Όταν οι αρχές συνέλαβαν τρεις νεαρούς hackers στις ΗΠΑ και το Ηνωμένο Βασίλειο, για το μεγάλο hack του Twitter, πολλοί πίστεψαν ότι η υπόθεση έκλεισε. Ωστόσο, καθώς φαίνεται, η phishing τεχνική που επέτρεψε στους hackers να πάρουν τον έλεγχο των λογαριασμών των Joe Biden, Jeff Bezos, Elon Musk και δεκάδων άλλων διάσημων προσωπικοτήτων εξακολουθεί να χρησιμοποιείται ενάντια σε πολλές άλλες εταιρείες.
Στα μέσα Ιουλίου, το Twitter αποκάλυψε ότι οι hackers χρησιμοποίησαν μια τεχνική που ονομάζεται “phone spear phishing”, η οποία επέτρεψε στους επιτιθέμενους να στοχεύουν λογαριασμούς 130 ατόμων, συμπεριλαμβανομένων CEO, διασημοτήτων και πολιτικών. Σύμφωνα με το Twitter, οι hackers κάλεσαν τους υπαλλήλους του Twitter και, χρησιμοποιώντας ψεύτικες ταυτότητες, τους εξαπάτησαν και τους έκαναν να δώσουν τα credentials τους, αποκτώντας πρόσβαση σε ένα εσωτερικό εργαλείο της εταιρείας που τους επέτρεψε να επαναφέρουν τους κωδικούς πρόσβασης και τις ρυθμίσεις ελέγχου ταυτότητας δύο παραγόντων των στοχευμένων λογαριασμών.
Ωστόσο, το Twitter δεν είναι ο μόνος στόχος του “phone spear phishing”, ή όπως αλλιώς είναι γνωστό “vishing” ή “voice phishing”. Αυτή η τεχνική αποτελεί ουσιαστικά μια μορφή social engineering. Από τον περασμένο μήνα, δεκάδες εταιρείες – συμπεριλαμβανομένων τραπεζών, exchange υπηρεσιών και web hosting εταιρειών– έχουν στοχευτεί με την ίδια τεχνική. Όπως και στο Twitter hack, οι υπάλληλοι αυτών των εταιρειών έλαβαν τηλεφωνικές κλήσεις από hackers που παρουσιάζονταν ως προσωπικό IT και ζητούσαν κωδικούς πρόσβασης για εσωτερικά εργαλεία. Στη συνέχεια, οι επιτιθέμενοι πουλούσαν αυτήν την πρόσβαση σε άλλους που τη χρησιμοποιούσαν για να στοχεύσουν χρήστες υψηλού προφίλ. Βασικός στόχος ήταν η κλοπή cryptocurrencies.
“Ταυτόχρονα με το Twitter hack και κατά τις επόμενες μέρες, είδαμε μεγάλη αύξηση αυτού του τύπου phishing σε πολλές διαφορετικές βιομηχανίες”, λέει η Allison Nixon, ερευνήτρια ασφαλείας στην Unit 221b.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/260123/twitter-hack-prosoxh-idia-phishing-texnikh-stoxeyei-dekades-etaireies/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:07fd69adae3149f7d273fa8cfd8c92f9/https://www.secnews.gr/phishing.jpg&description="Ταυτόχρονα με το Twitter hack και κατά τις επόμενες μέρες, είδαμε μεγάλη αύξηση αυτού του τύπου phishing σε πολλές διαφορετικές βιομηχανίες){kind=link}
Όπως και στο Twitter hack, οι δράστες φαίνεται να είναι νέοι, αγγλόφωνοι hackers που οργανώνονται σε φόρουμ όπως η ιστοσελίδα OGUsers.com και η υπηρεσία συνομιλίας Discord, λέει ο ερευνητής Zack Allen. Ο ερευνητής λέει ότι έχει σοκαριστεί από την έρευνα που έκαναν οι hackers και τις προσεκτικές κινήσεις τους για να βρουν άπειρους υπαλλήλους και να έχουν περισσότερες πιθανότητες επιτυχίας.
“Δεν έχω ξαναδεί κάτι τέτοιο στο παρελθόν, τίποτα τόσο στοχευμένο”, λέει ο Allen. Προειδοποιεί ότι η τακτική των hackers ήταν τόσο αποτελεσματική, που είναι θέμα χρόνου να υιοθετηθεί από ομάδες ransomware και κρατικούς hackers. Το πιο ανησυχητικό είναι ότι οι επιθέσεις δεν γίνονται από επαγγελματίες άλλα από εφήβους.
