Twitter diz que hackers obtiveram acesso a usuários enganando funcionários por telefone

O Twitter diz que os hackers responsáveis ​​por uma recente violação de alto perfil enganaram os funcionários da empresa de mídia social para lhes dar acesso por telefone.

A empresa revelou mais alguns detalhes sobre o hack no início deste mês, que, segundo ele, visa “um pequeno número de funcionários através de um ataque de phishing por telefone”.

“Esse ataque se baseou em uma tentativa significativa e concertada de enganar certos funcionários e explorar vulnerabilidades humanas para obter acesso aos nossos sistemas internos”, twittou a empresa.

O embaraçoso ataque de 15 de julho comprometeu as contas de alguns de seus usuários mais famosos, incluindo o CEO da Tesla, Elon Musk, e as celebridades Kanye West e sua esposa, Kim Kardashian West, em uma aparente tentativa de atrair seus seguidores a enviar dinheiro para uma conta anônima do Bitcoin. .

Kim Kardashian West estava entre os alvos (Jennifer Graylock / PA) “>

Depois de roubar as credenciais dos funcionários e entrar nos sistemas do Twitter, os hackers conseguiram atingir outros funcionários que tinham acesso a ferramentas de suporte a contas, informou a empresa.

Os hackers segmentaram 130 contas. Eles conseguiram twittar de 45 contas, acessar as caixas de entrada de mensagens diretas de 36 e baixar os dados do Twitter de sete. O parlamentar holandês Geert Wilders, anti-islâmico, disse que sua caixa de entrada estava entre os acessados.

O spear-phishing é uma versão mais direcionada do phishing, um golpe de personificação que usa email ou outras comunicações eletrônicas para enganar os destinatários a entregar informações confidenciais.

O Twitter disse que forneceria um relatório mais detalhado posteriormente “dada a investigação em andamento”.

A empresa havia dito anteriormente que o incidente foi um “ataque de engenharia social coordenado” que visava alguns de seus funcionários com acesso a sistemas e ferramentas internos. Ele não forneceu mais informações sobre como o ataque foi realizado, mas os detalhes divulgados até o momento sugerem que os hackers começaram a usar o método antiquado de se defender da segurança.

O analista britânico de segurança cibernética Graham Cluley disse que seu palpite é que um funcionário ou contratado do Twitter recebeu uma mensagem por telefone pedindo que ligassem para um número.

“Quando o trabalhador ligou para o número, ele poderia ter sido levado a um operador de assistência técnica convincente (mas falso), que foi capaz de usar técnicas de engenharia social para induzir a vítima a entregar suas credenciais”, escreveu Clulely em seu blog. Sexta-feira.

Também é possível que os hackers fingissem ligar da linha de ajuda legítima da empresa falsificando o número, disse ele.