2020 Взлом аккаунта Twitter - 2020 Twitter account hijacking

2020 Взлом аккаунта Twitter
Твит от Apple, в котором говорится: «Мы отдаем деньги нашему сообществу. Мы поддерживаем Биткойн и считаем, что вы тоже должны это делать! Все биткойны, отправленные на наши адреса, будут отправлены вам обратно в двойном размере!»  После биткойн-адреса написано «Будет продолжаться только в течение следующих 30 минут».
Типичный мошеннический твит взломанной учетной записи Apple .
Дата 15 июля 2020 г., 20: 00–22: 00 UTC
Причина Скоординированная атака социальной инженерии
Цель Громкие проверить Twitter счета
Исход Затронуто не менее 130 аккаунтов. Участвующие биткойн-адреса получили около 110 000 долларов США в биткойн-транзакциях.
Аресты 3, по состоянию на 31 июля 2020 г.

15 июля 2020 года, с 20:00 до 22:00 по всемирному координированному времени , по сообщениям, 130 известных аккаунтов в Твиттере были скомпрометированы внешними сторонами с целью пропаганды мошенничества с биткойнами . Твиттер и другие источники в СМИ подтвердили, что преступники получили доступ к административным инструментам Твиттера, чтобы они могли сами изменять учетные записи и публиковать твиты напрямую. Похоже, они использовали социальную инженерию, чтобы получить доступ к инструментам через сотрудников Twitter. Три человека были арестованы властями 31 июля 2020 года и обвинен в мошенничестве , отмывании денег , кражи личных данных и несанкционированного доступа к компьютеру , связанных с афера.

В мошеннических твитах людей просили отправлять биткойны на конкретный кошелек для криптовалют , а пользователь Twitter обещал, что отправленные деньги будут удвоены и возвращены в качестве благотворительного жеста. В течение нескольких минут после первых твитов на одном из адресов кошелька уже было совершено более 320 транзакций, и биткойн на сумму более 110 000 долларов США был внесен в одну учетную запись до того, как Twitter удалил мошеннические сообщения. Кроме того, были получены полные данные истории сообщений из восьми неподтвержденных аккаунтов.

Дмитрий Альперович , соучредитель компании CrowdStrike , занимающейся кибербезопасностью , назвал этот инцидент «худшим взломом крупной платформы социальных сетей». Федеральное бюро расследований (ФБР) и другие правоохранительные органы расследуют аферу и безопасность , используемую в Twitter. Исследователи в области безопасности выразили опасения, что социальная инженерия, использованная для взлома, может повлиять на использование социальных сетей в важных онлайн-обсуждениях, в том числе в преддверии президентских выборов в США 2020 года .

Инцидент

Судебно-медицинский анализ мошенничества показал, что первоначальные мошеннические сообщения были сначала отправлены учетными записями с короткими, одно- или двухсимвольными отличительными именами, такими как «@ 6». За этим последовали криптовалютные аккаунты Twitter примерно в 20:00 UTC 15 июля 2020 года, в том числе Coinbase , CoinDesk и Binance . Затем мошенничество переместилось в более громкие аккаунты с первым таким твитом, отправленным из аккаунта Илона Маска в Твиттере в 20:17 по всемирному координированному времени. Среди других явно взломанных аккаунтов были аккаунты известных людей, таких как Барак Обама , Джо Байден , Билл Гейтс , Джефф Безос , MrBeast , Майкл Блумберг , Уоррен Баффет , Флойд Мэйвезер-младший , Ким Кардашьян и Канье Уэст ; и такие компании, как Apple , Uber и Cash App . Твиттер считает, что пострадали 130 учетных записей, хотя на самом деле только 45 были использованы для публикации мошеннического сообщения; у большинства учетных записей, к которым был получен доступ в результате мошенничества, было не менее миллиона подписчиков.