Το “phone spear phishing” είναι μια σχετικά νέα πρακτική για τους hackers. Μέχρι πρόσφατα, οι επιθέσεις που σχετίζονταν με τηλέφωνα επικεντρώνονταν κυρίως σε “SIM swap” επιθέσεις, που εκμεταλλεύονται εταιρείες τηλεπικοινωνιών.
Με την αύξηση της απομακρυσμένης εργασίας, το social engineering που βασίζεται στο τηλέφωνο, έχει γίνει πιο ισχυρό.
Οι ίδιοι hackers που έχουν βελτιώσει τις δεξιότητές τους έναντι των εταιρειών τηλεπικοινωνιών, βρήκαν άλλες βιομηχανίες που είναι λιγότερο καλά προετοιμασμένες για τα κόλπα τους, λένε οι ερευνητές.
Παρά το νεαρό της ηλικίας των hackers, η Nixon λέει ότι οι συνεχιζόμενες επιθέσεις φαίνεται να είναι καλά συντονισμένες και εμπλέκονται πολλοί hackers. Επιπλέον, οι δράστες προσλαμβάνουν ανεξάρτητους hackers που προσφέρουν εξειδικευμένες υπηρεσίες για φωνητικές απάτες. Στα φόρουμ υπάρχουν τέτοιες αγγελίες για τη εύρεση των κατάλληλων ανθρώπων.
Στις περισσότερες περιπτώσεις, οι hackers χρησιμοποιούν μια VoIP υπηρεσία, που τους επιτρέπει να κρύψουν τον αριθμό του τηλεφώνου τους. Προσπαθούν να κάνουν το θύμα να τους εμπιστευτεί, αναφέροντας φαινομενικά ιδιωτικά δεδομένα, όπως το ρόλο του θύματος στην εταιρεία ή ονόματα των συναδέλφων τους κλπ. Όταν το θύμα έχει πειστεί, του ζητούν να μεταβεί σε μια ψεύτικη σελίδα σύνδεσης για να εισαγάγει τα credentials του.
Ένα άλλο μέλος της hacking ομάδας λαμβάνει αμέσως αυτά τα στοιχεία και τα βάζει στην πραγματική σελίδα σύνδεσης. Στη συνέχεια, η πραγματική σελίδα σύνδεσης ζητά από το θύμα να εισαγάγει τον κωδικό ταυτότητας δύο παραγόντων. Ο χρήστης πληκτρολογεί αυτόν τον κωδικό στον ψεύτικο ιστότοπο και ο hacker παίρνει τον κωδικό και τον βάζει στην πραγματική σελίδα. Έτσι αποκτά πρόσβαση στο λογαριασμό του θύματος. Το ψεύτικο site καταργείται αμέσως μετά την κλοπή των credentials του θύματος. Η κατάργηση του site και η τεχνική του phone spear phishing δεν αφήνουν ίχνη της επίθεσης και έτσι είναι πιο δύσκολο να εντοπιστεί. Οι υπάλληλοι δεν καταλαβαίνουν σχεδόν ποτέ ότι μιλούν με κάποιο απατεώνα. Δεν είναι όπως τα phishing emails που μπορεί να γίνουν αντιληπτά.
Οι εταιρείες θα πρέπει να εκπαιδεύσουν τους υπαλλήλους τους για να εντοπίζουν ύποπτα τηλεφωνήματα ή να χρησιμοποιούν FIDO tokens όπως το Yubikeys για έλεγχο ταυτότητας δύο παραγόντων. Αυτά τα USB dongles πρέπει να συνδέονται στη USB θύρα οποιουδήποτε νέου μηχανήματος, όταν ένας χρήστης θέλει να αποκτήσει πρόσβαση στους λογαριασμούς του. Η Nixon προτείνει, επίσης, τη χρήση συστημάτων ασφαλείας που απαιτούν να υπάρχει ένα συγκεκριμένο πιστοποιητικό λογισμικού στο μηχάνημα ενός χρήστη για την απόκτηση πρόσβασης σε λογαριασμούς από απόσταση, αποκλείοντας όλους τους άλλους.
Επομένως, χρειάζεται μεγάλη προσοχή γιατί αν αυτή η τεχνική χρησιμοποιηθεί από έμπειρους ή κρατικούς hackers, τα προβλήματα θα είναι ακόμα μεγαλύτερα.