De ingrijpende hack bij Twitter roept vragen op over hun beveiligingsprocedures. Maar is vooral een kwestie van social engineering. ‘De Twitter-hack was gebaseerd op de meest simpele kwetsbaarheid'.
Barack Obama, Elon Musk, Kim Kardashian, Kanye West, Apple, Uber en nog andere. Allemaal werden ze gehackt. Er werd op hun account om donaties in bitcoins, virtuele munten, gevraagd. Het is de grootste hack ooit bij Twitter.
Volgens persbureau Reuters blijkt uit openbare blockchain-gegevens dat de vermeende oplichters iets meer dan 100.000 dollar (aan bitcoins) ontvingen van volgers die zich lieten misleiden. Dat is eigenlijk beperkt. De valse tweets werden enkele minuten nadat ze gepubliceerd waren al weggehaald, maar de schade, ook in reputatie, was geschied. Met deze bevindingen.
1. De zwakke schakel van de systeembeheerder
De getroffen accounts waren allemaal ‘geverifieerde accounts’, waar een blauw vinkje naast de gebruikersnaam staat om de echtheid aan te tonen. Er werd namelijk ingebroken in het beheerderspaneel van Twitter. Waardoor je als hacker de gegevens van alle Twitteraccounts aan de bron kan wijzigen. Zo goed als alle, want voor sommigen (zoals die van Donald Trump) heb je meer privileges nodig.
Georges Ataya, director en security professor bij Solvay, is alvast formeel: ‘De Twitter-hack was gebaseerd op de meest eenvoudige kwetsbaarheid: toegang tot een geprivilegieerde account. Al is het tegelijk ook een veel voorkomende kwetsbaarheid.’
Het kwam er op aan om de systeembeheerder te bespelen. ‘Geen enkele systeembeheerder is onoverwinnelijk’, stelt Attaya, al vindt hij toch dat er lessen moeten worden getrokken. ‘Ze moeten hun priviledged accounts niet zomaar gebruiken, tenzij in geval van nood.’
2. Opmars van cryptocurrency giveaway scams
Zogenaamde ‘cryptocurrency giveaway scams’ zitten ook al enkele jaren in de lift. De scams zijn vaak gericht op gebruikers van Ethereum en Bitcoin en vragen slachtoffers meestal een klein bedrag van de valuta over te maken in ruil voor een veel grotere uitbetaling in dezelfde cryptocurrency.
Alleen waren tot voor kort deze tweets vaak afkomstig waren van nepaccounts, die zijn ontworpen om clicks en retweets te genereren. Het gebruik van geverifieerde accounts is dus een nieuwe ontwikkeling.
3. Nog maar eens: social engineering
De gebruikte social engineering bij deze aanval toonde aan dat de aanvallers zich richtten op Twitter-medewerkers met toegang tot interne tools.
Maar de gecoördineerde aanval was bedoeld om miljoenen Twitter-volgers te overtuigen om de frauduleuze tweets te geloven, op de link te klikken en bitcoins te betalen, benadrukt Loïc Guezo, senior director of cybersecurity strategy EMEA bij Proofpoint. ‘Ze gingen uit van het vertrouwen dat mensen hebben in geverifieerde accounts en de aantrekkingskracht van het verdubbelen van hun geld.’
Mensen zijn nog steeds het voornaamste doelwit van cybercriminelen, benadrukt Loïc Guezo. ‘Zelfs in scenario’s waarin een systeem wordt aangevallen.’
Ik vind de opmerking “social engineering” iets te gemakkelijk in de strijd geworpen. Bij een techreus waar ik lange tijd werkzaam was werd ingebroken door een state sponsored group hackers die medewerkers van die nationaliteit onder druk zetten door te dreigen met consequenties voor de familieleden die nog in het land van oorsprong woonden.
Jos,
Een vorm van ‘social engineering’ is het afpersen van sleutelpersonen, het gaat namelijk om het hacken via de zwakste schakel in de vorm van de mens. De vraag in hoeverre iemand gevoelig is voor afpersing behoort tot de screening van het personeel. Dat buitenlandse inlichtingsdiensten invloed hebben op bepaalde sleutelpersonen binnen organisaties is een serieus probleem waar we in Nederland nog weleens te weinig aandacht voor hebben als het gaat om spionage.