Cuộc Tấn Công Làm Sập Twitter Đang Đánh Nhiều Doanh Nghiệp

Bởi: Minprice.com

26/03/20240like

Khi lực lượng chức năng bắt giữ ba hacker trẻ tại Hoa Kỳ và Anh tháng trước, câu chuyện về vụ hack tồi tệ nhất của hệ thống Twitter dường như đã khép lại một cách gọn gàng. Nhưng thực tế, phương pháp cho phép hacker kiểm soát tài khoản của Joe Biden, Jeff Bezos, Elon Musk và hàng chục người khác vẫn được sử dụng chống lại nhiều nạn nhân đa dạng, trong một loạt các cuộc tấn công bắt đầu trước khi Twitter nổ tung và trong những tuần gần đây đã leo thang thành một làn sóng tội phạm toàn diện.

Vào giữa tháng 7, Twitter tiết lộ rằng hacker đã sử dụng một kỹ thuật gọi là "phone spear phishing," cho phép những kẻ tấn công nhắm vào tài khoản của 130 người, bao gồm các CEO, người nổi tiếng và chính trị gia. Hacker đã thành công kiểm soát 45 trong số những tài khoản đó và sử dụng chúng để gửi các tweet quảng cáo cho một chiêu lừa bitcoin cơ bản. Trong một bài đăng blog sau vụ cố, Twitter mô tả rằng những kẻ tấn công đã gọi điện cho nhân viên Twitter và, sử dụng danh tính giả mạo, đánh lừa họ để tiết lộ thông tin đăng nhập, cung cấp cho chúng quyền truy cập vào một công cụ nội bộ của công ty, giúp chúng đặt lại mật khẩu và cài đặt xác minh hai yếu tố cho các tài khoản người dùng được chọn.

Nhưng Twitter chỉ là một trong những mục tiêu gần đây của "phone spear phishing," còn được biết đến là "vishing," viết tắt của "voice phishing," một hình thức kỹ thuật xã hội. Trong tháng trở lại đây kể từ khi vụ hack Twitter xảy ra, hàng chục công ty—bao gồm ngân hàng, sàn giao dịch tiền điện tử và các công ty lưu trữ web—đã bị nhắm đến bằng cùng bộ công cụ tấn công hacking, theo ba nhà điều tra trong một nhóm ngành công nghiệp an ninh mạng đã cùng các nạn nhân và lực lượng chức năng theo dõi các cuộc tấn công. Như trong vụ hack Twitter, nhân viên của những mục tiêu đó đã nhận cuộc gọi điện từ những kẻ hack giả với danh tính là nhân viên IT để đánh lừa họ nhảy mật khẩu cho các công cụ nội bộ. Sau đó, những kẻ tấn công đã bán quyền truy cập đó cho người khác, người thường sử dụng nó để nhắm vào người dùng có giá trị cao của dịch vụ của công ty—thường nhằm vào việc lấy một lượng lớn tiền điện tử, nhưng đôi khi cũng nhắm đến tài khoản không phải tiền điện tử trên các dịch vụ tài chính truyền thống.

undefined

"Đồng thời với vụ hack Twitter và trong những ngày tiếp theo, chúng tôi thấy sự tăng đột ngột về loại lừa đảo này, lan rộng và nhắm vào nhiều ngành công nghiệp khác nhau," nói Allison Nixon, người đóng vai trò là giám đốc nghiên cứu chính tại công ty an ninh mạng Unit 221b và hỗ trợ FBI trong cuộc điều tra về vụ hack Twitter. "Tôi đã thấy một số điều đáng lo ngại trong vài tuần qua, các công ty bị xâm nhập mà bạn không nghĩ rằng chúng là mục tiêu dễ bị tấn công. Và nó đang xảy ra lặp đi lặp lại, như là các công ty không thể ngăn chúng ra khỏi."

Mở Rộng Phạm Vi

Như trong vụ hack Twitter, những người thực hiện không có vẻ là những hacker do nhà nước hoặc tổ chức tội phạm mạng nước ngoài, mà là những hacker trẻ, nói tiếng Anh, tổ chức trên các diễn đàn như trang web OGUsers.com và dịch vụ trò chuyện Discord, theo Zack Allen, giám đốc tình báo đe dọa tại công ty an ninh ZeroFox, người cũng đã làm việc với nhóm ngành theo dõi các vụ cố. Anh ta nói anh ta đã bị sốc bởi mức độ nghiên cứu mà những hacker đã đầu tư vào kỹ thuật kỹ thuật xã hội của họ, lục giác LinkedIn và sử dụng các công cụ thu thập dữ liệu khác để vẽ sơ đồ tổ chức của công ty, tìm nhân viên mới và không kinh nghiệm—một số người thậm chí bắt đầu ngày làm việc đầu tiên của họ—và thuyết phục giả mạo nhân viên IT để lừa họ.