В твитах, связанных с мошенничеством, утверждалось, что отправитель в рамках благотворительности выплатит любому пользователю двойную стоимость любого биткойна, который он отправил на указанные кошельки, часто в рамках усилий по борьбе с COVID-19 . Твиты последовали за распространением вредоносных ссылок рядом криптовалютных компаний; веб-сайт, на котором размещены ссылки, был закрыт вскоре после публикации твитов. Хотя подобные мошенничества с «удвоением биткойнов» были обычным явлением в Твиттере и раньше, это первый крупный случай их использования с известными учетными записями. Эксперты по безопасности полагают, что злоумышленники провели мошенничество как операцию по « разгрому и захвату »: зная, что вторжение в учетные записи будет быстро закрыто, злоумышленники, вероятно, планировали, что лишь небольшая часть миллионов, следующих за этими учетными записями, должна быть мошенничество за это короткое время, чтобы быстро заработать на нем. На этих сайтах было указано несколько кошельков с биткойнами; Первый из наблюдаемых получил 12 биткойнов в результате более чем 320 транзакций на сумму более 118 000 долларов США , и из него было удалено около 61 000 долларов США , в то время как второй имел суммы всего в несколько тысяч долларов, поскольку Twitter предпринял шаги, чтобы остановить публикации. Неясно, были ли это средства, добавленные теми, кто руководствовался мошенничеством, поскольку известно, что мошенники с биткойнами добавляют средства в кошельки до запуска схем, чтобы мошенничество выглядело законным. Из добавленных средств большинство поступило из кошельков, принадлежащих Китаю, но около 25% поступило из кошельков США. После добавления криптовалюта была впоследствии переведена через несколько учетных записей в качестве средства сокрытия их личности.

Некоторые из скомпрометированных учетных записей неоднократно публиковали мошеннические сообщения даже после удаления некоторых из них. Твиты были помечены как отправленные с использованием веб-приложения Twitter . Одна из фраз, связанных с мошенничеством, была опубликована более 3000 раз в течение четырех часов, причем твиты отправлялись с IP-адресов, связанных с разными странами. Повторно использованная фраза позволила Twitter легко удалять оскорбительные твиты, поскольку они предприняли шаги, чтобы остановить мошенничество.

К 21:45 UTC Twitter опубликовал заявление, в котором говорилось, что им «известно об инциденте безопасности, затронувшем учетные записи в Twitter», и что они «предпринимают шаги, чтобы исправить это». Вскоре после этого он отключил возможность для некоторых учетных записей твитнуть или сбрасывать свой пароль; Twitter не подтвердил, какие учетные записи были ограничены, но многие пользователи, чьи учетные записи были помечены Twitter как «проверенные», подтвердили, что они не могут твитить. Примерно через три часа после первых мошеннических твитов Twitter сообщил, что, по их мнению, они разрешили все затронутые учетные записи, чтобы восстановить учетные данные их законным владельцам. Позже тем же вечером генеральный директор Twitter Джек Дорси сказал, что это был «тяжелый день для нас в Twitter. Мы все ужасно чувствуем, что это произошло. Мы ставим диагноз и поделимся всем, что сможем, когда у нас будет более полное понимание того, что именно произошло». По крайней мере, одна криптовалютная биржа, Coinbase, занесла биткойн-адреса в черный список, чтобы предотвратить отправку денег. Coinbase заявила, что остановила отправку более 1000 транзакций на общую сумму более 280 000 долларов США .

Помимо отправки твитов, были загружены данные учетных записей для восьми скомпрометированных учетных записей, включая все созданные сообщения и прямые сообщения, хотя ни одна из этих учетных записей не принадлежала проверенным пользователям. Twitter также подозревал, что к 36 другим учетным записям был открыт доступ, но не загружен их прямые сообщения, включая представителя голландского парламента Гирта Вилдерса , но полагал, что ни одно другое действующее или бывшее избранное должностное лицо не получило доступ к своим сообщениям.

Способ атаки

Пока Twitter работал над разрешением ситуации 15 июля, с Vice связались по крайней мере четыре человека, заявивших о своей причастности к мошенничеству, и представили веб-сайту снимки экрана, показывающие, что они смогли получить доступ к инструменту администрирования Twitter, также известному как в качестве «инструмента агента», который позволял им изменять различные настройки на уровне некоторых из взломанных учетных записей, включая электронные письма с подтверждением для учетной записи. Это позволяло им устанавливать адреса электронной почты, по которым любой другой пользователь, имеющий доступ к этой учетной записи электронной почты, мог инициировать сброс пароля и публиковать твиты. Эти хакеры сказали Vice, что они заплатили инсайдерам в Твиттере, чтобы получить доступ к административному инструменту, чтобы выполнить это.

