venerdì 17 luglio 2020

Apocalisse Twitter: bucati centinaia di account verificati VIPS per diffondere una truffa


C'è chi già parla del più grave attacco hacker nella storia del social: per raccontare i crudi fatti , centinaia di profili Twitter verificati, tra i quali quelli di molti VIP come Barack Obama, Elon Musk, Bill Gates, Jeff Bezos ma anche aziende come Apple, Uber e Coinbase hanno iniziato a pubblicare tweet riguardanti una truffa su scala globale. 

I tweet erano tutti simili, con pochissime varianti tra loro: uno schema già usato in precedenza che si chiama Give Away. L'attaccante utilizza varie tecniche di ingegneria sociale per convincere i possessori di criptovaluta a inviare una certa quantità di denaro per poterne ricevere in cambio una quantità maggiore offerta da una celebrità. Questo piccolo anticipo viene giustificato dal fatto che occorre una prima transazione da parte dell'utente per poter verificare l'indirizzo del suo portafoglio. Se un utente si convince ed esegue questa transazione non potrà fare nulla per recuperare quanto inviato, poichè le transazioni in criptovaluta sono irreversibili.

E' con questo schema che gli attaccanti hanno raccolto 120.000 dollari in pochissime ore, finchè cioè la truffa è stata attiva. Va detto che la maggior parte delle transazioni sono equivalenti ad 1 dollaro, inviati evidentemente per test, ma la somma totale raccolta rende ancora più chiaro in quanti ci sono caduti: 350 milioni le persone che hanno visualizzato o ricevuto il messaggio fake. 

Il tweet usato in questo schema è visibile sotto, questa la traduzione “Mi sento generoso, raddoppio tutti i pagamenti inviati al mio indirizzo BTC. Voi mi mandate 1.000 dollari e io ve ne mando indietro 2.000! Lo faccio solo per i prossimi 30 minuti“




Dai profili account di noti politici, il testo era leggermente diverso:
“Voglio restituire alla comunità quello che mi ha dato. Tutti i Bitcoin inviati all'indirizzo allegato qui sotto saranno raddoppiati! Se inviate 1.000 dollari, vi manderò 2.000 dollari. Lo faccio solo per 30 minuti“

Oltre agli inviti diretti, era online anche un sito collegato alla truffa, che proponeva lo stesso schema sfruttando il Covid come esca. 


La truffa, va detto, è piuttosto banale, ma già in passato ha dimostrato la sua efficacia. La particolarità, che rende questa più grave di truffe simili già avvenute in precedenza, è il fatto che gli attaccanti non hanno creato profili fake di celebrità, ma hanno usato quelli autentici: in pratica gli hacker hanno superato l'autenticazione a due fattori che la maggior parte di questi account aveva attiva, disattivandola poi dal pannello di amministrazione interno dell'account. Oltre a ciò sono stati modificati gli indirizzi email, così da rendere impossibile per i legittimi proprietari il recupero degli account. 

Twitter ha dichiarato soltanto di avere avviato una indagine per capire cosa sia successo: ad ora si sa soltanto che l'attacco è partito dall'interno, attraverso l'account di un impiegato del social con accesso ai tool di amministrazione aziendali. Il sospetto è che Twitter sia stata presa di mira da un attacco di phishing precedente, tramite il quale gli attaccanti sono riusciti ad ottenere dati e credenziali dell'account dell'impiegato. Questo almeno è quanto fa intendere Twitter, che, in un tweet ha dichiarato: "Abbiamo rilevato quello che crediamo essere un attacco coordinato di ingegneria sociale da parte di persone che hanno preso di mira alcuni dei nostri dipendenti con accesso ai tool di amministrazione interni"

Al di là della truffa in sé, anche nel caso in cui non sia avvenuto nessun attacco esterno ma semplicemente gli attaccanti abbiano corrotto un dipendente, un evento così non può non far riflettere e lanciare un forte allarme. Twitter sta sempre più diventando il social preferito di personaggi molto influenti e potenti, star e politici, imprenditori e giornalisti... immaginiamoci se l'account di Donald Trump venisse hackerato e usato per "dichiarare" guerra alla Cina. Un post di Elon Musk potrebbe invece influire sull'andamento del mercato finanziario... gli esempi sono potenzialmente infiniti. 

In un contesto così delicato, la risposta primaria di Twitter è stata quella di rimuovere i primi messaggi, ma ha poi dovuto rinunciare perchè questi comparivano in numero sempre maggiore col passare dei minuti. Il New York Times ha fatto sapere che, ad un certo punto da Twitter si sono trovati costretti a disabilitare ampie parti del servizio (compreso il blocco dei tweet per tutti gli account verificati), inviando di conseguenza una comunicazione a tutti gli account verificati per informarli sul blocco di parti del servizio e sull'avvio dell'indagine interna. Nel frattempo i titoli dell'azienda crollavano nelle contrattazioni del 3,28% in pochissime ore. 

Le prime indiscrezioni
KrebsOnSecurity ha pubblicato un articolo del suo fondatore Brian Krebs, una vera e propria autorità nel campo della cyber security, nel quale si fa addirittura il nome di un possibile responsabile. Secondo Krebs, l'autore dell'attacco sarebbe PlugWalkJoe del gruppo hacker ChucklingSquad, che già lo scorso anno aveva dimostrato di "saperci fare" con Twitter bucando il profilo del CEO Jack Dorsey. PlugWalkJoe è uno studente britannico 21enne residente attualmente in Spagna. 

La modalità con cui PlugWalkJoe sembra essere riuscito a mettere le mani sugli account è quella definita come SIM swapping, che permette di intercettare la One Time Password inviata col meccanismo di autenticazione a due fattori. 

Ovviamente ad ora il condizionale rispetto a nomi e modalità è d'obbligo, almeno finchè non si concluderanno le indagini: il punto principale, che va ben oltre il chi e come, è il peso assunto dai social non solo nella vita quotidiana ma anche nelle più alte sfere dell'economia, della politica, delle relazioni internazionali. E con un tal peso sulle spalle, un attacco come questo, una truffa banale per raccogliere fondi ha lasciato "il re nudo" per quanto riguarda la sicurezza dei propri sistemi e dei dati degli utenti. C'è da ringraziare che l'attacco sia stati portato a fini di truffa... il tweet sbagliato dall'account sbagliato avrebbe potuto avere ripercussioni mondiali ben più gravi. 

Nessun commento:

Posta un commento