در ۱۸ مرداد ۱۳۹۹
  • حساب کاربری
  • هک کردن

وقایع:



در روز ۱۵ جولای حدود ساعت ۳ بعد از ظهر، چندین حساب کاربری هک شده اشخاص مهم در توییتر از مخاطبین خود درخواست کرده بودند تا به جامعه نیازمند بیت کوین اهدا کنند.

یک پیوند اهدای پول هم در آن پیام بود. مهاجمین حدود ۱۲۰ هزار دلار به جیب زدند که ناچیز به نظر می‌‌رسد اما حمله بالقوه این‌ چنینی و نابودی دنیا -بدون اغراق- باید مورد توجه قرار گیرد.

چهل و پنج حساب کاربری تاییده شده توییتری در مجموع مورد نفوذ و تهاجم قرار گرفتند که شامل حساب‌های باراک اوباما، الون ماسک، جف بزوس و مایکل بلومبرگ، کیم کارداشیان، حساب رسمی شرکت اپل و یک سیاستمدار هلندی می‌شد.




توییتر





قسمت پیام‌های خصوصی ۳۶ تا از ۴۵ حساب نیز مورد نفوذ قرار گرفت. حیرت‌آور است که پس از این همه سال وعده توییتر مبنی بر رمزگذاری پیام‌های خصوصی، هم‌چنان رمز گذاری نشده هستند.

در شرایط سیاسی امروز که تهدیدات جنگ و مکالمات مهم اقتصادی و غیره بین سیاست مداران از طریق توییتر صورت می‌گیرد، خسارت ناشی از مورد دسترس قرار گفتن پیام‌های خصوصی آن‌ها واقعا ترسناک است.

خود نفوذی که صورت گرفت اهمیت آن‌چنان نداشت اما پیامدهای آن هشداری برای دول و سازمان‌ها و تجار و مهم‌تر از همه خود توییتر است.

اما خوشبختانه بازیگران این نفوذ به نظر می‌آید که در سن نوجوانی باشند. با آخرین اطلاعات به دست آمده به نظر می‌آید که انگیزه این حمله  بدست آوردن اعتبار هم سن و سالان یا به عبارت دقیق‌تر اعتبار مجرمین دنیای آنلاین بوده است.

برای این‌که کاملا متوجه شویم که معنی این چیست باید بفهمیم ارزش نام‌های مستعار توییتر چیست، برنامه پیام رسان Discord چطور کار می‌کند و این‌که قدرت مهندسی اجتماعی در چیست.

برای این‌که از موضوع پرت نشویم باقی این مقاله را تمرکز می‌کنیم بر این‌که این حمله چطور رخ داد و سازمان شما چه کاری برای پیشگیری موارد مشابه می‌تواند انجام دهد.


توییتر




جا به جایی سیم کارت


جا به جایی سیم کارت اصطلاحی است که مجرمان سایبری برای دادن رشوه، زورگیری و اخاذی یا نفوذ به کامندان داخلی شرکت برای دسترسی یافتن به تلفن همراه  آن‌ها یا حساب شبکه اجتماعی آنان استفاده می‌کنند.

در برخی موارد تاکتیک‌های مهندسی اجتماعی مورد استفاده قرار می‌گیرد. مهندسی اجتماعی به دست‌کاری روانی کارکنان برای لو دادن چنین اطلاعاتی گفته می‌شود.

ارسال نامه‌های جعلی برای متقاعد کردن یک کارمند برای افشای رمز عبور خود یک مثال از این روش است.

تا آن‌جایی که مربوط به هک توییتر می‌شود به نظر می‌آید که یک کارمند داخلی اجیر شده که مشخص نیست به خاطر پول بوده یا اعتبار هم سن و سالان.

اول این‌که کارمند داخلی شرکت آدرس‌های ایمیل مرتبط با هرکدام از حساب‌ها را تغییر داد. سپس احراز هویت دو مرحله را خاموش کرد که منجر به ارسال یک هشدار به آدرس ایمیل جدید تحت اختیارنفوذگران شد. در این مرحله نفوذگران کلاه برداری بیت کوین را شروع کردند.




