Les pirates qui ont détourné 130 comptes Twitter, dans le cadre d'une escroquerie de cryptomonnaie au début du mois ont utilisé une attaque de type phishing par téléphone pour obtenir les informations d'identification des employés, a déclaré Twitter dans son blog jeudi dernier, qui par ailleurs précise que : le 15 juillet, les pirates ont agi rapidement, en utilisant le phishing par téléphone comme première étape pour accéder aux informations d'identification de Twitter nécessaires pour pirater des comptes et publier leurs messages frauduleux .« Il est plus difficile de repérer une tentative de phishing sur un téléphone mobile en raison du petit écran, de l'incapacité de voir l'URL complète dans le navigateur mobile et du manque de connaissances sur la façon de prévisualiser en toute sécurité où un lien vous envoie avant de cliquer », a déclaré Hank Schless, directeur principal des solutions de sécurité de la société de sécurité mobile Lookout.
En effet, les pirates ont utilisé un processus en plusieurs étapes, piratant les différents niveaux d'accès-employés pour obtenir les identifiants de connexion au réseau interne de Twitter, puis s'emparant des identifiants de niveau administrateur nécessaires pour accéder aux outils de support interne disponibles pour quelques employés seulement, note l'entreprise dans son nouveau rapport. « Tous les employés qui étaient initialement visés n'avaient pas l'autorisation d'utiliser les outils de gestion de compte, mais les pirates ont utilisé leurs identifiants pour accéder à nos systèmes internes et obtenir des informations sur nos processus », a déclaré Twitter.
Les acteurs malveillants ont utilisé ces identifiants pour accéder à plus de 130 comptes, puis ils ont tweeté à partir de 45 d'entre eux. Les pirates ont également accédé aux boîtes de réception des messages directs de 36 comptes et ont téléchargé les données Twitter de sept d'entre eux, selon l'entreprise. Parmi les comptes réquisitionnés figuraient ceux du fondateur de Microsoft Bill Gates, de l'entrepreneur Elon Musk, du législateur néerlandais Geert Wilders et du candidat démocrate présumé à la présidence Joe Biden. Les pirates ont utilisé ces comptes pour mener une campagne effrontée destinée à solliciter de l'argent auprès des adeptes imprudents des titulaires des comptes piratés.
Environ 360 personnes sont tombées dans le piège de l'escroquerie, et ont envoyé un total de plus de 120 000 dollars aux pirates informatiques, selon les médias. Twitter envisage à ce jour de fournir les outils et les niveaux d'accès requis pour accéder aux comptes encore plus sophistiqués afin d'aider à prévenir d'autres attaques de pirates. Le géant des médias sociaux note que ses équipes mondiales ont besoin de ces niveaux d'accès pour fournir une assistance et examiner les contenus.
Charles Ragland, ingénieur en sécurité chez Digital Shadows, a expliqué à Information Security Media Group que les employés doivent être formés pour se méfier des courriels ou des appels téléphoniques qu'ils n'attendent pas, et qu'une entreprise doit avoir des politiques de sécurité faciles à suivre pour signaler les incidents afin qu'ils puissent faire l'objet d'une enquête appropriée.
« Bien que Twitter affirme que ces outils sont fortement contrôlés et limités à des cas d'utilisation spécifiques, cela montre que les contrôles techniques ne peuvent pas tout arrêter », a expliqué M. Ragland. « La vulnérabilité humaine sera toujours un point faible dans toute stratégie d'atténuation des risques. La mise en place d'une culture de sensibilisation à la sécurité sur le lieu de travail peut contribuer à réduire ces risques ».
Source : Twitter
Et vous ?
Avez-vous un compte Twitter ? Avez-vous été affecté par ce piratage ? Avez-vous reçu le message des pirates demandant de la cryptomonnaie ? Les grandes enseignes de médias sociaux comme Facebook gagneraient-elles à s'inspirer de cet incident pour renforcer la sécurité de leurs systèmes ?Voir aussi
Environ 130 comptes ont été ciblés lors du piratage de Twitter. Les mots de passe de 45 de ces comptes ont été réinitialisés La technique très simple qui a permis de pirater le compte Twitter de Jack Dorsey, pour ensuite envoyer des tweets racistes à plus de 4 millions de personnes avant d'être sécurisé L'armée électronique syrienne pirate le compte Twitter du quotidien français « Le Monde », après avoir infiltré son outil de publication Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA Twitter informe qu'il pourrait avoir utilisé des données d'utilisateurs sans permission pour de la publicité, à cause d'une faille de sécurité