В ночь с 15 на 16 июля Twitter подвергся массированной хакерской атаке. Специалисты уже назвали взлом, который затронул аккаунты Барака Обамы, Джо Байдена, Илона Маска, Билла Гейтса, Канье Уэста, Майкла Блумберга и Apple, одним из крупнейших в истории соцсети. Киберзлоумышленники использовали учётные записи знаменитостей для проведения мошеннических операций с биткоинами: пользователям предлагали отправить перевод на кошелёк, чтобы получить обратно в два раза большую сумму.
Joe Biden aint even hacked. He just has no idea whats going on and wants to be involved LMFAOOOO pic.twitter.com/y5XVv7rk8l
— 100T Froste (@Froste) July 15, 2020
Одним из первых об акции невиданной щедрости «рассказал» глава Tesla Илон Маск. Чуть позже аналогичным сообщением с идентичным адресом биткоин-кошелька поделился аккаунт соучредителя Microsoft Билла Гейтса. Обе учётные записи продолжали обновляться новыми твитами с мошеннической схемой, пока Twitter удалял старые посты. При этом аккаунт Маска находился под контролем хакеров даже после того, как платформа узнала о взломе.
Пресс-секретарь Гейтса подтвердил, что миллиардер не имеет никакого отношения к твитам.
Следите за развитием событий в нашем Телеграм-канале
NEW â statement from a spokesperson for Bill Gates.
— Teddy Schleifer (@teddyschleifer) July 15, 2020
"We can confirm that this tweet was not sent by Bill Gates. This appears to be part of a larger issue that Twitter is facing. Twitter is aware and working to restore the account.â pic.twitter.com/v37Jvs76Jl
Мы можем подтвердить, что этот твит не был отправлен Биллом Гейтсом. Похоже, это часть более широкой проблемы, с которой сталкивается Twitter. Twitter в курсе неё и работает над восстановлением аккаунта, — говорилось в сообщении.
Вскоре после этого мошеннические сообщения появились на страницах бывшего президента США Барака Обамы, кандидата в президенты от демократов Джо Байдена, генерального директора Amazon Джеффа Безоса, рэп-исполнителя Канье Уэста, бывшего мэра Нью-Йорка и миллиардера Майкла Блумберга, Uber и Apple, которая, к слову, до инцидента не опубликовала ни одного поста.
Под ударом оказались и популярные аккаунты, связанные с криптовалютой: Coinbase, Binance, Coindesk, а также Gemini братьев Уинклвоссов. Один из них рассказал в Twitter, что учётная запись была защищена «двухфакторной аутентификацией и сложным паролем».
ALL MAJOR CRYPTO TWITTER ACCOUNTS HAVE BEEN COMPROMISED.
— Cameron Winklevoss (@winklevoss) July 15, 2020
2FA / strong password was used for @Gemini account. We are investigating and hope to have more information shortly. https://t.co/X3C0uJzc6C
На момент написания материала кошелёк мошенников пополнился на сумму более $117 тысяч. При этом корреспондент BuzzFeed News Райан Мак заметил, что несмотря на то что транзакции проходят, часть средств могли прислать сами киберзлоумышленники — скамеры часто делают переводы на свой счёт, чтобы придать ему подлинности.
It's an actual wallet address and there are transactions happening. It's unclear if these transactions are legit. Scammers often seed their own scams to give them the appearance of authenticity. https://t.co/GUHEDaKNxu pic.twitter.com/xfhl3817xr
— Ryan Mac (@RMac18) July 15, 2020
«Тяжёлый день»
Представители Twitter сообщили, что они знают об «инциденте с безопасностью», уже его расследуют и предпринимают шаги, чтобы всё исправить. Через полчаса после этого заявления разработчики отключили возможность отправлять твиты с верифицированных аккаунтов или менять пароль.
You may be unable to Tweet or reset your password while we review and address this incident.
— Twitter Support (@TwitterSupport) July 15, 2020
Чуть позже ситуацию прояснило издание Motherboard. Его источники рассказали, что в хакерских сообществах обмениваются скриншотами со средствами внутреннего администрирования Twitter, которые якобы и использовались для получения контроля над верифицированными аккаунтами высокого класса. Платформа, в свою очередь, начала удалять компрометирующие изображения, а в некоторых случаях даже приостанавливала действие учётных записей пользователей, которые продолжали делиться находкой.
Эксперт российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов в комментарии NEWS.ru предположил, что судя по количеству единовременно скомпрометированных аккаунтов, злоумышленникам удалось получить доступ к учётным записям через средства внутреннего администрирования.
