Éjszaka írtuk meg, hogy minden eddiginél durvább hackertámadás érte a Twitter mikroblog-szolgáltatót. Az ismeretlen tettesek ráadásul most nem valamelyik felhasználói fiókot törték fel, hanem egyenesen a Twitter rendszerét tudták kinyitni, és összehangolt támadással egy csomó fontos fiókra kezdtek ugyanolyan, vagy hasonló üzeneteket posztolni.
Hiába próbálták a folyamatosan érkező bejegyzéseket megakadályozni vagy törölni még az olyan neves fiókok adminisztrátorai, mint az Apple, Bill Gates vagy Elon Musk - az olvasóktól bitcoint kérő, majd ennek dupláját visszafizető átverés újra meg újra megjelent. A Twitter először csak annyit jelzett, hogy tudnak az ügyről, és vizsgálják. Végül aztán magyar idő szerint hajnalban nagyjából 5 órán keresztül teljesen lekapcsolták az új bejegyzések közzétételének lehetőségét, valamint olyan funkciókat, mint az e-mail cím megváltoztatása vagy új jelszó generálása, mostanra pedig elvileg helyreállt a rend.
Részletesen még mindig nem nyilatkozott a mikroblog-szolgáltató arról, hogyan történhetett meg az eddig példátlan eset, de a tweetjeikből már össze lehet rakni a lényeget. Az eddigi jelek alapján a szakértők úgy vélik, social engineering segítségével sikerült beférkőzni a rendszerbe egy kifejezetten szofisztikált folyamat során.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Mi is az a social engineering?
Social engineering, azaz pszichológia manipuláció alatt azt értjük, amikor egy jogosultsággal rendelkező személy, egy jogosulatlan felhasználó számára adatokat ad át, vagy lehetőséget nyújt a rendszerbe való belépésre, a másik személy megtévesztő viselkedése miatt. Egy ilyen támadás során a kiberbűnöző nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere.
Egyes források szerint a dark weben egyes hackercsoportok olyan képernyőmentéseket osztottak meg egymás között, amelyeken egy Twitter által használt admin-eszköz látható működés közben. Ehhez elvben senki nem férhet hozzá a belső alkalmazottakon kívül.
Jelenleg két változatot tartanak a legvalószínűbbnek: az egyik szerint az ismeretlen támadók direktben megkerestek egyes Twitter alkalmazottakat, és lefizették őket, hogy azok ideiglenesen rendelkezésükre bocsássák ezt az admin-eszközt, vagy legalábbis ezen keresztül ők maguk megváltoztassák kiemelt célpontokhoz tartozó fiókok regisztrált e-mail címeit. A másik változat szerint a becserkészett dolgozók nem voltak szándékos részei a folyamatnak, a támadók különféle közösségi oldalakon, levelekben és egyéb módokon a bizalmukba férkőztek, majd kitrükközték tőlük a hozzáférést a "Twitter-svájcibicskához". A Motherboard egyik újságírója állítólag két olyan hackerrel is beszélt, akik részt vettek az akcióban, mindketten a lefizetős teóriát támasztották alá.
OK, we talked to another hacker. Were able to confirm how they got accounts: Twitter employee used internal tool to change email addresses associated with accounts. Twitter seems to have just confirmed this in tweets as wellhttps://t.co/2emeiH7gs1
— Jason Koebler (@jason_koebler) July 16, 2020
Bármelyik is az igazság, az biztos, hogy (szándékos vagy akaratlan) belső segítség kellett a dologhoz. Miután a megcélzott fiókok e-mail címeit megváltoztatták, a bűnözők már könnyen igényelhettek jelszóváltoztatást, ahol a Twitter rendszere értelemszerűen az új e-mailekre küldte el a szükséges teendőket, ezáltal gyorsan át lehetett venni az uralmat egyszerre sok fiók felett is. Ez mindenesetre azt feltételezi, hogy a támadók is jó páran lehettek, ha egyszerre képesek voltak ilyen szinten összehangoltan megcélozni rövid időn belül ennyi fiókot.
A támadásnak vége, a háború azonban most kezdődik
A Twitter legutóbbi hivatalos közlése szerint a vizsgálat és a hibaelhárítás során leállított funkciókat jelenleg már újra lehet használni, tehát elvileg senki nem tapasztalhat problémát, ha tweetelni szeretne, vagy bármi egyebet tenne saját fiókjában, de a mikroblog-szolgáltató azért kiemelte, hogy ha a későbbi vizsgálat során bármi szükségessé teszi, elképzelhető, hogy további korlátozásokat vagy változtatásokat kell életbe léptetniük.
Szakértők emellett arra is rámutatnak, hogy ugyan a mostani akció valószínűleg tényleg "csak" egy pénzszerzésre kihegyezett csalás volt, a megvalósítás módszere és sikeressége miatt kiemelten fontos, hogy a Twitter újratervezze és betonbiztossá tegye belső rendszerét, hiszen hasonló módszerekkel akár még nagyobb következményekkel járó "kampányokat" is meg lehet valósítani, például politikai befolyásolás terén, amire az elmúlt években több irányból és több közösségi oldalon is bepróbálkoztak már.