"Tôi chưa bao giờ thấy cái gì như thế này trước đây, không có gì đặc biệt nhắm mục tiêu như vậy," nói Allen. Anh ta cảnh báo rằng các chiến thuật của những kẻ tấn công đã rất hiệu quả, có thể chỉ là vấn đề thời gian cho đến khi chúng được áp dụng bởi các nhóm ransomware nước ngoài hoặc thậm chí là những hacker do nhà nước thuê đơn giản làm các cuộc gọi điện thoại đến những người lừa đảo bằng tiếng Anh. "Nó giống như bạn mong đợi từ một đội ngũ chuyên gia tình báo xây dựng hồ sơ và thực hiện các cuộc tấn công, nhưng tất cả dường như đều được thực hiện bởi thanh niên trên Discord."

Một nhân viên an ninh tại một tổ chức bị nhắm đến, người yêu cầu MINPRICE không sử dụng tên của anh ấy hoặc xác định nhà tuyển dụng của anh ấy, mô tả một cách tiếp cận rộng lớn hơn: Ít nhất ba người gọi điện thoại dường như đang đi qua danh bạ của công ty, thử nghiệm hàng trăm nhân viên trong vòng chỉ 24 giờ. Người đứng đầu tổ chức cho biết tổ chức không bị xâm nhập, nhờ một cảnh báo mà công ty đã nhận được từ một mục tiêu khác của chiến dịch tấn công hacking này và chuyển đến nhân viên của mình trước các nỗ lực tấn công. "Họ chỉ cứ tiếp tục thử nghiệm. Đó là một trò chơi con số," ông nói. "Nếu chúng tôi không có thông báo một hoặc hai ngày, có thể đã là một câu chuyện khác."

Lừa Đảo Dựa Trên Điện Thoại

Việc hack Twitter sử dụng những phương pháp kỹ thuật xã hội dựa trên điện thoại giống như cách những kẻ lừa đảo đã mở rộng danh sách mục tiêu của họ ngoài các công ty viễn thông, theo Unit 221b's Nixon. Cô nghĩ rằng mặc dù điều này có thể là do các nhà cung cấp điện thoại gia cố phòng thủ của họ chống lại SIM swap, nhưng có khả năng là do các công ty đang trở nên mới mẻ dễ tổn thương hơn trong đại dịch Covid-19. Với rất nhiều công ty chuyển động nhanh chóng sang làm việc từ xa, cô nói, kỹ thuật xã hội dựa trên điện thoại đã trở nên mạnh mẽ hơn nhiều.

Những hacker cùng một nhóm đã rèn luyện kỹ năng của họ chống lại các công ty viễn thông đã tìm thấy các ngành công nghiệp khác không chuẩn bị tốt cho những chiêu trò của họ, Nixon nói. "Đột nhiên bạn có những người đã được đào tạo cao, hiệu quả, hiệu quả và có tổ chức, đột nhiên tấn công một loạt các mục tiêu dễ bị tổn thương," cô nói. "Và đó có lẽ là một lý do lớn tại sao có một vấn đề lớn ngay bây giờ."

Mặc dù có vẻ như những kẻ tấn công tham gia còn trẻ, Nixon nói rằng những cuộc tấn công đang diễn ra có vẻ được phối hợp tốt, với nhiều đồng phạm làm việc cùng nhau và thuê các hacker độc lập cung cấp các dịch vụ chuyên biệt từ tìm hiểu cho đến lồng tiếng. "Cần một người có kinh nghiệm về kỹ thuật xã hội qua điện thoại, trả lương tốt," một thành viên diễn đàn OGUser viết vào tháng 3 với tên "biggas," như đã được ghi lại trong một bộ sưu tập các tin nhắn OGUser rò rỉ trên Telegram vào tháng 4. "Tìm kiếm một vị thần kỹ thuật xã hội đến từ Hoa Kỳ và có một giọng nói rõ ràng và bình thường. Không có trẻ con," người dùng cũng viết vào tháng 11.

