Grote aanval op Twitter begon met zogenaamde helpdeskmedewerker
De aanvallers die in juli toegang tot de systemen van Twitter kregen en tientallen geverifieerde accounts overnamen wisten de benodigde inloggegevens te stelen door zich voor te doen als helpdeskmedewerker die over vpn-problemen belde. Dat blijkt uit onderzoek van het New York State Department of Financial Services (DFS).
De aanval begon tegen het einde van de middag op 14 juli. Eén of meerdere van de aanvallers belden verschillende Twitterwerknemers en deden zich voor als helpdeskmedewerker. De aanvallers beweerden dat ze reageerden op een melding van de werknemer over een probleem met het vpn van Twitter. Volgens de DFS waren vpn-problemen, nadat het bedrijf vanwege de coronacrisis overstapte op thuiswerken, gemeengoed.
De zogenaamde helpdeskmedewerker vroeg de Twitterwerknemers om vervolgens naar een phishingsite te gaan, die identiek was aan de legitieme vpn-site van Twitter. Terwijl de werknemers hun inloggegevens op de phishingsite invoerden, werden die door de aanvallers gelijktijdig op de echte Twitter-site ingevoerd. Deze inlogpoging genereerde een multifactorauthenticatie-melding waarin de echte werknemers werd gevraagd om zich te authenticeren. Iets wat door een aantal werknemers ook werd gedaan, zo blijkt uit het onderzoek van het DFS.
De onderzoekers van het DFS hebben geen bewijs gevonden dat de Twitterwerknemers de aanvallers opzettelijk hebben geholpen. De aanvallers bleken persoonlijke informatie over de werknemers te hebben gebruikt om hen te overtuigen dat ze een legitieme helpdeskmedewerker waren en konden worden vertrouwd. Sommige van de medewerkers belden het fraudeteam van Twitter, maar tenminste één werknemer vertrouwde de aanvallers.
Twitter beheert verschillende tools waarmee medewerkers bijvoorbeeld e-mailadressen van accounts kunnen aanpassen of de tweefactorauthenticatie kunnen uitschakelen. Het eerste account dat de aanvallers overnamen had geen toegang tot deze interne tools. De aanvallers gebruikten dit account om de interne websites van Twitter te verkennen en meer te leren over de systemen van de microbloggingdienst. Zo werd er onder andere gekeken naar intranetsites met informatie over het inloggen op andere interne applicaties.
Op 15 juli besloten de aanvallers zich te richten op werknemers die wel toegang tot de interne tools van het bedrijf hadden. Een aantal van deze medewerkers was van de afdeling die verantwoordelijk is voor juridische verzoeken, zoals gerechtelijke bevelen of verzoeken om content te verwijderen, alsmede het ontwikkelen en handhaven van beleid om online misbruik tegen te gaan.
Met de informatie die de aanvallers van deze medewerkers wisten te verkrijgen konden ze op de interne Twitter-tools inloggen. Vervolgens werd het e-mailadres van tientallen accounts aangepast en de tweefactorauthenticatie uitgeschakeld. Dit maakte het mogelijk om een wachtwoordreset uit te voeren die naar het nieuw opgegeven e-mailadres ging.
Het DFS stelt dat de aanvallers voor hun social engineering gebruikmaakten van basale informatie over Twitter en diens medewerkers. Zo deden de aanvallers onderzoek naar de taken en titels van Twitterwerknemers, zodat ze zich beter als de helpdesk konden voordoen. Ook informatie die werknemers zelf aan de aanvallers verstrekten heeft hierbij geholpen.
Interne protocollen
"De hack van Twitter is een waarschuwing over de buitengewone schade die zelfs ongeraffineerde cybercriminelen kunnen veroorzaken. Het succes van de hack was grotendeels te danken aan zwakke interne cybersecurityprotocollen van Twitter", stelt het DFS. Volgens de onderzoekers begonnen de problemen aan de top. Zo was er sinds december 2019 geen chief information security officer (CISO). Eem rol die inmiddels wel is vervuld.
Inmiddels heeft Twitter ook de multifactorauthenticatie verbeterd en het personeel aanvullend getraind over cybersecurity. "Maar de gevolgen van de Twitter-hack laten zien waarom het belangrijk is voor Twitter en andere socialmediabedrijven om robuuste controls te implementeren voordat ze met een cyberincident te maken krijgen, niet erna", laat het DFS verder weten.
Bankregels
Net zoals er toezicht is op vitale sectoren moet er ook publiek toezicht op social media komen, zo pleiten de onderzoekers. Daarbij zien zij vooral een voorbeeld in de regels die voor banken gelden en het toezicht dat daarop wordt gehouden. Op dit moment is er nog geen aparte toezichthouder voor socialmediabedrijven. Iets dat volgens het DFS moet veranderen.
"De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport.
""De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport."
Teveel energie en aandacht voor die bunch of crap als je het mij vraagt. Het ergste zijn mensen die dit medium en vooral de inhoud serieus nemen.
Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.
De DNB kan wel allerlei eisen stellen aan processen van de banken - (zoals eisen qua interne/externe beveiliging, identificatie van rekeninghouders etc).
Op dit moment _kan_ twitter zeggen : jammer dan,meer beveiliging doen we niet. Ons bedrijf, onze keuze.
Misschien zakelijk onverstandig, maar er is geen overheidsinstantie die daar over gaat.
Dat is bij bedrijven die onder een toezichthouder vallen heel anders.
