导致Twitter崩溃的攻击袭击了数十家公司

2020-08-19 21:24:41

上个月,当执法部门在美国和英国逮捕了三名被指控的年轻黑客时,Twitter系统遭到的最严重黑客攻击的故事似乎已经接近尾声。但事实上,让黑客控制乔·拜登(Joe Biden)、杰夫·贝佐斯(Jeff Bezos)、埃隆·马斯克(Elon Musk)和其他数十人账户的技术仍然在使用,以对付广泛的受害者,这些攻击早在Twitter爆发之前就开始了,最近几周已经升级为一场全面的犯罪浪潮。

7月中旬,Twitter披露,黑客对其使用了一种名为“电话鱼叉式网络钓鱼”的技术,允许攻击者攻击包括首席执行官、名人和政客在内的130人的账户。黑客成功控制了其中45个账户,并利用它们发送推文宣传一个基本的比特币骗局。Twitter在一篇关于这起事件的事后博客文章中写道,这些黑客打电话给Twitter员工,并使用虚假身份欺骗他们交出凭据,这些凭据让攻击者可以访问公司的一个内部工具,该工具可以让他们重置密码和目标用户账户的双因素身份验证设置。

但Twitter并不是最近唯一的手机鱼叉式网络钓鱼目标,有时也被称为语音网络钓鱼,这是一种社会工程形式。据一个网络安全行业组织的三名调查人员称,仅在Twitter黑客事件曝光后的一个月里,包括银行、加密货币交易所和网络托管公司在内的数十家公司都成为了同样的黑客攻击目标。该组织一直在与受害者和执法部门合作追踪这些攻击。与Twitter黑客事件一样,这些目标的员工都接到了冒充IT员工的黑客打来的电话,诱使他们交出内部工具的密码。然后,攻击者将这种访问权限卖给了其他人,这些人通常会利用它来瞄准该公司服务的高净值用户--最常见的目的是窃取大量加密货币,但有时也会瞄准传统金融服务的非加密账户。

网络安全公司Unit 221b的首席研究官艾莉森·尼克松(Allison Nixon)表示:在Twitter遭到黑客攻击的同时,在接下来的几天里,我们看到这类网络钓鱼活动大幅增加,分散开来,瞄准了许多不同的行业。尼克松曾协助联邦调查局(FBI)调查Twitter黑客攻击事件。在过去的几周里,我看到了一些令人不安的事情,一些公司被打入了你不会认为是软目标的领域。而且这种情况正在反复发生,就像这些公司无法将他们拒之门外一样。

安全公司ZeroFOX的威胁情报总监扎克·艾伦(Zack Allen)说,与Twitter黑客事件一样,肇事者似乎不是国家支持的黑客或外国网络犯罪组织,而是在OGUsers.com网站和聊天服务Discorde等论坛上组织的讲英语的年轻黑客。艾伦也曾与追踪这些事件的行业组织合作。他说,他对黑客在他们的社交工程中投入的研究水平感到震惊,他们利用LinkedIn和其他数据收集工具绘制公司组织结构图,寻找新的没有经验的员工-有些人甚至是在上任的第一天就开始了-并令人信服地冒充IT员工欺骗他们。

艾伦说:我以前从来没有见过这样的东西,没有这么有针对性的。他警告说,黑客的战术如此有效,它们被外国勒索软件集团甚至国家支持的黑客采用可能只是个时间问题,这些黑客只是把电话外包给说英语的电话网络钓鱼者。这就像你对整个情报专业团队建立档案和实施攻击的期望一样,但这一切似乎都是由不和谐的青少年所做的。

一家目标组织的一名保安人员要求《连线》不要使用他的名字或透露他的雇主的身份,他描述了一种更大规模的方法:似乎至少有三个来电者在公司名录中努力工作,在短短24小时内尝试了数百名员工。这名员工表示,该组织没有遭到入侵,这要归功于该公司从同一次黑客行动的另一个目标那里收到的警告,并在黑客企图之前传递给了员工。他们只是不停地尝试。他说,这是一场数字游戏。如果我们没有收到一两天的通知,事情可能就不一样了。

对于黑客来说,基于手机的网络钓鱼并不是一种新的做法。但艾伦和尼克松等调查人员表示,直到最近,这些攻击都集中在手机运营商身上,主要是为了服务于所谓的SIM交换攻击。在这种攻击中,黑客会说服电信员工将受害者的电话服务转移到他们的SIM卡上。

