Il cyber attacco a Twitter è stato uno degli eventi più interessanti e, al tempo stesso, disruptive del 2020. Se le intrusioni nelle reti aziendali e gli attacchi cyber che minano la produttività e causano danni ingenti purtroppo abbastanza frequenti, il caso Twitter dimostra quanto un hack possa essere distruttivo anche senza furto di dati o compromissione dell’operatività di un’azienda.
Cyber attacco a Twitter, ovvero un bitcoin scam
Brevemente, i fatti. Il 15 luglio 2020, 130 account Twitter di alto profilo (verificati) vennero usati dai malintenzionati per attuare un bitcoin-scam. Usando gli account compromessi, gli hacker chiesero ai follower il pagamento di una qualsiasi somma di denaro verso un wallet Bitcoin, con la promessa di restituirla raddoppiata al fine di supportare persone e famiglie nella gestione dei problemi economici indotti dalla pandemia.
I messaggi vennero prima pubblicati su account di noti operatori di criptovalute come Coinbase, CoinDesk e Binance, poi da profili personali e aziendali con un seguito immenso come Barack Obama, Joe Biden, Bill Gates, Jeff Bezos, Apple e Uber.
Nonostante l’intervento tempestivo di Twitter nella rimozione dei messaggi – cui fece seguito il blocco temporaneo di buona parte degli account verificati – si stima che circa 200.000 dollari abbiano raggiunto i diversi wallet indicati dagli scammer e poi siano stati fatti transitare da un account all’altro account per mascherare l’identità dei beneficiari finali.
La dinamica dell’attacco e il social engineering
Nonostante esistano ancora dei nodi da sciogliere, il caso Twitter ha avuto una copertura mediatica enorme, da cui una quantità di informazioni di molto superiore rispetto alla media degli altri eventi di sicurezza.
Tra informazioni ufficiali e indagini indipendenti, la certezza è che i malintenzionati abbiano acquisito il controllo di account dotati di privilegi di amministrazione, abbiano modificato le credenziali di circa 130 profili di alto livello e poi postato in nome e per conto loro.
Twitter stessa ha spiegato le dinamiche confermando l’impiego del social engineering, e in particolare di una tecnica sofisticata di phone spear phishing attack in due fasi:
- La prima rivolta a ottenere l’accesso ad account di dipendenti privi di autorizzazioni amministrative.
- La seconda – sempre intrisa di social engineering – per effettuare un’escalation verso gli utenti autorizzati, preventivamente identificati su Linkedin.
Approfittando dello smart working indotto dal Covid, pare che i malintenzionati abbiano creato un’interfaccia (fasulla) di login alla VPN e fatto in modo che i dipendenti Twitter inserissero lì le credenziali e anche il codice di autorizzazione necessario per la strong authentication.
Cyber attacco a Twitter, attenzione alla reputation
Abbiamo già detto che il cyber attacco a Twitter ha delle caratteristiche che lo differenziano dalla media. Tra queste, il fatto di essere stato contestualmente uno dei più clamorosi in assoluto e anche uno dei meno costosi in termini economici diretti.
Ma c’è un fattore da prendere in considerazione: la brand reputation, che qui ha una doppia valenza perché si rivolge sia a Twitter che agli account compromessi, molti dei quali non solo sono seguiti da milioni di persone, ma anche in grado di influenzare dinamiche di business, mercati finanziari e assetti politici con solo 2 righe di testo. Inoltre, l’hack avvenne a pochi mesi di distanza dalle elezioni presidenziali americane e alimentò il dibattito sul ruolo dei social media rispetto ad eventi di tale portata e alla loro capacità di indirizzare l’opinione pubblica.
Dal punto di vista della sicurezza informatica non c’è dubbio che l’attacco cyber a Twitter si trovi molto in alto nella classifica delle lessons learned, soprattutto in funzione della complessità della dinamica e dell’efficacia del social engineering.
Ciò che è accaduto a Twitter deve sensibilizzare le aziende di tutto il mondo, soprattutto quelle che hanno un impatto su milioni di persone, relativamente al ruolo sinergico della protezione tecnica (in questo caso, una VPN con multi-factor authentication) e della security awareness, fondamentale per far fronte a tecniche sempre più sofisticate di social engineering, che rientrano perfettamente in quella dinamica di lotta perenne tra attaccanti e attaccati che da un lato favorisce l’innovazione, dall’altro fa sì che le aziende non possano mai abbassare la guardia.
