Les pirates de Twitter ont incité les employés à abandonner leurs identifiants VPN

Les attaquants qui ont piraté Twitter en juillet ont fait semblant d’appeler le service informatique de Twitter au sujet d’un problème de VPN, puis ont persuadé les employés de saisir leurs informations d’identification sur un site Web qui ressemblait au vrai site de connexion VPN.

Les affirmations des pirates étaient crédibles – et couronnées de succès – car les employés de Twitter utilisaient tous des connexions VPN pour travailler et rencontraient régulièrement des problèmes VPN nécessitant une assistance informatique, selon un rapport du New York Department of Financial Services (NYDFS).

Les pirates de Twitter semblent également avoir mené des recherches pour identifier les fonctions de base et les titres des employés de Twitter afin qu’ils puissent mieux se faire passer pour le service informatique de Twitter. NYDFS dit que les conversations pendant les appels de vishing peuvent avoir fourni plus d’informations sur les opérations internes de Twitter. Armés de ces informations personnelles, les pirates ont convaincu plusieurs employés de Twitter qu’ils appartenaient au service informatique de la société de médias sociaux et ont volé des informations d’identification.

Le NYDFS a réalisé un rapport détaillé car, en plus de reprendre les comptes Twitter de Barack Obama, Kim Kardashian West, Jeff Bezos et Elon Musk, les pirates ont infiltré les comptes Twitter de plusieurs sociétés de crypto-monnaie réglementées par NYDFS.

«Il est en effet décevant de voir à quoi Twitter et le reste d’entre nous sommes confrontés en termes de menaces à la sécurité de l’information», a déclaré Chris Howell, cofondateur et directeur technique de Wickr. «Les auteurs de cette affaire n’avaient pas plus besoin d’être des hackers que les carjackers ne devaient être des mécaniciens. Pourtant, la plupart des entreprises dépensent la part du lion de leur budget de sécurité de l’information pour contrer les menaces plus techniques. Cet incident devrait nous inciter à remettre en question cet équilibre dans nos propres programmes. »

Heather Paunet, vice-présidente senior chez Untangle, a déclaré que de nombreuses entreprises et organisations ont rencontré des problèmes similaires liés aux transitions des employés vers le travail à distance et la connectivité VPN ou réseau.

«Cela peut arriver pour de nombreuses raisons», dit-elle. «La plupart des employés n’utilisaient pas beaucoup de VPN auparavant» car il s’agissait d’une «technologie étendue généralement à des groupes spécifiques au sein de l’entreprise, tels que les dirigeants ou les groupes informatiques».

Mais lorsque tout le monde a commencé à travailler à domicile alors que la pandémie se propageait, «des problèmes ont commencé à se produire en raison du manque de familiarité et du manque de compréhension du VPN par le reste de la main-d’œuvre», a déclaré Paunet. «Par exemple, les membres de l’équipe financière, s’ils ne travaillent pas régulièrement à domicile, devront adopter et se former à se connecter au réseau via VPN maintenant qu’ils sont à distance.»

Hank Schless, senior manager, solutions de sécurité chez Lookout, ajoute qu’avec des organisations entières travaillant à distance en raison de la pandémie, se faire passer pour un membre de l’équipe informatique est devenu un moyen effronté mais efficace pour les auteurs de menaces d’hameçonner les informations d’identification des employés.

«Faire partie de l’équipe informatique place les attaquants dans un rôle avec plus d’autorité et de crédibilité que le phishing traditionnel», a déclaré Schless. «Le travail à distance augmente les chances de succès de l’attaquant car l’employé cible ne peut pas marcher dans le couloir pour valider la communication avec un autre membre de l’équipe. “

Schless a conseillé aux employés de toujours valider toute personne qui dit être membre d’une équipe interne, surtout si elle demande des informations de connexion. Il dit qu’il est extrêmement important aujourd’hui pour les entreprises de former leurs employés sur la façon de détecter ces tentatives de phishing, d’autant plus qu’ils travaillent plus à distance et sur des appareils mobiles.