Check Point analisou ataque ao Twitter

Um grande número de contas Twitter de personalidades foram hackeadas esta quarta-feira no que se assemelha a um ataque de engenharia social contra alguns empregados do Twitter. No conjunto de contas atacadas incluem-se as contas de Barack Obama, Joe Biden, Elon Musk, bem como as contas oficiais da Uber, Apple, e de câmbios de criptomoedas.

As contas comprometidas foram usadas para promover um esquema de criptomoeda que prometia o dobro do valor em bitcoins enviado para um conjunto de carteiras virtuais (wallets) por um período limitado de tempo.

Adicionalmente, também ficaram comprometidas várias contas de casas de câmbio de criptomoeda e líderes da comunidade de criptomoeda sendo mesmo indicados como estando em parceria com uma organização fictícia chamada “CryptoForHealth”.

O website mencionado nestes tweets, cryptoforhealth[.]com, foi registado no mesmo dia do ataque e proclamava ajudar a comunidade após as perdas financeiras causadas pelo COVID-19. Na realidade, o website estava a pedir bitcoins para serem enviados para a mesma morada da carteira virtual que aparecia nos tweets.

Porém, o ataque tem uma curta duração de vida e o Twitter rapidamente bloqueou e recuperou todas as contas atacadas, e olhando para a carteira virtual mostra que os atacantes ainda conseguiram angariar 12.85BTC, cerca de $120,000, e estavam prontos para transferir o dinheiro para outras contas Bitcoin para fazer o seu levantamento.

Vetor de Ataque

Existem alguns métodos pelos quais este ataque pode ter ocorrido.

O Twitter anunciou que foram usadas diferentes técnicas de engenharia social para aceder aos seus sistemas internos.

sta brecha via um ataque de engenharia social podem ter começado usando diversos possíveis vetores de infeção. Uma das possibilidades mais comuns pode ter sido um ataque de e-mail spear-phishing, quer por disponibilizar um ficheiro anexo com malware ou um link para uma página de phishing. Em qualquer um dos casos é recorrente ser acompanhado por algum tipo de engenharia social de modo a motivar que o utilizador a executar o ficheiro anexo, ou a partilhar as suas credenciais numa página de phishing fraudulenta.

Outro possível vetor de ataque que corresponde às explicações anteriores é o Voice Phishing ou Vishing. Esta tática de engenharia social liga para os empregados de modo a ganhar a sua confiança, recolhe detalhes e leva-os a tomar determinadas ações. Ao longo dos últimos meses, mais e mais organizações têm reportado que os sues empregados têm sido alvo destas chamadas de Vishing.

A Motherboard oferece outro potencial cenário, em que os atacantes tiveram cooperação interna de empregados do Twitter a quem pagaram para mudar os endereços de e-mail das contas alvo de ataque utilizando uma ferramenta interna do Twitter.

Alegadamente, imagens desta ferramenta foram partilhadas em foruns de hacking.

“Esta não é a primeira vez que a privacidade dos utilizadores nesta plataforma social foi posta em causa pelos seus empregados, nem que os empregados do Twitter são responsáveis pela divulgação de dados confidenciais. A conta de Twitter do seu CEO, Jack Dorsey ficou comprometida há alguns meses atrás depois do seu número de telefone ser controlado através de uma ataque de mudança de SIM. No ano passado, dois empregados foram acusados de abuso ao acederem a recursos internos do Twitter e ajudarem um espião da Arábia Saudita a descobrir informação de dissidentes a viver no estrangeiro.”,recorda Lotem Finkelstein, head of threat intelligence, Check Point Software Technologies. “Porém enquanto o Twitter ainda não partilhou detalhes completes sobre este incidente, podemos ver diferentes possíveis causas em casos anteriores que levaram a resultados semelhantes. Seja por empregados descontentes ou por ataques de engenharia social desenvolvidos à medida, o verdadeiro problema é a dificuldade de limitar o acesso aos recursos internos e prevenir que se tornem um ponto de brecha. No entanto, parece que desta vez o Twitter está a atuar para prevenir este tipo de incidentes de ocorrerem novamente no futuro, ao tornarem estas ferramentas que possivelmente foram usadas neste ataque menos acessíveis.”

Se existe alguma coisa que Podemos aprender com a falha de segurança ocorrida hoje no Twitter sobre os casos de perda de informação, é que as organizações têm poucas hipóteses que não seja proteger os dados confidenciais. Dados confidenciais de colaboradores e de clients, documentos legais, e de propriedade intelectual estão a ser expostos diariamente a entidades indesejadas.

A engenharia social não é só eficiente para obter ativos corporativos, como também para motivar utilizadores do Twitter a transferir 120 mil dólares para uma carteira virtual desconhecida com promessas falsas feitas por celebridades, como é exemplo do que é possível fazer com engenharia social maliciosa.

Quando imaginamos o potencial de ameaças de cibersegurança, por vezes imaginamos agentes estrangeiros a tentarem roubar propriedade intelectual ou a envolverem-se em atividades maliciosas. O que é verdade na maioria dos casos ma na realidade, pelo menos 30% das brechas envolvem atores internos das empresas.

Medidas de proteção deverão focar-se nos incidentes quer sejam ameaças externas como internas.

O Check Point CloudGuard SaaS bloqueia ataques de phishing sofisticados que utilizam técnicas de engenharia social antes mesmo de chegarem até aos utilizadores, protegendo assim as organizações no seu elo mais fraco: os utilizadores finais. Adicionalmente, previne os movimentos laterais de ataques dentro das organizações  ao monitorizar e bloquear ameaças internas em tempo real, parar ataques para efetuar hijacking de contas dos colaboradores, mesmo que as suas credenciais tenham sido roubadas, e previne a fuga de dados confidenciais e sensíveis de acordo com as políticas da empresa, através de aplicações de produtividade ou de email na cloud.

A Check Point Data Loss Prevention (DLP) protege preventivamente os negócios de perdas de informação sensível e confidencial. Monitoriza o tráfego dos dados e suporta os colaboradores a trabalharem com mais confiança, enquanto se mantém conformes às regulações de segurança standard da indústria.