Сама по себе схема размещения подобных скам-сообщений в верифицированных аккаунтах или в комментариях не новая, однако в этот раз злоумышленникам удалось одновременно дотянуться до большого количества профилей. Получив доступ к аккаунтам, они поменяли всем почты, чтобы настоящие пользователи не могли оперативно вернуть доступ к своим страницам. В момент атаки Twitter оперативно заблокировал все верифицированные аккаунты, чтобы никто не мог в них ничего постить, но сейчас постепенно начинает снимать ограничения.
Спустя несколько часов после начала инцидента Twitter поделился первыми подробностями расследования. Компания назвала взлом скоординированной атакой с помощью методов социальной инженерии, за которую несут ответственность люди, добравшиеся до некоторых сотрудников компании с доступом к внутренним системам и инструментам.
We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. Weâre looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.
— Twitter Support (@TwitterSupport) July 16, 2020
Мы знаем, что они использовали этот доступ, чтобы взять под контроль многие весьма известные (в том числе верифицированные) учётные записи, и публиковали твиты от их имени. Мы изучаем, какую ещё вредоносную деятельность они могли совершить или к какой информации могли получить доступ. Мы будем делиться новыми данными по мере поступления, — отмечается в сообщении.
Глава Марк Дорси уже прокомментировал инцидент. Он назвал взлом «тяжёлым днём» для сотрудников компании и добавил, что все чувствуют себя ужасно из-за произошедшего. Исполнительный директор компании добавил, что сейчас разработчики занимаются диагностикой, и пообещал поделиться всем, чем они смогут, когда у них будет более полное понимание того, что именно произошло.
Туманное будущее
Как пояснил NEWS.ru заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин, ещё один из неочевидных нюансов взлома заключается в том, что атакующие имели полный доступ к аккаунтам, в том числе к Direct Messages. Уже сейчас понятно, что инцидент несёт огромные репутационные, а вслед за этим и финансовые потери для Twitter.
У взлома могут быть куда более серьёзные последствия для пользователей. Так, директор управления информационных технологий ESET Russia Руслан Сулейманов считает, что существует вероятность того, что в Сети могут оказаться личные данные юзеров.
Если говорить про пароли от самих аккаунтов Twitter, вероятность очень мала, так как в любой более-менее серьёзной системе пароли не хранятся в открытом виде, только в зашифрованном, в виде так называемого хеша пароля. Переписки могут быть скомпрометированы, а некоторые пользователи могли утратить доступ к своим аккаунтам, так как административная часть платформы наверняка позволяет изменить пароль на новый для учётных записей.
Эксперт добавил, что есть вероятность того, что утекли данные гораздо большего количества пользователей и злоумышленники после анализа этих данных могут выставить их на продажу в Даркнете. По словам Сулейманова, пострадавшие могут подать судебные иски к платформе и в самом Twitter наверняка произойдёт отток части юзеров.
Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB, в свою очередь, посетовал на то, что люди по-прежнему становятся жертвами подобных мошеннических схем.
Люди всё ещё ведутся на «бесплатный сыр», «акции невиданной щедрости» и не соблюдают цифровую гигиену, ведь очевидно, что любое предложение, пусть со страниц официального аккаунта об удвоении присланной суммы, — это откровенное мошенничество.
В «Лаборатории Касперского» уверены: то, что злоумышленникам удалось реализовать такую крупную атаку, ещё раз доказывает, что социальная инженерия остается одним из самых действенных методов. При этом попасться на уловки мошенников могут даже люди, обладающие цифровой грамотностью.
Конечно, обеспечение кибербезопасности является одним из главных приоритетов для социальных сетей, они прилагают огромные усилия для предотвращения атак каждый день. Однако полностью исключить программные ошибки или человеческий фактор невозможно, из чего следует, что даже подобные платформы могут быть скомпрометированы, — уверен Галов.
Специалисты по кибербезопасности сходятся во мнении, что пользователям не стоит переходить по подозрительным ссылкам в почте, социальных сетях и мессенджерах. Кроме того, нужно скептически относиться к сообщениям о крупном выигрыше или выплате, даже если они опубликованы в официальных Twitter-аккаунтах.
В то же время, как отметил Сулейманов в комментарии NEWS.ru, защититься от такого рода атаки обычному пользователю невозможно, поскольку в самой платформе должны быть заложены механизмы защиты, которые исключают компрометацию клиентских данных.