Twitter: aanval werd gedaan via gerichte telefonische phishing

Twitter zegt dat de hack van zijn interne systemen heeft plaatsgevonden via gerichte telefonische phishing bij medewerkers. Aanvallers kregen daardoor inloggegevens van specifieke medewerkers in handen, waarmee ze interne systemen binnendrongen.

Volgens Twitter richtten de aanvallers zich met telefonische spear phishing op een klein aantal medewerkers. Om berichten te kunnen plaatsen met bekende accounts moesten de aanvallers zowel toegang krijgen tot het interne netwerk van Twitter, als tot inlogdetails van specifieke medewerkers, schrijft de dienst.

De medewerkers die doelwit waren, hadden niet allemaal toegang tot de beheertools die uiteindelijk werden gebruikt om accounts over te nemen. De aanvallers konden met de inloggegevens van die medewerkers echter de interne systemen binnendringen en 'informatie vergaren over processen'. Met die kennis konden de hackers andere medewerkers aanvallen, die toegang hadden tot de support tools.

Volgens Twitter hebben de aanvallers gecoördineerde pogingen gedaan om medewerkers te misleiden en misbruik te maken van 'menselijke kwetsbaarheden'. Technische details geeft Twitter niet, maar de dienst zegt dat een technisch rapport later volgt, nadat onderzoek van opsporingsdiensten en een eigen intern onderzoek is afgerond. Twitter wordt onder andere bijgestaan door de FBI.

Het sociale netwerk herhaalt nog eens dat de hackers zich hebben gericht op 130 Twitter-accounts nadat zij toegang kregen tot de tools van het bedrijf. Ze slaagden erin om vanaf 45-accounts tweets met bitcoinscams te versturen. Bij 36 accounts zijn de privéberichten ingezien en van 7 niet-geverifieerde accounts is alle Twitter-data gedownload, via de daarvoor bestemde functie van de dienst.

Door verschillende publicaties zijn reconstructies gemaakt over hoe de hack heeft kunnen plaatsvinden, aan de hand van informatie van insiders. The New York Times publiceerde een artikel over de jonge mensen die achter de aanval zouden zitten. Die zouden afkomstig zijn uit een scene die zich richt op handel in Twitter-accounts met weinig tekens. Beveiligingsonderzoeker Brian Krebs publiceerde ook inhoudelijke uitleg, net als de eigenaar van @6, een van de overgenomen accounts.

Door Julian Huijbregts

Nieuwsredacteur

31-07-2020 • 11:35

46

Reacties (46)

Sorteer op:

Weergave:

De aanvallers konden met de inloggegevens

Met andere woorden : Klinkt alsof ze zelf geen 2FA/MFA op hun admin accounts hebben gezet :+

Wel raar want ze hebben wel 2FA voor hun klanten.

https://help.twitter.com/...20access%20your%20account.

Of zijn ze voor SMS OTP gegaan?

