Twitter, que todavía se está recuperando del reciente incidente de seguridad en el que delincuentes secuestraron 130 cuentas pertenecientes a figuras prominentes y las utilizaron para llevar adelante una estafa de bitcoins, publicó más detalles sobre lo que ocurrió y cómo fue que se llevó a cabo el ataque que permitió el secuestro de las cuentas.
Según la investigación que realizó Twitter, los responsables utilizaron la ingeniería social para atacar a un puñado de sus empleados a través de un “ataque de phishing por teléfono”. A esto se suma que las autoridades detuvieron a un joven de 17 años de Florida acusado de ser el autor intelectual del ataque. Además, otros dos jóvenes fueron acusados de haber tenido un rol activo en el ataque.
En un ataque típico de lo que se conoce como spearphishing, un delincuente se hace pasar por una entidad confiable y envía un correo electrónico personalizado o un mensaje instantáneo a un individuo previamente investigado con el objetivo de robar su información confidencial, como pueden ser sus credenciales de inicio de sesión o información financiera, o incluso para lograr que descargue un malware.
En el caso de Twitter, la incursión parece haber involucrado llamadas telefónicas y sucedió en etapas. “No todos los empleados de la red social que fueron atacados inicialmente tenían permisos para usar herramientas de administración de cuentas, pero los atacantes usaron sus credenciales para acceder a nuestros sistemas internos y de esta manera obtener información sobre nuestros procesos. Además, este conocimiento les permitió dirigirse a empleados adicionales que sí tenían acceso a nuestras herramientas de soporte de cuentas “, dijo la red social.
Vale la pena destacar que, según explicó ArsTechnica, para encontrar empleados que trabajan en la red social y obtener información, como parte de la primera etapa los atacantes utilizaron LinkedIn (y otras fuentes públicas) para ganar su confianza y convencerlos de que eran empleados de Twitter. Según agrega el medio, la situación que se vive a raíz de la pandemia que hace que muchos empleados trabajan desde su casa creo un escenario favorable para los atacantes.
Luego, una vez que los atacantes los atacantes tenían estas credenciales en sus manos las utilizaron para acceder a las herramientas que necesitaban para su gran esquema: infiltrarse en 130 cuentas, tuitear desde 45, acceder a mensajes directos (DM) de 36 y descargar datos de siete. La compañía describió el ataque como un “intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas”.
Twitter continuó diciendo que, a la luz del ataque y mientras investiga más el incidente, revisó sus medidas de seguridad y limitó el acceso a sus herramientas y sistemas internos. La compañía advirtió que esto puede conducir a una experiencia de usuario restringida:
“Como resultado, algunas funciones (es decir, acceder a la función que permite descargar un archivo con tus datos de Twitter) y procesos se han visto afectados. Seremos más lentos para responder a las necesidades de soporte de las cuentas, tuits reportados y aplicaciones a nuestra plataforma de desarrollador”.
La red social anunció también que está trabajando para mejorar sus métodos relacionados con la prevención y detección de acceso y uso inapropiados de sus herramientas internas. En este sentido, Twitter también prometió llevar adelante ejercicios de phishing en toda la empresa.
Poco después de que ocurrió la brecha de seguridad el pasado 15 de julio, la cuenta secuestrada del CEO de Tesla, Elon Musk, publicó un tweet diciendo “Me siento generoso debido al COVID-19. Duplicaré cualquier pago BTC enviado a mi dirección BTC durante la próxima hora.
Una serie de tuits similares a este comenzaron a publicarse en otras cuentas que también fueron secuestradas, incluidas las de Barack Obama, Joe Biden, Bill Gates y Jeff Bezos, entre otros. La estratagema aparentemente funcionó, ya que una de las billeteras de criptomonedas recibió en tan solo cinco horas cerca de 118.000 dólares en Bitcoins.
Poco después del incidente, Motherboard, el periodista de seguridad Brian Krebs y el New York Times publicaron historias interesantes que aportan detalles del incidente que incluyen testimonios de personas presuntamente involucradas en el esquema.