Фишинг с использованием телефонных звонков применялся для взлома Twitter

Служба поддержки Twitter заявляет, что "фишинг-атака с использованием телефона" используется для получения доступа к сети в случае крипто-мошенничества

Твиттер раскрыл немного больше информации о нарушении безопасности, которое произошло ранее месяце, когда было взломано несколько вип-аккаунтов для распространения мошенничества с криптовалютой - в блоге было написано, что "фишинговая атака с использованием телефонных звонков" была использована для таргетинга сотрудников компании.

После того, как злоумышленники успешно получили сетевые учетные данные с помощью этой техники социальной инженерии, они смогли собрать достаточно информации о своих внутренних системах и процессах, чтобы нацелить других сотрудников, имеющих доступ к инструментам поддержки учетных записей, которые позволили им взять под контроль пользовательские аккаунты. Твиттер обновил информацию об инциденте.

"Для успешной атаки требуется, чтобы хакеры получили доступ как к нашей внутренней сети, так и к конкретным учетным данным сотрудников, которые предоставили им доступ к внутренним инструментам поддержки. Не все сотрудники, которые подвнрглись кибератаке имели разрешения на использование инструментов управления учетными записями, но злоумышленники использовали свои учетные данные для доступа к внутренним системам и получения информации о внутрисетевых процессах. Эти знания позволили им ориентироваться на дополнительных сотрудников, которые имели доступ к нашим инструментам поддержки аккаунтов", - говорится в официальном сообщении компании.

"Эта атака основывалась на значительной и согласованной попытке ввести некоторых сотрудников в заблуждение и использовать уязвимости человека для получения доступа к нашим внутренним системам", - добавляет Твиттер, называя инцидент "поразительным напоминанием о том, насколько важен каждый сотрудник команды для защиты сервиса".

Сообщается, что злоумышленники использовали украденные учетные данные для взлома 130 учетных записей Twitter, получение доступ к почтовому ящику - 36; и загрузите данные Twitter из 7 (ранее сообщалось о 8, поэтому, возможно, одна попытка загрузки не была завершена). В данный момент Twitter связывается со всеми владельцами аккаунтов, данные которых были взломаны.

Примечательно, что компания до сих пор не раскрыла, сколько сотрудников или подрядчиков имели доступ к инструментам поддержки своего аккаунта. Чем больше это число, тем больше вектор атаки, на который могут быть нацелены хакеры.

На прошлой неделе агентство Reuters сообщило, что более 1000 человек в Twitter имеют доступ, в том числе ряд подрядчиков. Два бывших сотрудника Twitter сообщили информагентству, что такой широкий уровень доступа затрудняет защиту компании от атак такого типа. Твиттер отказался комментировать отчет.

Его обновление в настоящее время признает "озабоченность" по поводу уровней доступа сотрудников к своим инструментам, но предлагает немного дополнительных деталей, говоря лишь о том, что у него есть команды "по всему миру", помогающие в поддержке аккаунта.

Компания также утверждает, что доступ к инструментам управления учетными записями "строго ограничен" и "предоставляется только по уважительным деловым причинам". Однако позже в своем блоге Твиттер отмечает, что со времени атаки "значительно" ограничил доступ к инструментам, что дает основания полагать, что слишком много людей в Твиттере получили доступ до взлома.

В посте Twitter также содержится очень ограниченная информация о конкретной технике, которую злоумышленники использовали для социальной инженерии некоторых своих работников, а затем для того, чтобы нацеливаться на неизвестное количество других сотрудников, которые имели доступ к ключевым инструментам. Хотя в нем говорится, что расследование кибератаки продолжается.

На вопрос о том, что такое фишинг по телефону в данном конкретном случае, не ясно, какой именно метод успешно смог проникнуть в защиту Twitter. Под фишингом обычно понимается индивидуально подобранная атака социальной инженерии с добавленным компонентом телефонов, участвующих в атаке.

Один из комментаторов безопасности, с которым мы связались, предложил несколько возможностей.