Dat zou ook oliedom zijn want dat is al bewezen onveilig.....
https://blog.sucuri.net/2...fa-sms-is-a-bad-idea.html
Blijkbaar zijn er mogelijkheden om idd op het interne netwerk te komen. Bij ons bedrijf heb je 2FA nodig om toegang te krijgen tot het nornale LAN traffic segment maar er zijn profiles in de vpn client om te verbinden zonder 2FA die enkel toegang behoort te geven tot zeer beperkt segment vh netwerk om remote bepaalde zaken mogelijk te maken waarvoor je 'vroeguh' op kantoor moest zijn als de 2FA niet werkte (eg aanvragen/activeren RSA token of certificaat; openen van IT trouble ticket dat je 2fa niet werkt etc).
Hoewel je dus geen toegang hebt tot hetzelfde segment zonder 2fa kan het wel een startpunt zijn om verder te komen.
Wellicht kan je op dit beperkte 'non 2fa' segment/dmz/vlan verbinfing krijgen met een host als jumpbox en zo kom je verder.
Mede door de grote toename in thuiswerken en fysiek helemaal geen toegang tot lan is het heel goed indenkbaar dat iemand per ongeluk een host heeft geactiveerd in het non 2fa netwerk die je als jumpbox kan misbruiken.
Uiteraard hardstikke fout, maar als er plots vele workarounds moeten worden opgezet om niet alleen thuiswerken voor de 'gewone' medewerker mogelijk te maken maar ook allerhande management tools die voorheen alleen fysiek in het interne net werden gedaan is zon fout snel gemaakt en een stuk lastiger te onderkennen in hele grote organisaties.
Een enigzins vervelijkbaar voorbeeld in mijn organisatie (al heb ik in mijn geval nog wel 2fa nodig om op het bedrijfslan te komen) is ons lokale lab netwerk die een geheel eigen AD heeft die geen trusts etc met de ad domeinen vh bedrijf.
Na een full outage vh gehele lab netwerk kan handmatig ingrijpen nodig via een host die niet afhankelijk is van ad/ldap en waarvandaan je een standalone hypervisor kan starten die een windows AD server kan starten zodat je daarna de diensten kan starten die afhankelijk zijn van active directory zoals diverse hypervisor clusters en SAN clusters etc.
Die stand alone jumpbox was vroeger alleen toegankelijk als je fysiek in het lab was maar nu is het mogelijk om er via bedrijfs standaard vpn op te komen... maar voor covid19 kozen we ervoor om fysieke toegang als drempel maar nu kan je er remote op komen (je hebt wel access tot een paar losse lokale shared accounts.. maar toch een potentieel risico
(maar zoals gezegd: ik moet nog steeds eerst op het corporate netwerk inloggen met 2FA vpn. Maar de beheerders van het corp netwerk hebben nu mogelijk ook extra remote tools opgezet om bij storingen toch in te loggen)
Social engineering is precies daarvoor bedoeld: om dat de omzeilen.
Ja klopt alhoewel FIDO dit probleem al voor ze opgelost zou hebben want de Key werkt niet met phishing websites.

Google gebruikt ondertussen Fido alweer tijdje.

https://searchsecurity.te...tion-end-phishing-attacks

En zoals ik het lees is er niet slechts 1 persoon ingetrapt maar tegenwoordig zijn die phishing emails zo goed dat ik me niet verbaas en er hoeft uiteindelijk maar 1 persoon te zijn die even niet zit op te letten.
Of FIDO het had opgelost? Bel je support, mijn key is stuk, kunnen jullie me helpen mijn nieuwe key aan mijn account te koppelen?
En als jouw support afdeling zo makkelijk de 2FA van Twitter admin accounts afhaalt op basis van 1 telefoontje en ook nog helpt om de vervangende key te koppelen dan heb je wel iets heel fout in je proces opgezet.

Dat het bij normale twitter accounts zo aan toegaat ( misschien een geheime vraag die je moet beantwoorden) daar zou ik niet verbaasd over zijn ivm gebruiksgemak / veiligheid.

Zodra je toegang hebt tot de Twitter admin accounts heb je klaarblijkelijk volledig toegang tot normale accounts dus 2fa heeft daar al geen zin meer in omdat je al op hoger niveau binnen bent.

Als de key niet werkt op de phishing website dan mag ik hopen dat je als twitter Admin toch wel nadenkt en gewoon zelf het adres intikt.

Maar dan nog kom je bij de support afdeling die als je een beetje normaal proces opgezet hebt kan zien: Je hebt niet proberen in te loggen volgens onze gegevens / Probeer het met een andere browser / type zelf het adres in.

[Reactie gewijzigd door Zyphlan op 26 juli 2024 23:00]

Het zou niet moeten mogen, maar daar komt social engineering om de hoek kijken.
Ja klopt maar er zit een verschil tussen 1 moment van niet opletten en phishing linkje aanklikken als medewerker en een heel proces ( Twitter Admin - Tech Suppport).

Ook 1 van de redenen dat Google sinds Fido niet meer gephisht is. Simpelweg omdat social engineering het vooral moet hebben van dat moment dat mensen even niet opletten.

Is het onmogelijk... Nee zeker weten niet :) alleen kun je wel laten zien aan verzekering / aandeelhouders / bestuur.... De processen zijn volledig op orde en dit betreft gewoon totale onkunde van die 2 medewerkers.
Ik werk zelf voor een hardware leverancier in de MFA en klopt wat je zegt...

Alhoewel corona maakt wel een verschil .... werd er eerst nog gedacht : waarom hebben we 2fa nodig ... password is genoeg want iedereen zit op kantoor zie je nu eigenlijk alle multinationals PoC draaien met Fido (of als vervanging van OTP of omdat de noodzaak / budget beschikbaar komt en dan kijken ze wat het beste past).

