Nelle scorse ore, diversi account Twitter compreso quello ufficiale di Apple sono stati hackerati. Cosa è successo davvero? E come è stato organizzato.
Un gran numero di importanti account Twitter (Barack Obama, Joe Biden, Elon Musk, Uber, Apple e non solo) è stato coinvolto in quello che sembra essere un attacco di ingegneria sociale contro alcuni dei dipendenti di Twitter.
Gli account compromessi sono stati utilizzati per promuovere una truffa di criptovalute che prometteva di raddoppiare la quantità di bitcoin inviata a un certo indirizzo wallet, entro un periodo di tempo limitato. Inoltre, gli account compromessi di grandi scambiatori di critpovalute hanno dichiarato di essere partner di un’organizzazione, fittizia, chiamata “CryptoForHealth”-
Il sito web citato in quei tweet, cryptoforhealth[.]com, è stato registrato lo stesso giorno dell’attacco col pretesto di aiutare la comunità dopo le perdite finanziarie causate da COVID-19. In realtà, il sito web chiedeva l’invio di bitcoin allo stesso indirizzo del wallet che appariva nei tweet. Sebbene l’attacco sia durato poco e Twitter abbia rapidamente bloccato e recuperato gli account interessati, gli aggressori sono riusciti a farla franca con 12,85BTC, quasi 120.000 dollari, e stavano già trasferendo il denaro su altri conti Bitcoin per l’incasso.
Twitter ritiene che solo 130 account siano stati presi di mira nell’attacco.
Al momento non è ancora chiaro come sia avvenuto l’attacco, ma ci sono alcuni metodi da considerare come molto plausibili. Twitter ha infatti annunciato che sono state utilizzate tecniche di social engineering per accedere ai loro sistemi interni e che non sono state rubate le password degli account hackerati. L’azienda rassicura anche tutti gli utenti sul fatto che le loro password sono al sicuro, ma per precauzione ha disattivato tutti gli account che hanno tentato di cambiare password negli ultimi 30 giorni (per riattivare è sufficiente seguire le istruzioni proposte dall’app).
Una tale compromissione attraverso l’attacco di ingegneria sociale avrebbe potuto iniziare utilizzando diversi possibili vettori di infezione. Una possibilità comune è l’attacco di e-mail di spear-phishing, con la consegna di un malware allegato o di un link a una pagina di phishing. In entrambi i casi è spesso accompagnato da una sorta di social engineering per motivare l’utente a eseguire il payload allegato o a inserire le proprie credenziali in una pagina di phishing fraudolenta.
Un possibile vettore di attacco che corrisponde anche alle spiegazioni precedenti è il voice phishing o Vishing. Si tratta di una tattica di ingegneria sociale che consiste nel telefonare ai dipendenti con il phishing per guadagnare fiducia, raccogliere dettagli e ingannarli per farli agire. Negli ultimi mesi sempre più organizzazioni hanno segnalato che i loro collaboratori sono stati bersaglio di tali chiamate di Vishing.
Motherboard offre anche un altro potenziale scenario, in cui gli aggressori hanno collaborato internamente con i collaboratori di Twitter che hanno pagato per modificare gli indirizzi e-mail dietro gli account mirati utilizzando uno strumento interno di Twitter.
Per quanto riguarda le indagini, gli account che hanno portato avanti la truffa sono legati a un noto swapper SIM che porta il soprannome di “PlugWalkJoe“. Gli investigatori hanno già monitorato in passato PlugWalkJoe, perché si ritiene che sia stato coinvolto in più attacchi di scambio di SIM nel corso degli ultimi anni, molti dei quali legati proprio a truffe sui bitcoin.
In ogni caso, non è la prima volta che la privacy degli utenti della piattaforma social viene compromessa dai suoi collaboratori, né è la prima volta che i collaboratori di Twitter sono responsabili della divulgazione di dati sensibili. Questa volta, tuttavia, sembra che Twitter si stia attivando per evitare che tali incidenti si ripetano in futuro, rendendo meno accessibili strumenti come quello presumibilmente utilizzato in questo attacco.
Siamo profondamente consapevoli delle nostre responsabilità nei confronti delle persone che usano il nostro servizio e della società in generale. Sappiamo che dobbiamo lavorare per riguadagnare la tua fiducia e sosterremo tutti gli sforzi per consegnare gli autori alla giustizia.
Da questa storia emerge che il social engineering non è efficace solo per ottenere l’accesso ai beni aziendali: motivare gli utenti di twitter a trasferire 120.000 dollari in un wallet sconosciuto, con le false promesse fatte dalle celebrità, è un ottimo esempio di uso malevolo del social engineering.