Un attacco di social engineering ai dipendenti di Twitter ha consegnato ai cyber criminali il controllo di alcuni profili di alto livello. Nei profili delle vittime sono apparsi post che invitavano i milioni di follower a inviare denaro in criptovaluta, qualcuno è caduto nel tranello.
I cyber criminali hanno
violato una serie di account Twitter di alto profilo, tra cui quelli di Barak Obama, Joe Biden, Jeff Bezos, Bill Gates, Elon Musk, Uber, Apple. Secondo Twitter si è trattato di un "
attacco coordinato di social engineering" contro i suoi dipendenti, che hanno consegnato inconsapevolmente agli aggressori l'accesso agli strumenti interni di gestione.
Il risultato è che nei profili delle vittime sono apparsi post che invitavano i milioni di follower
a inviare denaro in criptovaluta, con la promessa di riavere il doppio dell'importo versato. Il link malevolo associato ai messaggi era diretto alla pagina falsa "CryptoForHealth.com". Gli esperti di
Coindesk hanno calcolato che la truffa ha fruttato ai cyber criminali oltre 11,3 Bitcoin, il corrispettivo di oltre 103.000 dollari.
Twitter, scoperta la truffa, ha
bloccato per qualche ora gli account, impedendo ai legittimi intestatari di inviare tweet o cambiare la password. Il provvedimento è stato necessario perché l'incidente di sicurezza ha avuto un grosso impatto. Tutti i messaggi pubblicati dai criminali informatici sono stati rimossi.
Intanto, fonti del New York Times vicine alle indagini hanno riferito che l'attacco è stato "
efficace ma amatoriale". Affermazione che farebbe pensare a un singolo criminale informatico, piuttosto che a un gruppo organizzato sponsorizzato da uno stato-nazione. Complice questo dettaglio, le azioni di Twitter hanno perso il 3% nel trading after-hours.
Al momento non ci sono informazioni dettagliate sullo svolgimento dell'attacco. Twitter si è limitata a riferire che alcuni dipendenti selezionati, con l'accesso agli account di alto profilo, sono stati bersagliati da un attacco coordinato di social engineering. L'obiettivo era ottenere l'accesso a sistemi e strumenti interni, ed è stato raggiunto.
Una volta assunto il controllo di account altamente visibili, i cyber criminali hanno pubblicato il post con link malevolo che ha tratto in inganno decine di follower.
In serata Jack Dorsey, fondatore e amministratore delegato di Twitter, ha twittato un messaggio in cui ammette di avere avuto una "giornata difficile per noi di Twitter. Ci sentiamo tutti male per quanto accaduto. Stiamo conducendo le analisi del caso e condivideremo tutto il possibile quando avremo un quadro più chiaro di quanto accaduto".
La vicenda riaccende i riflettori sull'insidiosità degli
attacchi di social engineering e sulla necessità di adottare sistemi di machine learning e di analisi comportamentale per supportare l'anello più debole della catena di difesa delle aziende: le persone.
Le opinioni degli esperti di sicurezza informatica
Quello che preoccupa
Max Heinemeyer, Director of Threat Hunting di Darktrace, è che "chi ha orchestrato questo attacco probabilmente è stato motivato dal ritorno economico, conducendo un attacco 'smash-and-grab', ma ciò
non significa che il danno perpetrato si concluderà con la sola truffa dei Bitcoin. Twitter si sta occupando degli account delle vittime più di spicco, ma non è chiaro quali altre azioni questi hacker possano avere tramato dietro le quinte, come ad esempio rubare messaggi direct tra gli individui di alto profilo per usarli successivamente a fini di estorsione. Nel periodo che precede le elezioni presidenziali americane possiamo aspettarci che attacchi di questo tipo diventino la 'nuova normalità'. La storia è tutt'altro che finita".
Dmitry Bestuzhev, cybersecurity experts di Kaspersky, è maggiormente preoccupato del fattore umano. A suo avviso : "questa enorme truffa ha evidenziato che in un’epoca come questa non sono immuni dalle truffe digitali neppure le persone dotate di competenze e conoscenze informatiche e che anche gli account più sicuri possono essere violati.
Invitiamo le persone [...] ad accettare semplicemente che è giunto il momento di adottare una nuova mentalità:
gli utenti dei social media devono utilizzare un approccio responsabile. [...] Una volta che lo avremo fatto diventerà evidente che possediamo conoscenze e strumenti per riconoscere anche la truffa più elaborata e minimizzarne l'impatto".
Sul fattore umano punta anche
Liviu Arsene, Bitdefender Senior Global Cybersecurity Researcher, ma lega il rischio a quanto accaduto con la pandemia. A suo avviso "gli hacker sono stati favoriti dall’attuale contesto di telelavoro, in cui i dipendenti sono molto più vulnerabili e possono più facilmente cadere vittime di truffe e di email di spearphishing che finiscono per violare i loro dispositivi e, in ultima istanza, i sistemi aziendali.
[---]
I danni avrebbero potuto essere molti di più. Invece, è stata realizzata una semplice truffa per mezzo di Bitcoin, rivelando che gli aggressori volevano monetizzare rapidamente il loro accesso. Se così fosse, le violazioni potrebbero riguardare un numero maggiore di aziende che potrebbero essere state potenzialmente violate tramite attacchi di phishing contro i dipendenti".