Mercoledì 15 luglio Twitter è stato vittima di un attacco informatico basato sull'ingegneria sociale. L'obiettivo : truffare gli utenti per sottrarre loro delle criptovalute.
Gli hacker hanno preso il controllo di oltre 130 account (fonte: Les Echos). Hanno assunto l'identità di personaggi famosi e aziende affidabili: Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Bill Gates, Kanye West, ma anche Bitcoin, Apple e Uber, Binance e molti altri ancora.
Twitter: truffata con i Bitcoin
Gli hacker hanno inviato un tweet a ciascuna delle comunità di utenti. Garantivano loro un'offerta irresistibile: investire 1.000 dollari entro 30 minuti per ricevere il doppio, ovvero 2.000 dollari.
Più di un'ora dopo l'attacco, molti utenti non potevano più twittare. Questa decisione è stata una delle prime misure di sicurezza adottate da Twitter, dopo l'allerta dell'attacco informatico. A ciò si aggiunge l'impossibilità di reimpostare le password.
Secondo Blockchain.com, i truffatori sono comunque riusciti a sottrarre circa 12,58 Bitcoin (pari a circa 116.000 $ o 101.000 €). L'indirizzo (unico) di transazione dei truffatori ha inoltre registrato oltre 350 trasferimenti di denaro.
Phishing telefonico su Twitter e attacco informatico basato sull'ingegneria sociale
Twitter ha confermato che si è trattato effettivamente di un «attacco coordinato di ingegneria sociale». L'attacco ha preso di mira «con successo alcuni dei nostri dipendenti che dispongono di accesso ai nostri strumenti interni». (fonte: Le Monde).
I dipendenti di Twitter, vittime di un attacco di phishing telefonico da parte di hacker, avrebbero fornito loro l'accesso a uno strumento interno di Twitter. Tale strumento, un pannello di controllo, consente di gestire gli account Twitter. È così che gli hacker hanno assunto il controllo di diversi indirizzi e-mail per usurpare l'identità di personalità e aziende influenti.
La vulnerabilità umana costituirà sempre un punto debole in qualsiasi strategia di mitigazione dei rischi. L'instaurazione di una cultura della sicurezza sul posto di lavoro può contribuire a ridurre tali rischi.
Questo attacco informatico getta discredito su Twitter
Non è la prima volta che Twitter deve affrontare un problema di sicurezza. La sua immagine ne esce ogni volta compromessa. Tanto più questa volta perché, secondo Bloomberg, i dipendenti di un subappaltatore utilizzavano gli strumenti interni di Twitter per spiare gli account di alcune celebrità internazionali. Raccolta di informazioni, dati di localizzazione, ecc.: tutte azioni di cybermalizia che danneggiano l'immagine dell'uccellino blu! Pratiche note internamente ma mai fermate! (fonte: La Nouvelle Tribune).
Che cos'è un attacco informatico basato sull'ingegneria sociale?
Il social engineering è una tecnica di manipolazione psicologica utilizzata dagli hacker per ottenere informazioni (dati, password, credenziali…). Questa pratica si basa sull’abuso di fiducia e sullo sfruttamento delle debolezze umane. Per ottenere informazioni sul loro bersaglio, gli hacker non esitano a indagare tramite: e-mail, social network, telefonate e persino durante un “incontro e una conversazione innocente” per strada.
In genere, le vittime non si rendono conto di essere state ingannate perché gli hacker giocano sulle loro emozioni e/o sui loro interessi per truffarle. Paura, stress, entusiasmo, ecc.: infatti, è più facile sfruttare le debolezze umane piuttosto che tentare di hackerare le falle tecniche delle organizzazioni.
È proprio questo tipo di attacco informatico che ha colpito Snapchat nel 2016. Un hacker aveva assunto l'identità del responsabile delle risorse umane e inviato un'e-mail di phishing a un dipendente. Il dipendente, ingannato, gli aveva quindi inviato il file contenente le buste paga dei dipendenti dell'azienda.
È quindi importante prestare attenzione a ciò che viene pubblicato sul web e sapere quali misure adottare per evitare gli attacchi di ingegneria sociale.