[ze zijn - zeker in Amerika - misschien civielrechtelijk aansprakelijk als anderen schade ondervinden van dingen die Twitter heeft laten gebeuren , maar dat is een heel ander verhaal ]
""De Twitter-hack toont meer dan ooit het risico voor de samenleving wanneer systeemkritische instellingen zichzelf reguleren. Het beschermen van social media tegen misbruik is cruciaal voor ons allemaal: consumenten, kiezers, overheid en industrie. De tijd voor overheidsoptreden is nu", zo luidt de conclusie van het onderzoeksrapport."
Teveel energie en aandacht voor die bunch of crap als je het mij vraagt. Het ergste zijn mensen die dit medium en vooral de inhoud serieus nemen.
Hoezo "een bunch of crap". Mag ik daar dan even een paar voobeelden van zien??
Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.
Ik ben niet thuis in hoe de software van banken in Europa werkt, maar volgens mij gaan alle betalingen tussen banken in Nederland via DNB. Stel je voor dat alle berichten van Twitter via de nieuw op te richten toezichthouder lopen.. En die van alle andere sociale platformen ook.. Dat is een aardig risico dat je neemt als toezichthouder. En wat win je er mee?
Anoniem 15:02
Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.
Ik ben niet thuis in hoe de software van banken in Europa werkt, maar volgens mij gaan alle betalingen tussen banken in Nederland via DNB. Stel je voor dat alle berichten van Twitter via de nieuw op te richten toezichthouder lopen.. En die van alle andere sociale platformen ook.. Dat is een aardig risico dat je neemt als toezichthouder. En wat win je er mee?
Anoniem 15:02
Hoewel de stelling over 'dom' en 'puber' elke fatsoensnorm overscheiden (moderators?) , is het correct wat gesteld wordt over DNB. De Nederlandse Bank heeft als doel zich op te stellen als toezichthouden op Nederlandse bankinstellingen met als voorbeeld de ING, RABO, ABN Amro etc.
Het gaat hier niet om de software maar meer om de processen, risico's en manier waarop getracht wordt middels toezichthouders inzichtelijk en onder controle te krijgen
Nee , dat kun je helemaal niet lezen. Ben je nou dom, of gewoon een puber ?
De DNB kan ook niet rechstreeks dingen doen bij rekeninghouders van ING/ABN/RABO , bijvoorbeeld.
Ik ben niet thuis in hoe de software van banken in Europa werkt, maar volgens mij gaan alle betalingen tussen banken in Nederland via DNB. Stel je voor dat alle berichten van Twitter via de nieuw op te richten toezichthouder lopen.. En die van alle andere sociale platformen ook.. Dat is een aardig risico dat je neemt als toezichthouder. En wat win je er mee?
Anoniem 15:02
Nee. DNB zit niet in het betalingsverkeer.
Dat is Equens (voorgeen Interpay, samengegaan) voor interbancair verkeer, en internationaal SWIFT .
En DNB zit al helemaal niet direct in de banksystemen en klantendatabases van banken om een rekening dicht te kunnen zetten.
Je moet gewoon beter zoeken wat een toezichthouder doet - bancair, beurs etc. Zoals ik schreef - die stellen eisen aan processen, aan inrichting van de organisatie, over de grootte van financiële buffers, eventueel aan topfunctionarissen.
Die zitten niet in de stroom van dagelijks beheer.
En die suggestie werd ook totaal niet gewekt in het artikel over de twitter hack, dat een toezichthouder een extra beheerafdeling van twitter accounts zou zijn.
Zoals te lezen in het artikel : Twitter bijvoorbeeld had een tijd geen CISO . Niet verplicht om die te hebben. In een sector met een toezichthouder kan er een eis zijn dat er een CISO is.
Een toezichthouder kan ook een veto recht hebben bij topfuncties - een bank CEO waarbij de 'verklaring van geen bezwaar' van de toezichthouder niet gegeven is bestaat niet.
zie bv https://www.dnb.nl/toezichtprofessioneel/verklaring-van-geen-bezwaar/index.jsp
Ze zoeken 'm niet voor een bank, ze benoemen 'm niet - maar ze kunnen een kandidaat veto'en.
Uh, 'Indiaas' is beter , als je wilt zeggen 'accent van iemand uit de republiek India' . Indisch (met sch) in NL wordt eigenlijk altijd gebruikt dingen uit Indonesië - de Indische keuken .
In het engels is Indian het bijvoeglijk naamwoord.
Maar - ook al is het bekend grappig - de nadruk op de typisch indiase callcenter spraak is riskant om aan scams te koppelen.
Net zoals 'slecht taalgebruik' niet al te hard aan email phishing gekoppeld moet worden .
Want voor veel te veel mensen versterkt dat de boodschap dat goed geschreven taalgebruik , of een moedertaal spreker - DUS betekent dat de email of het telefoontje echt zijn.
Aangeklaagd voor de twitter hack zijn twee mensen uit Florida en één uit het VK. Alle reden om aan te nemen dat ze niet klinken als de typische Indiase callcenter scammer.
Blijkbaar hadden ze genoeg voorwerk gedaan om ook plausibel te klinken. (misschien door 'controle vragen' stellen - gevonden uit online informatie' die de indruk wekken dat ze intern zaten. Ik stel me voor "Spreek ik met John H Jackson, 2 Infinity Drive, Cupertino ,California, employed by us since 1/10/2018 ? . Dat geeft best het idee dat je gebeld wordt door je werkgever, als dat allemaal klopt.).
Anyway - als je mensen moet waarschuwen voor scams, phishing, fraude, social engineering : leg niet te veel nadruk op herkenningspunten die aanvallers kunnen - en zullen - verbeteren.
Phishing mails kunnen door moedertaal sprekers geschreven worden. Moedertaal sprekers met enige inside kennis van het bedrijf kunnen bellen. Gladgeschoren mannen in pak - of dames in mantelpak - of monteurs in overalls met een wit busje - kunnen ook je fysieke inbrekers zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