Probleem is ook dat phishing emails echt van top kwaliteit kunnen zijn, helemaal als het spear phishing betreft en goed voorbeeld dat ik ooit kreeg :

Een bedrijf hadden ze een phishing test gedaan en er waren net nieuwe Apple computers geleverd ... phishing mailtje dat ze de Apple computers die op kantoor stonden tegen gereduceerd tarief konden kopen als medewerker.......ze hoefden alleen op de mail te reageren -> hele rij met mensen in getrapt.

Inclusief de CEO :+

[Reactie gewijzigd door Zyphlan op 26 juli 2024 23:00]

Het grootste gevaar zit altijd achter de PC
Je moet als hacker toch behoorlijk zelfverzekerd en goed gebekt zijn wil je via de telefoon een medewerker zover krijgen om zijn wachtwoord af te geven lijkt me. Vooral als dit geen standaard gebruiker is. Je mag aannemen dat beheerders toch wel achterdochtig worden als iemand zulke vragen stelt.
Je moet maar eens opzoeken hoe Kevin Mitnick ooit aan de firmware is geraakt van zijn Motorola gsm. Gewoon bellen en een verhaal verzinnen.

Gezien de commerciële waarde achter die aanvallen, steken de organisaties steeds meer tijd in hun aanvallen. Ik zie bij mij werkgever dat de aanvallen steeds gerichter worden door o.a. mail adressen van klanten of leveranciers te gebruiken.
Hier een link naar de wikipediapagina van het boek: https://en.wikipedia.org/wiki/The_Art_of_Deception
Waarschijnlijk vragen ze om een wachtwoord reset email door te sturen ofzo. Zal niet snel gebeuren dat ze direct om het wachtwoord vragen.

Maar onder het mom van "Geef even je wachtwoord, dan doe ik het even voor je" is ook mogelijk.
En zoals @Nyarlathotep al aangeeft: 1 zwakke schakel is genoeg.
Waarschijnlijk vragen ze om een wachtwoord reset email door te sturen ofzo. Zal niet snel gebeuren dat ze direct om het wachtwoord vragen.
Dat betekent dat de interne helpdesk van Twitter dat zou gedaan hebben. Die zouden de laatste moeten zijn om even een resetlink te sturen naar een nog niet gekend emailadres.

Hoe dan ook lijkt er het serieus verkeerd te zitten bij twitter als men zomaar aan het user beheer dashboard kan. In principe moet niemand intern daar aan kunnen en moet niemand intern in naam van een user een bericht kunnen posten.
Weet je hoe mega simpel is om een wachtwoord te krijgen? Als je die niet al automatisch krijgt...

In meerdere bedrijven gehad dat men het wachtwoord niet mag doorgeven enzo, maar als je even aangeeft; mag ik je wachtwoord om iets te checken? Dan krijg je dat in 80% van de gevallen gewoon.

Vooral de " huis tuin en keuken mensen" zijn hier makkelijk in.

Een beheerder is een ander verhaal ja....
Ik heb dit ooit begin jaren 2000 (toen phishing nog minder bekend was) samen met een collega uitgeprobeerd op mijn toenmalig werk. We hebben een aantal medewerkers opgebeld als zijnde de fictieve 'Rik van de IT-afdeling'. Vervolgens vertelden we dat de zekering van hun mailbox was afgesprongen. En de zekering kon alleen terug opgezet worden als we hun wachtwoord hadden. Zonder uitzondering gaven ze hun wachtwoord.
Nee, als je het goed doet niet.

Vaak zoek je eerst achtergrond info op.
Daarmee win je iemands vertrouwen en dan verzin je via een omweg een smoes. Je hackt bijvoorbeeld de toeleveranciers. Kijkt of die iets uitleveren belt op en zegt van goh ik ben die nieuwe servers aan het installeren en......

Dus niet van mag ik je wachtwoord want dan gaan alle allarmbellen natuurlijk af. Meer van shit ik ben nu dit beheer aan het doen en uhm en ik dacht dat het dit wachtwoord was?

Dan vaak is het: ow Hij heeft die en die info al dus hij is te vertrouwen.