TechCrunch сообщил о том же, основываясь на источнике, который утверждал, что некоторые сообщения были от участника хакерского форума под названием «OGUsers», который утверждал, что заработал на этом более 100 000 долларов США . Согласно TechCrunch «s источника, этот член„Кирк“как сообщаетсяполучил доступ к административному инструменту Twitterскорее всего через ослабленную счет работника, и послепервоначально предлагал взять на себя любой счет по запросу, переключились стратегии для целевой криптовалюты счетаначиная с Binance и затем более высокопоставленные. Источник не верил, что Кирк заплатил сотруднику Twitter за доступ.

Твиттер «@ 6» принадлежал Адриану Ламо , и пользователь, ведущий учетную запись от имени семьи Ламо, сообщил, что группа, выполнившая взлом, смогла обойти множество факторов безопасности, которые они установили для учетной записи, в том числе двухфакторную. аутентификация , что также указывает на то, что для обхода безопасности учетной записи использовались административные инструменты. Представители Белого дома заявили, что в аккаунте президента Дональда Трампа , который, возможно, был целью, были введены дополнительные меры безопасности в Twitter после инцидента в 2017 году, и поэтому мошенничество не затронуло его.

ВИЦЕ « с и TechCrunch » S источники были подтверждены The New York Times , который выступал с подобными людьми , связанных с событиями, а также от других исследователей в области безопасности , которые были даны аналогичные экраны, и чириканье этих экранов были сделаны, но Twitter удален так как они раскрыли личные данные скомпрометированных учетных записей. The New York Times также подтвердила, что вектор атаки был связан с тем, что большая часть компании работала из дома в условиях пандемии COVID-19; Члены OGUsers смогли получить доступ к каналу связи Slack сотрудников Twitter, где была закреплена информация и процессы авторизации для доступа к серверам компании удаленно из дома.

Позднее Twitter подтвердил, что в мошенничестве использовалась социальная инженерия , заявив: «Мы обнаружили то, что мы считаем скоординированной атакой социальной инженерии, совершенной людьми, которые успешно атаковали некоторых наших сотрудников с доступом к внутренним системам и инструментам». Twitter сообщил, что помимо принятия дальнейших мер по блокировке проверенных учетных записей, они также начали внутреннее расследование и ограничили доступ сотрудников к инструментам системного администрирования при оценке ситуации, а также на случай, если какие-либо дополнительные данные были скомпрометированы злонамеренные пользователи.

К концу 17 июля 2020 года Twitter подтвердил информацию, полученную из этих источников в СМИ, заявив, что «злоумышленники успешно манипулировали небольшим количеством сотрудников и использовали их учетные данные для доступа к внутренним системам Twitter, в том числе через наши двухфакторные средства защиты. . На данный момент мы знаем, что они использовали инструменты, доступные только нашим внутренним группам поддержки ". К 30 июля Twitter смог дополнительно подтвердить, что использованный метод был тем, что они называли «атакой по телефону»: изначально они использовали социальную инженерию для взлома учетных данных низкоуровневых сотрудников Twitter, у которых не было доступа к инструментам администрирования. , а затем, используя эти учетные записи сотрудников, участвовал в дополнительных атаках социальной инженерии, чтобы получить учетные данные для инструментов администрирования от сотрудников, которые действительно имели разрешение на их использование.

