推特称在密码诈骗入侵中用于获得网络访问权的“手机鱼叉式钓鱼攻击”(Phone Spear Phishing Attack)

2020-07-31 17:08:28

一旦攻击者通过这种社会工程技术成功地获得了网络凭证,他们就能够收集关于其内部系统和流程的足够信息,从而根据Twitter关于事件的最新情况,将目标对准能够访问账户支持工具的其他员工,这些工具使他们能够控制经过验证的账户。

我们现在分享的是基于我们今天所知的最新情况。鉴于正在进行的执法调查,以及在我们完成进一步保障服务的工作后,我们将在晚些时候提供更详细的报告,说明发生了什么。Https://t.co/8mN4NYWZ3O。

成功的攻击需要攻击者获得访问我们内部网络的权限,以及允许他们访问我们内部支持工具的特定员工凭证。并非所有最初成为攻击目标的员工都拥有使用帐户管理工具的权限,但攻击者使用他们的凭据访问我们的内部系统并获取有关我们流程的信息。然后,这些知识使他们能够锁定能够使用我们的帐户支持工具的其他员工,“它写道。

Twitter补充道:“这起攻击依赖于一次重大的、协同的尝试,目的是误导某些员工,利用人类的漏洞进入我们的内部系统。”Twitter将这起事件称为“一个引人注目的提醒,提醒我们团队中的每一个人在保护我们的服务方面有多么重要”。

它现在表示,攻击者使用窃取的凭据瞄准了130个Twitter账户-从45个账户开始发推文;访问36个DM收件箱;下载7个Twitter数据(之前它报告了8个,所以可能有一个尝试下载没有完成)。根据Twitter的博客帖子,目前Twitter已经直接联系了所有受影响的账户持有人。

值得注意的是,该公司仍未披露有多少员工或承包商可以访问其账户支持工具。这个数字越大,黑客可能攻击的目标就越大。

上周,路透社(Reuters)报道称,Twitter上有1000多人可以访问,其中包括一些承包商。两名前Twitter员工告诉该通讯社,如此广泛的访问级别使得公司很难防御这种类型的攻击。推特拒绝对该报导置评。

它的更新现在承认对员工访问其工具的级别感到“担忧”,但几乎没有提供更多细节-只是说它在“世界各地”都有团队帮助提供账户支持。

它还声称,对账户管理工具的访问是“严格限制的”,“只有在正当的商业原因下才被授予”。然而,在随后的博客文章中,推特指出,自袭击发生以来,它“大大”限制了对这些工具的访问,这为批评Twitter在入侵之前获得了太多访问权限的批评提供了证据。

Twitter的帖子还提供了非常有限的细节,说明攻击者使用的具体技术是成功地对一些员工进行社会工程,然后针对数量不详的其他可以访问关键工具的员工。尽管该公司表示,对袭击事件的调查仍在进行中,这可能是它感觉能够分享多少细节的一个因素。(该博客指出,随着这一过程的继续,它将继续提供“最新消息”。)。

关于什么是电话鱼叉式网络钓鱼的问题,在这个特定的案例中,还不清楚是什么特定的技术成功地穿透了Twitter的防御。鱼叉式网络钓鱼一般指的是一种单独定制的社会工程攻击,这里增加了手机参与目标定位的组件。

英国人格雷厄姆·克鲁利(Graham Cluley)表示:“Twitter关于这一事件的最新消息在细节上仍然不透明,令人沮丧。”“‘手机鱼叉钓鱼’可能有多种含义。例如,一种可能性是,目标员工在他们的手机上收到了一条似乎来自Twitter支持团队的信息,并要求他们拨打一个号码。拨打这个号码可能会把他们带到一个令人信服(但又是假的)服务台接线员那里,这个接线员也许能够欺骗用户的凭据。员工认为他们是在与合法的支持人员通话,他们在电话中透露的信息可能比通过电子邮件或钓鱼网站透露的信息要多得多。

克鲁利补充说:“如果推特上没有更多的细节,我们很难给出明确的建议,但如果发生了这样的事情,那么告诉员工真正的支持电话号码,如果他们需要的话-而不是依赖他们在电话上收到的信息-可以降低人们上当受骗的可能性。”

“同样,对话也可能是由诈骗者给员工打电话发起的,可能是使用VOIP电话服务,并使用来电显示欺骗来假装是从合法号码振铃。或者,他们可能闯入了Twitter的内部电话系统,使其看起来像是内部支持电话。我们需要更多细节!“