Eddig sosem sikerült olyan szinten behatolni a Twitter lelkivilágába, ahogy a legutóbbi kísérlettel megtették ismeretlenek. A leggyengébb lakat pedig ismételten nem a sokféle biztonsági beállítás volt, hanem maga az ember. Végigjárjuk, hogy sikerülhetett bejutni a mikroblog parancsnoki hídjára.
Megszokhattuk, hogy manapság egy internetes szolgáltatás igyekszik magát brutális szintű biztonsági megoldásokkal körülvenni. Nem is csoda, hiszen felhasználók millióinak, sőt egyes esetekben milliárdjainak adatait kezelik, és amellett, hogy ezek biztonságát kell szavatolniuk, egy esetleges leállásnak, feltörésnek egy csomó egyéb súlyos következménye is lehet az álhírek terjesztésétől az adathalászaton át a zsarolásokig.
Persze ez sosem megy tökéletesen, erre jó példa a Facebook és a Cambridge Analytica nevével megismert adatszivárgási botrány. A Twitter viszont egyelőre meg tudta úszni az ilyen átfogó problémákat: ugyan már náluk is előfordult, hogy egy-egy felhasználó fiókjába bejutottak illetéktelenek, de ez mindig az adott felhasználó gondatlanságának volt az eredménye, a Twitter “motorházát” senki nem tudta felnyitni. Legalábbis eddig.
Küldj pénzt, duplán kapod vissza
A madaras szolgáltatás “hacker-szüzességét” július 15-én veszítette el, amikor egyre több neves cég vagy híres ember Twitter fiókjának látogatói furcsa tweetekkel találkozhattak. Ezekben azt írták, a bitcoin technológia támogatóiként egy speciális villámakciót indítanak, és bárki küld nekik kriptopénzt egy megadott címre, azt megduplázva küldik vissza.
Az Apple oldalán először öt percen keresztül volt látható a bejegyzés, amelyet természetesen nem a gigavállalat tett közzé. Viszont a tweet eltávolítása után a cég képviselői közölték, hogy a titokzatos támadó újra és újra posztolta ugyanezt, így már szinte percenként kellett törölniük a folyamatosan megjelenő szöveget. De nem csak az Apple járt így, egy csomó egyéb fiókot is folyamatos támadás alá vettek a hackerek, tehát gyorsan világossá vált, hogy semmiképp sem egy felhasználó jelszavának megszerzése sikerült az ismeretleneknek, hanem teljes Twitter-szintű betörés eredménye az ügy. Az emberek pedig csodálkozva látták, hogy ez az üzenet megjelenik olyanoknál is, mint Barack Obama, Elon Musk, Bill Gates, Joe Biden, Kanye West, Mike Bloomberg vagy Warren Buffett. Neves, szavahihető csatornák – akkor tehát biztosan igaz, hogy itt tényleg bitcoinokat osztogatnak…
Egy idő után az üzenetek is elkezdtek megváltozni azért, hogy még hihetőbbé tegyék az állítólagos “akciót”. Elon Musk nevében például a sokadik törlés után már olyan tweet jelent meg, hogy köszöni a beküldött összegeket, és már vissza is utalt összesen 45 ezer dollárnyi bitcoint a “játékosoknak”. A Twitter végül csak úgy tudott véget vetni a támadásnak, hogy hosszú órákra lekapcsolta a szolgáltatás legfontosabb részeit, a legtöbben ez idő alatt nem tudtak tweetelni, de a fiókjuk alapvető beállításait sem tudták megváltoztatni. Másnapra aztán helyreállt a rend, de az is kiderült, hogy összesen körülbelül 130 fiókot érintett a megtévesztő tweetek áradata, bár az furcsa, hogy egy ilyen szintű támadással “mindössze” 130-150 ezer dollárnyi bitcoint sikerült zsákmányolnia az ismeretlen csalóknak.
Támadás beszivárgással
Pontos és teljes leírás azóta sincs arról, pontosan mi és hogyan történt a betörés során. A Twitter csak részinformációkat közöl, többek között a felhasználók adatainak védelmére hivatkozva, de érdekes adatokat lehetett összeszedni a dark webről is, ahol a támadás közben és után hihetőnek tűnő bizonyítékok tűntek fel, amik az akció mikéntjére is választ adhatnak. E két forrásból már össze lehet rakni, hogyan sikerült orra buktatni egy világszintű közösségi szolgáltatást.