Bloomberg News после расследования с бывшими и нынешними сотрудниками Twitter сообщил, что до 1500 сотрудников и партнеров Twitter имели доступ к инструментам администрирования, которые позволили бы сбросить учетные записи, как это было сделано во время инцидента. Бывшие сотрудники Twitter сказали Bloomberg, что даже в 2017 и 2018 годах те, у кого есть доступ, будут играть в игру с использованием этих инструментов для отслеживания известных знаменитостей, хотя объем данных, видимых только с помощью этих инструментов, ограничивался такими элементами, как IP-адрес иинформация о геолокации. . Представитель Twitter сообщил Bloomberg, что они действительно используют «обширное обучение безопасности и управленческий надзор» для управления сотрудниками и партнерами, имеющими доступ к инструментам, и что «нет никаких указаний на то, что партнеры, с которыми мы работаем по обслуживанию клиентов и управлению учетными записями, сыграли свою роль. здесь". Бывшие сотрудники отделов безопасности Twitter заявили, что с 2015 года компания была предупреждена о возможной внутренней атаке и других мерах кибербезопасности, но они были отложены в пользу более прибыльных инициатив.

Ars Technica получила более подробный отчет от исследователя, который работал с ФБР над расследованием. Согласно этому отчету, злоумышленники соскребли LinkedIn в поисках сотрудников Twitter, которые, вероятно, имеют права администратора и инструменты владельца учетной записи. Затем злоумышленники получили номера мобильных телефонов этих сотрудников и другую личную контактную информацию с помощью платных инструментов, которые LinkedIn предоставляет специалистам по найму. После выбора жертв для следующего этапа злоумышленники связались с сотрудниками Twitter, большинство из которых работали из дома в результате пандемии COVID-19 , и, используя информацию из LinkedIn и других общедоступных источников, выдавали себя за сотрудников Twitter. Злоумышленники предлагали жертвам войти в фальшивую внутреннюю сеть Twitter VPN. Чтобы обойти двухфакторную аутентификацию, злоумышленники вводили украденные учетные данные в настоящий VPN-портал Twitter и «в течение нескольких секунд после того, как сотрудники вводили свою информацию в поддельный портал», и просили жертв ввести код двухфакторной аутентификации.

Преступники

Исследователь безопасности Брайан Кребс подтвердил с TechCrunch «s источника , а также информации , полученной Reuters , что афера по- видимому, возникла в группе„OGUsers“. Форум OGUsers («OG» означает «оригинал») был создан для продажи и покупки учетных записей социальных сетей с короткими или «редкими» именами, и, по словам его владельца, в беседе с Reuters, практика незаконного оборота взломанных учетных данных была запрещена. На скриншотах с форума показаны различные пользователи форума, предлагающие взломать учетные записи Twitter по цене 2–3 000 долларов США за каждого. Кребс заявил, что один из участников мог быть связан с захватом в августе 2019 года аккаунта в Twitter генерального директора Twitter Джека Дорси. Владелец OGUsers сообщил Reuters, что аккаунты, показанные на скриншотах, с тех пор заблокированы.

16 июля ФБР объявило, что начинает расследование мошенничества, поскольку оно было использовано для «увековечения мошенничества с криптовалютой», что является уголовным преступлением. Сенатский комитет по разведке также планирует обратиться к Twitter для получения дополнительной информации о взломе, в качестве заместителя председателя этого комитета Марка Уорнер заявил , что «Способность плохих актеров взять на себя известные счета, даже мимолетно, сигналы тревожной уязвимости в этом медиа - среде , который можно использовать не только для мошенничества, но и для более действенных попыток вызвать замешательство, хаос и политический ущерб ". Национальный центр кибербезопасности Великобритании сообщил, что его сотрудники связались с Twitter по поводу инцидента. Генеральный директор BitTorrent Джастин Сан объявил о награде за хакеров в размере 1 миллиона долларов, причем в аккаунте его компании в Twitter было указано: «Он лично заплатит тем, кто успешно выследит и предоставит доказательства для привлечения к ответственности хакеров / людей, стоящих за этим взломом, затрагивающим наше сообщество. "