Je hebt van die systeembeheerders die posten alles op Social media. Gewoon niet doen. Leuk dat je nieuw spul hebt binnen gehad, maar er lezen ook slechte mensen mee!

[Reactie gewijzigd door rob12424 op 26 juli 2024 23:00]

Ik blijf het bizar vinden dat er nog steeds mensen zijn die er in trappen.
En wellicht nog erger: Twitter kan zijn mensen die werken op kritische bedrijfsprocessen blijkbaar niet weerbaar maken tegen dit soort zaken. Aan de andere kant: je hebt maar één persoon nodig die faalt in dit proces...
Het lijkt mij eerder bizar om te denken het bizar is dat mensen nog in social engineering of phishing trappen. Of te denken dat iemand anders (zoals een werkgever) genoeg invloed op je bewustzijn en onbewustzijn kan hebben zodat jij of een ander op het moment dat het er om gaat niet in social engineering of phishing trapt. Als je denkt dat social engineering of phishing helemaal voorkomen kan worden door mensen iets aan te proberen te leren dan verwacht ik dat je er waarschijnlijk zelf ook nog in zou trappen, omdat je niet lijkt te weten waar het allemaal vanaf hangt. Dat onbewuste onbekwame daar maken ze juist gebruik van. Maar zelfs als iemand bekwaam zou zijn hoeft het maar aan iets te liggen en het kan alsnog mis gaan. Een mens is geen machine die je een opdracht geeft of iets aan leert en bij alles wat afwijkt dus stopt en bij alle opdrachten alle nodige controles doet (of herkent) om die opdracht te controleren. Twitter schrijft natuurlijk ook niet voor niets dat ze ook op andere manieren proberen te herkennen of er alsnog iets mis gaat. Dat ze ook daar extra naar gaan kijken. Maar ook daar zijn er beperkingen. Je wil niet alles 2, 4 of 10000x controleren voor je iets toe staat, alles controleren kan ook niet en ook die controles zijn niet compleet of perfect.
Nee, je kan phishing niet helemaal voorkomen. Maar tenzij men jan en alleman aanneemt bij Twitter, verwacht je toch mensen met een redelijke IT ervaring die zulke beheertools beheren. Als zo iemand er in trapt is het onvergeeflijk.
Het is niet realistisch om te verwachten dat mensen geen fouten kunnen maken, ook niet als ze een belangrijke functie bij Twitter hebben. Je kan niet verwachten dat een mens afhankelijk van wat die moet doen geen menselijke eigenschappen heeft.
Dat een Twitter medewerker zo dom zou geweest zijn lijkt me totaal ongeloofwaardig. Dit lijkt me hoe langer hoe meer een dom verhaaltje om niet te moeten toegeven dat iemand intern gewoon mee heeft gewerkt. Inside job dus...
Als ik het zo lees dan lijkt het op professionele georganiseerde misdaad. Maar het doet me eerlijk gezegd een beetje denken aan kwajongensstreken.

Laten we er vanuit gaan dat het professionele georganiseerde misdaad was. Wat heeft ze deze hack dan opgeleverd? Kan je daar echt zo veel geld mee verdienen een paar van die bitcoin clicks?

Het feit dat wilders zijn pagina gedefaced was en dat die gast eigenlijk niet zo goed wist wat hij er mee moest doen zegt mij eigenlijk genoeg. Maar misschien zit ik er naast.

Ik denk dat het de professionele georganiseerde misdaad dit gedaan had ze dit beter onder de radar hadden kunnen houden en flink politiek hadden kunnen beïnvloeden.
Zoals ik het heb verstaan, hebben de daders weinig gedaan met de accounts, maar hebben ze die gewoon doorverkocht met grof geld en hebben de kopers van de accounts de Bitcoin links geplaatst.
Zowel het verkopen van accounts van anderen als het proberen geld te verdienen aan een grote vorm van oplichting (ze probeerden miljoenen gebruikers tegelijk over te halen om in hun oplichtingen te trappen) noem ik geen kwajongensstreken. Ook niet als het door een persoon gedaan zou zijn of als andere 'beter' georganiseerde criminelen dit anders hadden aangepakt.
"36 accounts zijn de privéberichten ingezien en van 7 niet-geverifieerde accounts is alle Twitter-data gedownload"

Voor wat het waard is. Voor mij niet zoveel :)
Betekent dit dan niet dat er hulp van binnenuit is geweest? Hoe komen ze aan de namen en telefoonnummers en eventuele andere gegevens van precies de juiste personen?
Google, Linkedin, Twitter, Facebook? :+

Het is niet zo lastig om een organisatiestructuur uit te werken / bemachtigen.
Klopt, daarom moeten er buiten het inloggen met wachtwoord meer maatregelen genomen worden zodat een crimineel met wat phishing niet verder komt.
De vraag die ik hier niet beantwoord zie: waarom kan überhaupt iemand van Twitter berichten plaatsen op accounts van gebruikers?

