天创培训:您身边的信息安全培训专家!
行业动态
黑客对Twitter员工使用电话钓鱼访问内部工具

一名Twitter员工被骗进行了电话钓鱼,黑客得以进入该公司的内部支持工具,并侵入经过验证的账户。

本月早些时候,我们报道了包括巴拉克·奥巴马、金·卡戴珊、乔·拜登和比尔·盖茨在内的名人的Twitter账户被加密者劫持,从而发起比特币骗局。骗子们能赚到8万英镑/ 10万美元。

对该事件更详细的分析揭示了令人震惊的新细节,即账户是如何遭到如此大规模的黑客攻击的。Twitter在一篇博客文章中发布了这条信息,以确认事故原因:

该社交工程发生在2020年7月15日,通过电话鱼叉式网络钓鱼攻击,目标是一小部分员工。利用可以使用这些工具的员工的身份,攻击者锁定了130个推特账户,最终45个推特账户,36个进入DM收件箱,并下载了7个账户的推特数据。”

 据报道,针对推特员工的鱼叉式钓鱼攻击和幽默错误是导致推特主要账户大量被黑客攻击的原因,这个社交网络巨头已经证实了这一点。

这些员工通过手机成为目标。该攻击允许骗子从名人的官方蓝标记账户发布推文,并进入他们账户的直接信息部分。

整个事件凸显出该公司是如何让员工广泛访问用户账户的。该公司已承诺改善其权限和流程,以防止类似事件的发生。

 Twitter指出,只有一小部分员工是攻击者的目标,他们没有访问内部支持工具,但可以访问内部网络和系统。在获得认证后,攻击者可以访问Twitter的内部网络,并执行他们计划的下一阶段,其中包括针对拥有账户控制权限的员工。

 该公司透露,这次始于7月16日的攻击是一次精心策划的劫机行动,由老练的骗子实施。在回应Twitter给予员工广泛访问权限的指控时,该公司表示:

这些工具的使用受到严格限制,只有正当的商业理由才允许使用。我们对滥用证书或工具采取零容忍态度,积极监控滥用情况,定期审核权限,如果任何人在没有正当商业理由的情况下访问账户信息,我们将立即采取行动。”

 黑客,推特,钓鱼

 该公司声称已经“显著限制”其员工访问其内部工具,以确保用户帐户的最大安全。调查仍在进行中,Twitter也在继续投资于增强的安全协议、机制和技术。

(来源:HackRead)