سواح هوست
سواح هوست موقع اخباري متخصص في عرض اهم الاخبار والمقالات العربية

اختراق تويتر: خداع الموظفين عن طريق خدعة التصيد عبر الهاتف

2

حقوق نشر الصور
رويترز

أكدت الشركة أن اختراق حسابات تويتر غير المسبوقة هذا الشهر كان بسبب خطأ بشري وهجوم تصيد على موظفي تويتر.

التصيد الاحتيالي هو هجوم مستهدف مصمم لخداع الناس لتسليم معلومات مثل كلمات المرور.

وقال تويتر إن موظفيها مستهدفون من خلال هواتفهم.

سمحت المحاولة الناجحة للمهاجمين بالتغريد من حسابات المشاهير والوصول إلى رسائلهم المباشرة الخاصة.

تم اختراق حسابات مؤسس شركة Microsoft بيل جيتس ، المرشح الديمقراطي للرئاسة جو بايدن ونجم الحقيقة كيم كارداشيان ويست ، وشاركت في عملية احتيال بيتكوين.

وبحسب ما ورد صادر المحتالين أكثر من 100،000 دولار (80،000 جنيه استرليني).

أثار الهجوم مخاوف بشأن مستوى الوصول الذي يملكه موظفو تويتر ، وبالتالي المتسللون ، إلى حسابات المستخدمين.

وقد اعترف موقع تويتر بهذا القلق في بيانه ، قائلاً إنه “يلقي نظرة فاحصة” على كيفية تحسين أذوناته وعملياته.

وقالت الشركة: “الوصول إلى هذه الأدوات محدود للغاية ولا يُمنح إلا لأسباب تجارية صالحة”.

قال تويتر إن ليس كل الموظفين المستهدفين في هجوم التصيد الإلكتروني قد تمكنوا من الوصول إلى الأدوات الداخلية ، لكنهم تمكنوا من الوصول إلى الشبكة الداخلية والأنظمة الأخرى.

بمجرد أن اكتسب المهاجمون بيانات اعتماد المستخدم للسماح لهم بالدخول إلى شبكة Twitter ، كانت المرحلة التالية من هجومهم أسهل بكثير.

استهدفوا موظفين آخرين لديهم حق الوصول إلى ضوابط الحساب.

تحليل

بقلم جو تيدي ، مراسل الأمن السيبراني

لا يوضح موقع Twitter ما إذا كان موظفوهم قد خدعوا عبر بريد إلكتروني أو مكالمة هاتفية. الإجماع في مجتمع أمن المعلومات هو أنه كان الأخير.

Phonecall الرمح التصيد ، المعروف باسم vishing ، هو الخبز والزبدة لهذا النوع من المتسللين الذين يشتبه في هذا الهجوم.

حصل المجرمون على أرقام هواتف حفنة من موظفي تويتر ، ومن خلال استخدام الإقناع والخداع الودي ، حملهم على تسليم أسماء المستخدمين وكلمات المرور التي أعطتهم موطئ قدم مبدئي في النظام الداخلي.

  • اختراق تويتر: ما الخطأ الذي حدث ولماذا يهم
  • مكتب التحقيقات الفدرالي يحقق في اختراق تويتر كبير

وكما يقول موقع تويتر ، فإن المحتالين “استغلوا نقاط الضعف البشرية”. يمكنك أن تتخيل كيف يمكن أن تسير الأمور:

هاكر لموظف تويتر: “مرحبًا ، أنا جديد في القسم وقد حجبت نفسي عن بوابة Twitter الداخلية ، هل يمكنك أن تقدم لي خدمة كبيرة وتعطيني تسجيل الدخول مرة أخرى؟”

حقيقة أن موظفي تويتر معرضون لهذه الهجمات الأساسية أمر محرج لشركة مبنية على أن تكون في طليعة التكنولوجيا الرقمية وثقافة الإنترنت.

قال تويتر إن محاولة التصيد الاحتيالي الأولية حدثت في 15 يوليو – في نفس اليوم الذي تم فيه اختراق الحسابات ، مما يشير إلى أنه تم الوصول إلى الحسابات في غضون ساعات.

وقالت الشركة “اعتمد هذا الهجوم على محاولة كبيرة ومتضافرة لتضليل بعض الموظفين واستغلال نقاط الضعف البشرية للوصول إلى أنظمتنا الداخلية”.

“كان هذا بمثابة تذكير مذهل بمدى أهمية كل شخص في فريقنا في حماية خدمتنا.”

تشغيل الوسائط غير مدعوم على جهازك

شرح وسائل الإعلاموأوضح التكنولوجيا: ما هو التصيد؟

لم يذكر تويتر ما إذا كان الهجوم قد تضمن مكالمات صوتية ، على الرغم من تقرير سابق من بلومبرج يفيد بأن مهاجمًا واحدًا على الأقل تم الاتصال به من قبل المهاجمين عبر مكالمة هاتفية.

غالبًا ما يتم التصيد الاحتيالي عن طريق البريد الإلكتروني والرسائل النصية ، مما يشجع المستلمين على النقر فوق الارتباطات التي تنقلهم إلى مواقع الويب ذات شاشات تسجيل الدخول المزيفة.

التصيد الاحتيالي هو نسخة من عملية احتيال تستهدف شخصًا واحدًا أو شركة معينة ، وعادة ما يتم تخصيصها بشكل كبير لجعلها أكثر تصديقًا.

وقالت إحدى الضحايا التي تم اختراق حسابها لبي بي سي إن هناك العديد من الأشياء التي يمكن أن يقوم بها تويتر بشكل مختلف.

وقالوا “لا يجب أن يمنحوا القدرة لموظف واحد لإزالة كل من عنوان البريد الإلكتروني الموجود في الملف والمصادقة ذات العاملين”.

“أتفهم سبب الحاجة إلى ذلك – على سبيل المثال إذا كان حساب خامل لديه بريد إلكتروني قديم جدًا يتعذر الوصول إليه وفقدت هاتفك أو أي شيء آخر – ولكن يجب أن يتطلب ذلك من موظفين تسجيل الخروج.”

وقالوا أيضا أن التواصل من تويتر كان ضعيفا.

“لقد استغرق الأمر 10 أيام لإعادة تعيين هذا الحساب دون استجابة شخصية فعلية من Twitter. لقد حصلت حرفياً على رسالة بريد إلكتروني” انقر هنا للمتابعة “من نظامهم عندما أعادوا بريدي الإلكتروني مرة أخرى إلى الحساب للسماح لي بإعادة تعيينه – يشبه البريد الإلكتروني التصيد “.




المصدر: بي بي سي

قد يعجبك ايضا