image

Grote aanval op Twitter begon met zogenaamde helpdeskmedewerker

vrijdag 16 oktober 2020, 14:05 door Redactie, 9 reacties

De aanvallers die in juli toegang tot de systemen van Twitter kregen en tientallen geverifieerde accounts overnamen wisten de benodigde inloggegevens te stelen door zich voor te doen als helpdeskmedewerker die over vpn-problemen belde. Dat blijkt uit onderzoek van het New York State Department of Financial Services (DFS).

De aanval begon tegen het einde van de middag op 14 juli. Eén of meerdere van de aanvallers belden verschillende Twitterwerknemers en deden zich voor als helpdeskmedewerker. De aanvallers beweerden dat ze reageerden op een melding van de werknemer over een probleem met het vpn van Twitter. Volgens de DFS waren vpn-problemen, nadat het bedrijf vanwege de coronacrisis overstapte op thuiswerken, gemeengoed.

De zogenaamde helpdeskmedewerker vroeg de Twitterwerknemers om vervolgens naar een phishingsite te gaan, die identiek was aan de legitieme vpn-site van Twitter. Terwijl de werknemers hun inloggegevens op de phishingsite invoerden, werden die door de aanvallers gelijktijdig op de echte Twitter-site ingevoerd. Deze inlogpoging genereerde een multifactorauthenticatie-melding waarin de echte werknemers werd gevraagd om zich te authenticeren. Iets wat door een aantal werknemers ook werd gedaan, zo blijkt uit het onderzoek van het DFS.

De onderzoekers van het DFS hebben geen bewijs gevonden dat de Twitterwerknemers de aanvallers opzettelijk hebben geholpen. De aanvallers bleken persoonlijke informatie over de werknemers te hebben gebruikt om hen te overtuigen dat ze een legitieme helpdeskmedewerker waren en konden worden vertrouwd. Sommige van de medewerkers belden het fraudeteam van Twitter, maar tenminste één werknemer vertrouwde de aanvallers.

Twitter beheert verschillende tools waarmee medewerkers bijvoorbeeld e-mailadressen van accounts kunnen aanpassen of de tweefactorauthenticatie kunnen uitschakelen. Het eerste account dat de aanvallers overnamen had geen toegang tot deze interne tools. De aanvallers gebruikten dit account om de interne websites van Twitter te verkennen en meer te leren over de systemen van de microbloggingdienst. Zo werd er onder andere gekeken naar intranetsites met informatie over het inloggen op andere interne applicaties.

Op 15 juli besloten de aanvallers zich te richten op werknemers die wel toegang tot de interne tools van het bedrijf hadden. Een aantal van deze medewerkers was van de afdeling die verantwoordelijk is voor juridische verzoeken, zoals gerechtelijke bevelen of verzoeken om content te verwijderen, alsmede het ontwikkelen en handhaven van beleid om online misbruik tegen te gaan.

Met de informatie die de aanvallers van deze medewerkers wisten te verkrijgen konden ze op de interne Twitter-tools inloggen. Vervolgens werd het e-mailadres van tientallen accounts aangepast en de tweefactorauthenticatie uitgeschakeld. Dit maakte het mogelijk om een wachtwoordreset uit te voeren die naar het nieuw opgegeven e-mailadres ging.

Het DFS stelt dat de aanvallers voor hun social engineering gebruikmaakten van basale informatie over Twitter en diens medewerkers. Zo deden de aanvallers onderzoek naar de taken en titels van Twitterwerknemers, zodat ze zich beter als de helpdesk konden voordoen. Ook informatie die werknemers zelf aan de aanvallers verstrekten heeft hierbij geholpen.

Interne protocollen

"De hack van Twitter is een waarschuwing over de buitengewone schade die zelfs ongeraffineerde cybercriminelen kunnen veroorzaken. Het succes van de hack was grotendeels te danken aan zwakke interne cybersecurityprotocollen van Twitter", stelt het DFS. Volgens de onderzoekers begonnen de problemen aan de top. Zo was er sinds december 2019 geen chief information security officer (CISO). Eem rol die inmiddels wel is vervuld.

Inmiddels heeft Twitter ook de multifactorauthenticatie verbeterd en het personeel aanvullend getraind over cybersecurity. "Maar de gevolgen van de Twitter-hack laten zien waarom het belangrijk is voor Twitter en andere socialmediabedrijven om robuuste controls te implementeren voordat ze met een cyberincident te maken krijgen, niet erna", laat het DFS verder weten.