Ahogy azt gyorsan kiderítették többen is, nem arról volt szó, hogy egyes fiókok gazdáit támadták, itt valami sokkal komolyabb történt, az egyes csatornákra ugyanis olyannyira egyszerre kerültek fel a fals üzenetek, amit csakis “belülről” lehetett elindítani. A sötét internet hacker-fórumain aztán megjelent néhány képernyőmentés arról, hogy valakik a Twitter adminok szigorúan őrzött belső vezérlőszoftverét használják: ez az, amivel a mikroblog alkalmazottai képesek például egyes fiókok alapadatait átírni, vagy valamilyen probléma esetén rendszerszinten kezelni azokat.
A célba vett fiókokat a támadók ezen a szoftveren keresztül támadták meg, először megváltoztatták az e-mail címet, majd jelszóváltoztatási folyamatot indítottak, amely már készségesen az új címekre küldte a szükséges belépési adatokat. Ezután máris rendelkezésre állt az a közel 130 fiók, amelyet akár egyszerre, valamilyen külső alkalmazásból bombázni lehetett a bitcoinos, átverős üzenettel.
A kérdés viszont az, hogyan szerezhették meg ezt a szoftvert, illetve az ehhez való jogosultságot a támadók? A válasz pedig a beszivárgás, pontosabban egy olyan támadási forma, amely kikerül minden tűzfalat, szoftvert és egyéb technológiai gátat, és az embert támadja.
Mi az a social engineering?
Social engineering, azaz pszichológia manipuláció alatt azt értjük, amikor egy jogosultsággal rendelkező személy, egy jogosulatlan felhasználó számára adatokat ad át, vagy lehetőséget nyújt a rendszerbe való belépésre, a másik személy megtévesztő viselkedése miatt. Egy ilyen támadás során a kiberbűnöző nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere.
Ennek sokféle formája létezik. Az egyik az, ha valahogy az online térben a megtámadott illető bizalmába férkőznek a támadók, például egy barátjának vagy munkatársának adják ki magukat. Ez történhet eltérített e-mailekben, megszerzett Facebook fiókkal, vagy lemásolt Messenger fiókkal, amit bizony sokan nem ellenőriznek és azonnal elhisznek. “A név stimmel, a profilkép szintén, akkor ez tényleg a Béla, és ha kér valamit, akkor azt át is küldöm neki” – gondolja a gyanútlan áldozat.
Hasonló módszer az is, ha valahogy a megcélzott személy közösségi profilja alapján feltérképezik az illető gyengeségeit – például a posztjaiból megállapítják, hogy pénzzavarban van, válik, megborította a válság vagy hasonlók, és elkezdik olyan üzenetekkel bombázni, amelyben gyors megoldást kínálnak: bizonyos összegért “csak egy kicsit” segíteni kéne nekik. Ennek más módja a zsarolás, ahol szintén online beszélgetésekben kikotyogott titkokkal vagy bizalmas információkkal zsarolják az illetőt, amíg az meg nem tesz nekik különféle szívességeket.
A Twitter esetében nem tudni, pontosan a fentiek közül melyik módszer működött, de azt már a mikroblog-szolgáltató is elismerte, hogy több dolgozójuk volt érintett valamilyen social engineering támadásban, és tőlük került ki a vezérlőszoftver, pontosabban a használatához szükséges jogosultságok.
Súlyos vicc volt
A legérdekesebbek azok a hírek, amelyek szerint az egész csupán kezdő hackerek közötti viccelődésből indult, amolyan “úgysem tudod feltörni a Twittert” jellegű kivagyiskodás volt az alapja, ami aztán komolyra fordult. Akár igaz ez, akár nem, a következményei kifejezetten súlyosak. Egyrészt a közösségimédia-felhasználók már amúgy is ingatag bizalma tovább billent az online szolgáltatások biztonságával kapcsolatban, de nem csak az övék. A Twitter részvények árfolyama ugyanis az esetet követő órákban nagyon erősen megcsúszott, és ugyan azóta nagyjából visszakapaszkodott a korábbi szintre, ez csak egy komoly marketing- és PR-kampánynak köszönhető, ahol szakértők segítségével sulykolták mindenki agyába, hogy a járványidőszakban és a karantén-korszak közepén még egy ilyen baki ellenére is a legjobb befektetésnek az online szolgáltatások számítanak.
Az viszont azért továbbra is érdekes, hogy ugyan a támadók nem dollármilliókkal távoztak, de a Twitter első fogadkozásai ellenére kiderült, hogy simán megszerezhettek a megtámadott fiókokból bizalmas adatokat, levelezéseket is, amiknek későbbi zsarolások vagy újabb támadások lehetnek a következményei.