Verwijderen kan ik me voorstellen. Privéberichten inzien met enige moeite ook nog (maar dan alleen als dat door tenminste twee medewerkers geverifieerd wordt en beide voor die specifieke actie met een extra authenticatie, uiteraard middels 2FA.
Maar plaatsen? Kan ik me geen enkel scenario bij indenken...
Twitter kan misschien berichten plaatsen, maar dat is niet hoe het hier gegaan is.
Via de beheerstools kon 2FA uitgeschakeld worden. (Of stond het zelfs niet ingeschakeld voor die accounts).
Nog via die beheertools kan dan het emailadres gelinkt aan het account aangepast worden.
Dan volstaat het natuurlijk om een wachtwoordreset aan te vragen die op het ieuwe adres toekomt en kan je gewoon als user inloggen op dat account.
Maar dan blijft de vraag : Hoe kregen ze toegang tot die beheerstools... Die zouden toch sowieso wel met 2FA/MFA beveiligd moeten zijn.

Opzich is het wel logisch dat een admin van twitter 2fa van een account kan halen ivm gebruikservaring en als bijv de account gehackt word en ze activeren de 2FA dan moeten ze toch op 1 of andere manier dat verwijderen.
Kan me eigen wel voorstellen dat je een sys admin zover kan krijgen om zijn credentials in te vullen, zodra je toegang hebt gekregen tot een computer van een office medewerker.

Als een office medewerker een sys admin belt voor support met hun computer en daarbij moeten er admin credentials ingevoerd worden, dan is het een eitje om de ingevoerde gegevens ergens op te slaan.

En er zijn genoeg admins met voldoende rechten die je zover kunt krijgen, als je je eenmaal voordoet als interne medewerker.
Dit verhaal hangt aan elkaar van vaagheden.
Natuurlijk kun je van buitenaf een Twitter medewerker bellen en een leuk verhaal ophangen.
De medewerkers moet zich dan wel afvragen waarom de “klant” niet gewoon het normale pad bewandelt om een account reset te krijgen.
Lukt het dan toch al om een account/wachtwoord van een medewerker los te peuteren dan moet er nog ingelogd worden van buitenaf.
Intern inloggen zal immers lastig worden.
Ook dan moeten er alarmbellen afgaan.
Blijkbaar is dit alles niet gebeurd.
Een Twitter medewerker met voldoende admin rechten kan altijd onder druk gezet worden of gechanteerd worden door criminelen om zijn wachtwoord af te geven.
Bv “we wachten je kind op bij school als je je wachtwoord niet geeft!”.
Het systeem moet hiertegen beveiligd zijn zodat dit soort praktijken afgevangen wordt en je aan een account/wachtwoord nooit genoeg hebt.
Het rapport zal uit moeten wijzen of Twitter gefaald heeft.
Het lijkt me niet zo moeilijk stuur een 100 tal phishing mails waarin je voordoet als helpdeskmedewerker.

Ik begrijp het wel, je heb vaak van half gebakken sso oplossingen, die wel gebruik maken van federatie maar waarbij je toch moet inloggen.

Zal er vast wel een zijn die als ze een bekend plaatje zien, even hun gegevens op de verkeerde site invullen.
Ik snap niet hoe het kan dat met enkel inlog gegevens men in de interne systemen van twitter kan kijken.

Toen ik bij Tesla werkte moest ik verbonden zijn direct met het netwerk van Tesla voor ik toegang kreeg tot bedrijfs systemen en "geheimen" Kan men simpelweg met een VPN verbinden hiermee als ze enkel inlog gegevens hebben? Lijkt me niet toch.

Op dit item kan niet meer gereageerd worden.