36,40 dollar, en minskning med 38 cent eller 0,87%.

Säkerhetsexperter uttryckte oro över att bedrägeriet kan ha varit relativt litet när det gäller ekonomisk inverkan, men möjligheten för sociala medier att tas över genom social engineering som involverar anställda i dessa företag utgör ett stort hot vid användningen av sociala medier, särskilt i spetsen -fram till USA: s presidentval 2020 och kan eventuellt orsaka en internationell incident. Alex Stamos av Stanford University 's Center for International säkerhet och samarbete sade: 'Twitter har blivit den viktigaste plattformen när det gäller diskussion bland politiska eliter, och det har verkliga sårbarheter.'

Twitter valde att fördröja lanseringen av sitt nya API i efterdyningarna av säkerhetsfrågorna. I september uppgav Twitter att de hade infört nya protokoll för att förhindra liknande sociala teknikattacker, inklusive höjda bakgrundskontroller för anställda som skulle ha tillgång till viktiga användardata, implementera nätfiskresistenta säkerhetsnycklar för att använda denna dag och ha alla anställda involverad i kundsupport delta i utbildning för att vara medveten om framtida sociala bedrägerier.

Även om Steve Wozniak och sjutton andra inte var en del av Twitter -incidenten inledde en stämning mot Google veckan därpå och hävdade att företaget inte vidtagit tillräckliga åtgärder för att ta bort liknande Bitcoin -bluffvideor som lagts ut på YouTube som använde hans och de andra kärandenas namn, på ett bedrägligt sätt hävdar att de stöder bluffen. Wozniaks klagomål visade att Twitter kunde agera samma dag, medan han och de andra målsägandenas förfrågningar till Google aldrig hade åtgärdats.

Den 29 september 2020 anställde Twitter Rinki Sethi som CISO och VP för företaget efter överträdelsen.

Referenser

externa länkar