Государственный департамент Соединенных юстиции объявило об аресте и обвинения трех лиц , связанных с афера на 31 июля, 2020 г. 19-летний из Соединенного Королевства было поручено нескольким пунктам в заговоре с целью совершения мошенничества проволоки, сговор с целью совершения денег отмывание денег и преднамеренный доступ к защищенному компьютеру, и 22-летний парень из Флориды был обвинен в пособничестве и подстрекательстве к международному доступу. Оба будут рассматриваться в Окружном суде США в Северном округе Калифорнии . Третий человек, несовершеннолетний из Флориды, также был обвинен, но из-за его возраста обвинения были опечатаны в суде по делам несовершеннолетних Флориды. Штат будет судить его как взрослого по более чем тридцати обвинениям, связанным с уголовными преступлениями, включая организованное мошенничество, мошенничество со связью, кражу личных данных и взлом, в соответствии с законодательством штата, позволяющим им осуждать несовершеннолетних как совершеннолетних по делам о финансовом мошенничестве. Подросток из Флориды не признал себя виновным по предъявленным обвинениям 4 августа 2020 года. К марту 2021 года подросток согласился на сделку о признании вины, которая включала отбытие трех лет тюремного заключения, включая отбытие в качестве «несовершеннолетнего правонарушителя», несмотря на то, что ему исполнилось 18 лет в период тюремного заключения. испытание.

Четвертый человек, 16-летний парень из Массачусетса, был идентифицирован как возможный подозреваемый в мошенничестве ФБР. Хотя федеральные агенты провели обоснованный обыск его имущества в конце августа 2020 года, обвинительные заключения еще не предъявлены.

Реакция и последствия

Затронутые пользователи могли только ретвитить контент, в результате чего NBC News создавала временную неподтвержденную учетную запись, чтобы они могли продолжать твитнуть, ретвитнув «важные обновления» в своей основной учетной записи. Некоторые службы прогнозов Национальной метеорологической службы не могли публиковать в Твиттере предупреждения о суровой погоде, а Национальная метеорологическая служба Линкольна, штат Иллинойс, изначально не могла публиковать в Твиттере предупреждение о торнадо . Кампания Джо Байдена заявила CNN, что они «связались с Twitter по этому поводу», и что его учетная запись была «заблокирована». Google временно отключил свою карусель Twitter в своей функции поиска из-за этих проблем с безопасностью.

Во время инцидента цена акций Twitter, Inc. упала на 4% после закрытия рынков . К концу следующего дня цена акций Twitter, Inc. составила 36,40 доллара, что на 38 центов, или 0,87%, ниже.

Эксперты по безопасности выразили обеспокоенность тем, что, хотя мошенничество могло быть относительно небольшим с точки зрения финансовых последствий, возможность захвата социальных сетей с помощью социальной инженерии с участием сотрудников этих компаний представляет собой серьезную угрозу при использовании социальных сетей, особенно в лидерах. - до президентских выборов в США 2020 года и потенциально может вызвать международный инцидент. Алекс Стамос из Стэнфордского университета «s Центра международной безопасности и сотрудничества , сказал,„Twitter стал самой важной платформой , когда речь идет о дискуссии среди политических элит, и он имеет реальные уязвимости.“

Twitter решил отложить развертывание своего нового API из-за проблем с безопасностью. К сентябрю Twitter заявил, что они внедрили новые протоколы для предотвращения подобных атак социальной инженерии, включая усиление проверки данных для сотрудников, которые будут иметь доступ к ключевым пользовательским данным, внедрение защищенных от фишинга ключей безопасности для использования в этот день и предоставление всем сотрудникам участвующие в поддержке клиентов, участвуйте в тренингах, чтобы быть в курсе будущих мошенничеств с использованием социальной инженерии.

Хотя Стив Возняк и еще семнадцать человек не участвовали в инциденте с Твиттером, на следующей неделе он подал иск против Google , утверждая, что компания не предприняла достаточных шагов для удаления похожих видео с мошенничеством с биткойнами, размещенных на YouTube , в которых использовались его имена и имена других истцов. обманным путем утверждая, что поддерживает мошенничество. В жалобе Возняка указывалось, что Twitter мог действовать в течение одного дня, в то время как его и другие запросы истцов к Google так и не были выполнены.

29 сентября 2020 года Twitter нанял Ринки Сетхи в качестве директора по информационной безопасности и вице-президента компании после взлома.

использованная литература

внешние ссылки