Lừa Đảo Dựa Trên Điện Thoại

Trong các cuộc gọi kỹ thuật xã hội với nạn nhân, bao gồm cả một cuộc gọi đã được MINPRICE xem xét, những kẻ hack thường sử dụng dịch vụ VoIP cho phép họ làm giả số điện thoại của mình. Họ cố gắng xây dựng sự tin tưởng với nạn nhân bằng cách tham chiếu đến dữ liệu dường như riêng tư như vai trò của nạn nhân trong công ty, ngày bắt đầu làm việc, hoặc tên của đồng nghiệp của họ. Trong một số trường hợp, họ thậm chí sẽ yêu cầu nạn nhân xác nhận rằng họ là một IT "thực sự", đề xuất họ tra cứu danh tính giả mạo của họ trong danh bạ của công ty hoặc phần mềm hợp tác của nó. Khi nạn nhân có vẻ đã tin, họ yêu cầu họ di chuyển đến địa chỉ trang đăng nhập giả mạo—thường là cho một cổng thông tin đăng nhập duy nhất như Duo hoặc Okta—và nhập thông tin đăng nhập của mình.

Thành viên khác của nhóm hacker ngay lập tức có được những chi tiết đó và nhập chúng vào trang đăng nhập thực sự. Trang đăng nhập thực sự sau đó yêu cầu nạn nhân nhập mã xác minh hai yếu tố của họ. Khi người dùng bị đánh lừa khi gõ mã vào trang web giả mạo, nó cũng được truyền đến hacker thứ hai, người nhập nó vào trang đăng nhập thực sự, cho phép họ hoàn toàn kiểm soát tài khoản. Trang web lừa đảo của hacker cho phép giả mạo đó, khác với loại thường liên kết trong email lừa đảo, thường chỉ được tạo ra cho cuộc gọi điện thoại cụ thể đó và sau đó được gỡ xuống ngay sau khi những kẻ hack đánh cắp thông tin đăng nhập của nạn nhân. Trang web biến mất và thiếu bằng chứng qua email khiến cho kỹ thuật xã hội dựa trên điện thoại thường khó phát hiện hơn so với lừa đảo truyền thống.

"Họ thấy một lừa đảo và họ nhấn vào nút báo cáo đó. Tôi có thể có một tỷ lệ báo cáo lừa đảo khoảng 12 hoặc 15 phần trăm, điều này thực sự có thể làm tôi ngưng hoạt động," nói Rachel Tobac, CEO của SocialProof Security, một công ty kiểm tra khả năng tổn thương của khách hàng đối với các cuộc tấn công kỹ thuật xã hội. Nhưng cô nói cô có thể thực hiện cuộc gọi lừa đảo đến 50 người tại một công ty mục tiêu trong một tuần, và không ai báo cáo chúng. "Mọi người không biết rằng nó đã xảy ra. Họ nghĩ rằng trong suốt thời gian họ đang nói chuyện với một người hỗ trợ kỹ thuật," Tobac nói. "Vishing luôn luôn tránh được theo dõi và sẽ tiếp tục làm như vậy."

Ngăn chặn bộ sưu tập mới nổi của các cuộc tấn công vishing sẽ đòi hỏi các công ty đào tạo nhân viên của họ để phát hiện người gọi lừa đảo, hoặc sử dụng các mã thông báo FIDO như Yubikeys cho xác minh hai yếu tố. Thay vì một mã có thể bị đánh cắp ngay lập tức bởi một hacker, những chiếc USB dongles đó phải được cắm vào cổng USB của bất kỳ máy mới nào khi một người dùng muốn truy cập vào tài khoản của họ. Nixon khuyến khích các công ty thậm chí còn sử dụng các hệ thống an ninh yêu cầu một chứng chỉ phần mềm cụ thể phải có mặt trên máy người dùng để họ có thể truy cập tài khoản từ xa, chặn tất cả các máy khác. "Các công ty không áp dụng kiểm tra phần cứng hoặc kiểm tra chứng chỉ đó, đó là những công ty đang bị tấn công rất nặng lúc này," Nixon nói.

Nhân viên an ninh tại một công ty đã bị những kẻ gọi điện lừa đảo nói rằng hiện tại, sự yếu đuối của các công ty trước kỹ thuật xâm nhập mới này chưa được đánh giá mức độ nghiêm trọng đủ—và khi những hacker già hơn, có tổ chức và được tài trợ tốt hơn nhìn thấy cách mà chiến thuật đó trở nên hiệu quả, danh sách nạn nhân sẽ chỉ mở rộng. "Chuyện gì xảy ra khi những diễn viên lớn tham gia vào đây? Nó sẽ kết thúc ở đâu?" anh ta nói. "Twitter chỉ là vấn đề nhỏ nhất của chúng ta."