Bankregels

Net zoals er toezicht is op vitale sectoren moet er ook publiek toezicht op social media komen, zo pleiten de onderzoekers. Daarbij zien zij vooral een voorbeeld in de regels die voor banken gelden en het toezicht dat daarop wordt gehouden. Op dit moment is er nog geen aparte toezichthouder voor socialmediabedrijven. Iets dat volgens het DFS moet veranderen.

"De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport.

Reacties (9)
16-10-2020, 14:33 door Anoniem
Dit medium is net zo belangrijk als dat je het zelf maakt. Vol feitelijke onzin en maffe uitspraken.

""De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport."

Teveel energie en aandacht voor die bunch of crap als je het mij vraagt. Het ergste zijn mensen die dit medium en vooral de inhoud serieus nemen.
16-10-2020, 15:02 door Anoniem
Met andere woorden: Er komt een supertoezichthouder die de multifactor van Twitter accounts kan uitzetten en e-mail adressen kan veranderen in aanvulling op de juridische afdeling die dit al kon.. Want met meer gebruikers met toegang tot dit soort dingen kunnen aanvallen in de toekomst voorkomen worden..
16-10-2020, 15:31 door Anoniem
Door Anoniem: Met andere woorden: Er komt een supertoezichthouder die de multifactor van Twitter accounts kan uitzetten en e-mail adressen kan veranderen in aanvulling op de juridische afdeling die dit al kon.. Want met meer gebruikers met toegang tot dit soort dingen kunnen aanvallen in de toekomst voorkomen worden..

Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.

De DNB kan wel allerlei eisen stellen aan processen van de banken - (zoals eisen qua interne/externe beveiliging, identificatie van rekeninghouders etc).

Op dit moment _kan_ twitter zeggen : jammer dan,meer beveiliging doen we niet. Ons bedrijf, onze keuze.
Misschien zakelijk onverstandig, maar er is geen overheidsinstantie die daar over gaat.
Dat is bij bedrijven die onder een toezichthouder vallen heel anders.

[ze zijn - zeker in Amerika - misschien civielrechtelijk aansprakelijk als anderen schade ondervinden van dingen die Twitter heeft laten gebeuren , maar dat is een heel ander verhaal ]
16-10-2020, 17:22 door Anoniem
Door Anoniem: Dit medium is net zo belangrijk als dat je het zelf maakt. Vol feitelijke onzin en maffe uitspraken.

""De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport."

Teveel energie en aandacht voor die bunch of crap als je het mij vraagt. Het ergste zijn mensen die dit medium en vooral de inhoud serieus nemen.
De redactie van deze website maakt ook gebruik van twitter.
Hoezo "een bunch of crap". Mag ik daar dan even een paar voobeelden van zien??
16-10-2020, 21:13 door Anoniem
Door Anoniem:
Door Anoniem: Met andere woorden: Er komt een supertoezichthouder die de multifactor van Twitter accounts kan uitzetten en e-mail adressen kan veranderen in aanvulling op de juridische afdeling die dit al kon.. Want met meer gebruikers met toegang tot dit soort dingen kunnen aanvallen in de toekomst voorkomen worden..

Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.

Ik ben niet thuis in hoe de software van banken in Europa werkt, maar volgens mij gaan alle betalingen tussen banken in Nederland via DNB. Stel je voor dat alle berichten van Twitter via de nieuw op te richten toezichthouder lopen.. En die van alle andere sociale platformen ook.. Dat is een aardig risico dat je neemt als toezichthouder. En wat win je er mee?

Anoniem 15:02
17-10-2020, 01:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Met andere woorden: Er komt een supertoezichthouder die de multifactor van Twitter accounts kan uitzetten en e-mail adressen kan veranderen in aanvulling op de juridische afdeling die dit al kon.. Want met meer gebruikers met toegang tot dit soort dingen kunnen aanvallen in de toekomst voorkomen worden..

Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.

Ik ben niet thuis in hoe de software van banken in Europa werkt, maar volgens mij gaan alle betalingen tussen banken in Nederland via DNB. Stel je voor dat alle berichten van Twitter via de nieuw op te richten toezichthouder lopen.. En die van alle andere sociale platformen ook.. Dat is een aardig risico dat je neemt als toezichthouder. En wat win je er mee?

Anoniem 15:02

Hoewel de stelling over 'dom' en 'puber' elke fatsoensnorm overscheiden (moderators?) , is het correct wat gesteld wordt over DNB. De Nederlandse Bank heeft als doel zich op te stellen als toezichthouden op Nederlandse bankinstellingen met als voorbeeld de ING, RABO, ABN Amro etc.

