kudaza4em (kudaza4em) wrote,
kudaza4em
kudaza4em

Categories:

Фишинг с использованием телефонных звонков применялся для взлома Twitter





Служба поддержки Twitter заявляет, что «фишинг-атака с использованием телефона» используется для получения доступа к сети в случае крипто-мошенничества

Твиттер раскрыл немного больше информации о нарушении безопасности, которое произошло ранее месяце, когда было взломано несколько вип-аккаунтов для распространения мошенничества с криптовалютой - в блоге было написано, что «фишинговая атака с использованием телефонных звонков» была использована для таргетинга сотрудников компании.
После того, как злоумышленники успешно получили сетевые учетные данные с помощью этой техники социальной инженерии, они смогли собрать достаточно информации о своих внутренних системах и процессах, чтобы нацелить других сотрудников, имеющих доступ к инструментам поддержки учетных записей, которые позволили им взять под контроль пользовательские аккаунты. Твиттер обновил информацию об инциденте.
«Для успешной атаки требуется, чтобы хакеры получили доступ как к нашей внутренней сети, так и к конкретным учетным данным сотрудников, которые предоставили им доступ к внутренним инструментам поддержки. Не все сотрудники, которые подвнрглись кибератаке имели разрешения на использование инструментов управления учетными записями, но злоумышленники использовали свои учетные данные для доступа к внутренним системам и получения информации о внутрисетевых процессах. Эти знания позволили им ориентироваться на дополнительных сотрудников, которые имели доступ к нашим инструментам поддержки аккаунтов», - говорится в официальном сообщении компании.
«Эта атака основывалась на значительной и согласованной попытке ввести некоторых сотрудников в заблуждение и использовать уязвимости человека для получения доступа к нашим внутренним системам», - добавляет Твиттер, называя инцидент «поразительным напоминанием о том, насколько важен каждый сотрудник команды для защиты сервиса».
Сообщается, что злоумышленники использовали украденные учетные данные для взлома 130 учетных записей Twitter, получение доступ к почтовому ящику - 36; и загрузите данные Twitter из 7 (ранее сообщалось о 8, поэтому, возможно, одна попытка загрузки не была завершена). В данный момент Twitter связывается со всеми владельцами аккаунтов, данные которых были взломаны.
Примечательно, что компания до сих пор не раскрыла, сколько сотрудников или подрядчиков имели доступ к инструментам поддержки своего аккаунта. Чем больше это число, тем больше вектор атаки, на который могут быть нацелены хакеры.
На прошлой неделе агентство Reuters сообщило, что более 1000 человек в Twitter имеют доступ, в том числе ряд подрядчиков. Два бывших сотрудника Twitter сообщили информагентству, что такой широкий уровень доступа затрудняет защиту компании от атак такого типа. Твиттер отказался комментировать отчет.
Его обновление в настоящее время признает «озабоченность» по поводу уровней доступа сотрудников к своим инструментам, но предлагает немного дополнительных деталей, говоря лишь о том, что у него есть команды «по всему миру», помогающие в поддержке аккаунта.
Компания также утверждает, что доступ к инструментам управления учетными записями «строго ограничен» и «предоставляется только по уважительным деловым причинам». Однако позже в своем блоге Твиттер отмечает, что со времени атаки «значительно» ограничил доступ к инструментам, что дает основания полагать, что слишком много людей в Твиттере получили доступ до взлома.
В посте Twitter также содержится очень ограниченная информация о конкретной технике, которую злоумышленники использовали для социальной инженерии некоторых своих работников, а затем для того, чтобы нацеливаться на неизвестное количество других сотрудников, которые имели доступ к ключевым инструментам. Хотя в нем говорится, что расследование кибератаки продолжается.
На вопрос о том, что такое фишинг по телефону в данном конкретном случае, не ясно, какой именно метод успешно смог проникнуть в защиту Twitter. Под фишингом обычно понимается индивидуально подобранная атака социальной инженерии с добавленным компонентом телефонов, участвующих в атаке.
Один из комментаторов безопасности, с которым мы связались, предложил несколько возможностей.

Оригинал взят у biboroda в Фишинг с использованием телефонных звонков применялся для взлома Twitter
Subscribe
promo kudaza4em август 8, 2018 08:33 120
Buy for 10 tokens
По случаю дня Рождения запускаю марафон для всех моих друзей и друзей друзей) Приглашайте всех! Благодарю за поздравления !!! Спасибо, что Вы у меня есть !!! Те кто не знаком с моими друзьями - дружите друг друга, общайтесь, угощайтесь !!! За таким огромным столом можно найти самых…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments