Détournement de la plateforme Twitter
Lotem Finkelstein, Head of threat intelligence, Check Point Software Technologies
Introduction
Un grand nombre de comptes Twitter à forte visibilité ont été détournés mercredi par ce qui semble être une attaque d’ingénierie sociale contre certains collaborateurs de Twitter. Il s’agissait notamment des comptes de Barack Obama, Joe Biden, Elon Musk, ainsi que des comptes officiels d’Uber, d’Apple et des places de change de cryptomonnaies.
Les comptes compromis ont ensuite été utilisés pour publier une escroquerie qui promettait de doubler la quantité de bitcoins envoyés à une certaine adresse de portefeuille, mais seulement pour une durée limitée.
Les comptes compromis des places de change de cryptomonnaies et des leaders de la communauté des cryptomonnaies ont même prétendu être associés à une organisation factice appelée « CryptoForHealth »
Le site web mentionné dans ces tweets, cryptoforhealth[.]com, a été enregistré le jour même de l’attaque, et prétend aider la communauté après les pertes financières causées par COVID-19. En réalité, le site web demandait à ce que des bitcoins soient envoyés à la même adresse de portefeuille que celle figurant dans les tweets.
Bien que l’attaque ait été de courte durée et que Twitter ait rapidement verrouillé et récupéré tous les comptes touchés, un examen de l’adresse du portefeuille Bitcoin montre que les pirates ont quand même réussi à s’en tirer avec 12,85 BTC, soit près de 120 000 dollars, et qu’ils transféraient déjà l’argent vers d’autres comptes Bitcoin pour l’encaisser.
Vecteur d’attaque
Il n’existe que peu de méthodes par lesquelles une telle attaque aurait pu avoir lieu.
Twitter a annoncé que des techniques d’ingénierie sociale ont été utilisées pour accéder à ses systèmes internes.
Une telle faille de sécurité via une attaque d’ingénierie sociale aurait pu débuter par l’utilisation de plusieurs vecteurs d’infection possibles. Une possibilité courante est l’attaque par email de phishing, qui consiste à livrer un logiciel malveillant en pièce jointe ou un lien vers une page de phishing. Dans les deux cas, elle s’accompagne souvent d’une méthode d’ingénierie sociale afin d’inciter l’utilisateur à cliquer sur la pièce jointe, ou saisir ses identifiants dans une page de phishing frauduleuse.
Un vecteur d’attaque possible qui correspond également aux explications précédentes est le phishing vocal ou vishing. Il s’agit d’une tactique d’ingénierie sociale qui consiste à appeler des collaborateurs afin de gagner leur confiance, récolter des informations, et les tromper pour qu’ils agissent. Au cours des derniers mois, de plus en plus d’entreprises ont signalé que leurs collaborateurs étaient la cible de tels appels de vishing.
Motherboard avance un autre scénario potentiel, dans lequel les pirate bénéficiaient d’une coopération interne avec des collaborateurs de Twitter qu’ils payaient pour changer les adresses email des comptes ciblés à l’aide d’un outil interne de Twitter.
Il semblerait que des captures d’écran de cet outil aient été partagées dans des forums de piratage underground :
Source : Motherboard
Vecteur d’attaque
Ce n’est pas la première fois que la confidentialité des utilisateurs de la plateforme sociale a été affectée par ses collaborateurs, ni la première fois que les collaborateurs de Twitter ont divulgué des données sensibles.
Le compte de Jack Dorsey, le PDG de Twitter, a été compromis il y a quelques mois après que son numéro de téléphone ait été détourné lors d’une attaque d’échange de carte SIM. L’année dernière, deux collaborateurs ont été accusés d’avoir utilisé leur accès aux ressources internes de Twitter et d’avoir aidé l’Arabie Saoudite à espionner des dissidents vivant à l’étranger.
Twitter n’a pas encore communiqué tous les détails de cet incident, mais nous pouvons déjà constater que les causes profondes des cas précédents ont conduit à des résultats similaires. Qu’il s’agisse de collaborateurs mécontents ou d’attaques d’ingénierie sociale sur mesure, le véritable problème est la difficulté de limiter l’accès aux ressources internes et d’empêcher qu’elles ne deviennent un point de vulnérabilité récurrent.
Cette fois, cependant, il semble que Twitter ait pris des mesures pour empêcher que de tels incidents ne se reproduisent à l’avenir, en limitant l’accès aux outils tels que celui qui a vraisemblablement été utilisé dans cette attaque.
Au contraire, le détournement de Twitter montre que dans un monde où les fuites de données sont un phénomène croissant, les entreprises doivent se charger elles-mêmes de la protection de leurs données confidentielles. Les données confidentielles des employés et des clients, les documents juridiques et la propriété intellectuelle risquent de tomber quotidiennement dans de mauvaises mains.
Conclusion
L’ingénierie sociale n’est pas seulement efficace pour accéder aux ressources d’une entreprise ; inciter des utilisateurs de Twitter à transférer 120 000 dollars dans un portefeuille inconnu avec des promesses louches faites par des célébrités est un excellent exemple d’utilisation malveillante de l’ingénierie sociale.
Lorsque nous imaginons les menaces potentielles pour la cybersécurité, nous imaginons souvent des adversaires étrangers qui volent de la propriété intellectuelle ou se livrent à des activités malveillantes. C’est vrai dans de nombreux cas, mais en réalité, au moins 30 % des failles de sécurité impliquent des acteurs internes à l’entreprise.
Les mesures de protection devraient couvrir les incidents liés à des menaces internes et externes.