توییتر




درس‌هایی که می‌توان گرفت


توییتربا این داستان درس سختی گرفت که دسترسی ویژه و انحصاری یا به معنی فلسفه‌ای آن “به هیچ کس اطمینان نکن” از این به بعد یک امر واجب است.

به این معنا که هیچ کارمندی نباید اجازه دسترسی به داده‌ها ابزارها یا کنترل‌هایی که خارج از محدوده شغلی آن‌هاست داشته باشد.

به علاوه قبل از اعطای دسترسی از یک کارمند باید درخواست شود که رسما اجازه دسترسی همراه با جزییات موارد دسترسی و میزان زمان دسترسی بخواهد.

در این حالت بسترهای مدیریت خدمات IT می‌توانند به شکل سیستماتیک روند مجوزدهی را کنترل و بازرسی کنند. هم‌چنین این باعث به وجود آمدن یک مانع و دافع برای فعالیت‌های بدخواهانه داخلی می‌شود به این دلیل که کارمند از این‌که فعالیت‌هایش رصد می‌شوند آگاه است.

یک قدم جلوتر که برویم، شاید بهتر باشد که توییتر و سایر سازمان‌های بزرگ در معرض این‌گونه حملات، یک راه حل مبتنی بر هوش مصنوعی پیاده سازی کنند که حرکات کاربر و معیارهای خطر را رصد کند.

یک ابزار یادگیری ماشین مانند این شاید بتواند موارد خط قرمز مانند ورود یک کارمند به سیستم از یک مکان متفاوت یا در یک زمان مشکوک را شناسایی کند.


در حالی که مبادله پول در این مورد هنوز تایید نشده است اما از زمان شیوع ویروس کرونا حملات سیم کارتی و رشوه گسترش داشته‌‌‌اند.

حمله توییتری به احتمال زیاد به دیگر نفوذگران قوت قلب می‌دهد تا کارمندان داخلی را هدف بگیرند، اشخاصی که از نظر آن‌ها می‌توانند زیر میزی دریافت کنند. این تهدید تنها محدود به سازمان‌های بزرگ نمی‌شود. کسب و کارهای کوچک‌تر هم در معرض خطرند.


چند توصیه:

خصوصا در این وضعیت بغرنج اقتصادی هیچ کس از حملات تعویض سیمکارتی و تهدید کلی‌تر مهندسی اجتماعی و رشوه در امان نیست. در ادامه چند توصیه کارآمد و کوتاه برای حفظ امنیت سازمان شما می‌آید:


  • استراتژی “به هیچ کس اطمینان نکن” یا اطمینان صفر را به کار ببندید.
  • مواظب فعالیت‌های مشکوک حساب‌های کارکنان خود باشید.
  • یک رویه کسب مجوز برای کارکنان ایجاد کنید تا بدان وسیله آن‌ها مجبور به گرفتن اجازه برای کارهای خاص نظیر استفاده از سایت‌های اشتراک فایل یا بارگیری حجم بالای داده باشند.
  • به کارکنان خود به شکل مستمر آموزش دهید که چطور از اطلاعات حیاتی محافظت کنند و هم‌چنین سیاست داده شرکت، و شاید مهم‌تر از همه عواقب سرپیچی از آن.
  • تا آن‌جایی که مربوط به توییتر است، آن‌ها قول داده‌اند که بهتر شوند و ضمانت داده‌اند که برخی از روش‌های مذکور را به کار بندند. به علاوه گفته‌اند: “ما شرمساریم، ما ناراحت هستیم و بالاتر از همه متاسفیم.”


مطالعه نمایید: نگرانی‌های امنیتی و خطرات مربوط به بیت‌کوین

مطالعه نمایید: استخراج بیت‌کوین چیست؟