Het gaat hier niet om de software maar meer om de processen, risico's en manier waarop getracht wordt middels toezichthouders inzichtelijk en onder controle te krijgen
17-10-2020, 15:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Met andere woorden: Er komt een supertoezichthouder die de multifactor van Twitter accounts kan uitzetten en e-mail adressen kan veranderen in aanvulling op de juridische afdeling die dit al kon.. Want met meer gebruikers met toegang tot dit soort dingen kunnen aanvallen in de toekomst voorkomen worden..

Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.

Ik ben niet thuis in hoe de software van banken in Europa werkt, maar volgens mij gaan alle betalingen tussen banken in Nederland via DNB. Stel je voor dat alle berichten van Twitter via de nieuw op te richten toezichthouder lopen.. En die van alle andere sociale platformen ook.. Dat is een aardig risico dat je neemt als toezichthouder. En wat win je er mee?

Anoniem 15:02

Nee. DNB zit niet in het betalingsverkeer.
Dat is Equens (voorgeen Interpay, samengegaan) voor interbancair verkeer, en internationaal SWIFT .

En DNB zit al helemaal niet direct in de banksystemen en klantendatabases van banken om een rekening dicht te kunnen zetten.
Je moet gewoon beter zoeken wat een toezichthouder doet - bancair, beurs etc. Zoals ik schreef - die stellen eisen aan processen, aan inrichting van de organisatie, over de grootte van financiële buffers, eventueel aan topfunctionarissen.
Die zitten niet in de stroom van dagelijks beheer.

En die suggestie werd ook totaal niet gewekt in het artikel over de twitter hack, dat een toezichthouder een extra beheerafdeling van twitter accounts zou zijn.

Zoals te lezen in het artikel : Twitter bijvoorbeeld had een tijd geen CISO . Niet verplicht om die te hebben. In een sector met een toezichthouder kan er een eis zijn dat er een CISO is.

Een toezichthouder kan ook een veto recht hebben bij topfuncties - een bank CEO waarbij de 'verklaring van geen bezwaar' van de toezichthouder niet gegeven is bestaat niet.
zie bv https://www.dnb.nl/toezichtprofessioneel/verklaring-van-geen-bezwaar/index.jsp
Ze zoeken 'm niet voor een bank, ze benoemen 'm niet - maar ze kunnen een kandidaat veto'en.
17-10-2020, 16:37 door spatieman
indish accent: dit is john, u heft problems met uw vpn, we can repareer it.. hehe
17-10-2020, 19:03 door Anoniem
Door spatieman: indish accent: dit is john, u heft problems met uw vpn, we can repareer it.. hehe

Uh, 'Indiaas' is beter , als je wilt zeggen 'accent van iemand uit de republiek India' . Indisch (met sch) in NL wordt eigenlijk altijd gebruikt dingen uit Indonesië - de Indische keuken .
In het engels is Indian het bijvoeglijk naamwoord.

Maar - ook al is het bekend grappig - de nadruk op de typisch indiase callcenter spraak is riskant om aan scams te koppelen.
Net zoals 'slecht taalgebruik' niet al te hard aan email phishing gekoppeld moet worden .

Want voor veel te veel mensen versterkt dat de boodschap dat goed geschreven taalgebruik , of een moedertaal spreker - DUS betekent dat de email of het telefoontje echt zijn.

Aangeklaagd voor de twitter hack zijn twee mensen uit Florida en één uit het VK. Alle reden om aan te nemen dat ze niet klinken als de typische Indiase callcenter scammer.
Blijkbaar hadden ze genoeg voorwerk gedaan om ook plausibel te klinken. (misschien door 'controle vragen' stellen - gevonden uit online informatie' die de indruk wekken dat ze intern zaten. Ik stel me voor "Spreek ik met John H Jackson, 2 Infinity Drive, Cupertino ,California, employed by us since 1/10/2018 ? . Dat geeft best het idee dat je gebeld wordt door je werkgever, als dat allemaal klopt.).

Anyway - als je mensen moet waarschuwen voor scams, phishing, fraude, social engineering : leg niet te veel nadruk op herkenningspunten die aanvallers kunnen - en zullen - verbeteren.
Phishing mails kunnen door moedertaal sprekers geschreven worden. Moedertaal sprekers met enige inside kennis van het bedrijf kunnen bellen. Gladgeschoren mannen in pak - of dames in mantelpak - of monteurs in overalls met een wit busje - kunnen ook je fysieke inbrekers zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.