221b;部门的尼克松表示,Twitter黑客使用同样的基于电话的社交工程方法,显示出这些网络钓鱼者是如何将他们的目标名单扩大到电信公司以外的。她推测,尽管这可能是由于手机运营商加强了对SIM卡掉期的防御,但更有可能的原因是企业在新冠肺炎疫情期间变得新的脆弱。她说,随着如此多的公司匆忙转向远程工作,基于电话的社交工程已经变得更加强大。

尼克松说,同样是那些磨练了对抗电信技能的黑客,也发现了其他行业对他们的伎俩准备得不够充分。她说,突然之间,你有了这些训练有素、高效、高效、有条理的人,他们突然击中了一群软目标。这可能是现在存在这样一个问题的一个重要原因。

尼克松说,尽管参与的黑客显然很年轻,但正在进行的攻击似乎协调得很好,多名合作者合作,并雇佣独立的黑客提供从侦察到语音表演的专门服务。3月份,一位名叫Biggas的OGUser论坛成员写道,需要一个在社交工程方面有经验的人。OGUser论坛的一名成员在4月份的Telegram上泄露的一组OGUser信息中记录了这一点。寻找一位来自美国、拥有清晰正常成人嗓音的社会工程神。没有小孩子,这位用户在11月份写道。

在与受害者的社会工程通话中-包括在有线审查的一次录音通话中-黑客通常使用允许他们伪造电话号码的VoIP服务。他们试图通过引用看似私人的数据来建立与受害者的信任,比如受害者在公司的角色,他们的开始日期,或者他们同事的名字。在某些情况下,他们甚至会要求受害者确认他们是真正的IT人员,建议他们在公司的目录或其协作软件中查找他们被欺骗的身份。当受害者似乎被说服时,他们会要求他们导航到一个虚假的登录页面地址-通常是像Duo或Okta这样的单点登录门户-并输入他们的凭据。

黑客组织的另一名成员立即获取这些详细信息,并将其输入到真正的登录页面。然后,真正的登录页面会提示受害者输入他们的双因素验证码。当用户被骗将该代码输入到虚假网站时,它也会被转发给第二个黑客,后者将其输入到真正的登录页面,允许他们完全接管该帐户。与钓鱼电子邮件中通常链接的那种不同,允许这种欺骗的黑客钓鱼网站通常只针对特定的电话呼叫创建,并在黑客窃取受害者的凭据后立即关闭。网站的消失和电子邮件证据的缺乏使得这种基于手机的工程往往比传统的网络钓鱼更难被发现。

他们看到网络钓鱼,就会单击该报告按钮。社交网络安全公司(SocialProof Security)首席执行官雷切尔·托巴克(Rachel Tobac)说,我可能会有12%或15%的网络钓鱼举报,这实际上会让我关门大吉。SocialProof Security是一家测试客户易受社会工程攻击漏洞的公司。但她说,她可以在一周内给目标公司的50人打钓鱼电话,没有人会举报。人们不知道这件事已经发生了。托巴克说,他们认为自己一直在与技术支持人员交谈。Vishing一直以来都不为人所知,并将继续如此。";

防止新兴的恶意攻击将需要公司培训员工检测欺诈性呼叫者,或者使用像Yubikey这样的FIDO令牌进行双因素身份验证。当用户想要访问他们的账户时,这些USB加密狗必须插入任何新机器的USB端口,而不是可以被黑客实时窃取的代码。尼克松建议公司甚至使用安全系统,要求用户的机器上存在特定的软件证书,这样他们才能远程访问账户,从而阻止所有其他账户。尼克松说,那些没有使用硬件检查或证书检查的公司,这些公司现在受到的打击非常严重。

一家公司的安保人员认为,就目前而言,公司对这种新型入侵技术的脆弱性还没有得到足够的重视-随着年龄更大、更有组织、资金更雄厚的黑客看到这一策略有多么有效,受害者名单只会越来越多。该公司一直是电话钓鱼者的攻击目标。当更大的演员参与进来时会发生什么?它在哪里结束?";他说。推特是我们最小的问题。

🎙️收听“连线”,这是我们关于未来如何实现的新播客。收看最新剧集,订阅📩时事通讯,跟上我们所有节目的最新动态。

💻使用我们Gear团队最喜欢的笔记本电脑、键盘、替代打字设备和降噪耳机升级您的工作游戏