Vähintään kymmenien tunnettujen ihmisten Twitter -tileihin vaikuttanut hyökkäys vaikuttaa tekotavaltaan siltä, että hyökkääjä tai hyökkääjät ovat pyrkineet maksimoimaan todennäköisyyden saada murrolla rahaa lyhyessä ajassa, kertoo kyberturvallisuuskeskuksen tietoturva-asiantuntija Jan Wikholm.
Esimerkiksi Yhdysvaltojen entisen presidentin Barack Obaman, demokraattien tulevan presidenttiehdokkaan Joe Bidenin, Microsoftin perustajan Bill Gatesin, Teslan toimitusjohtajan Elon Muskin, artisti Kanye Westin ja teknologiajätti Applen nimissä lähetettiin viestejä, jotka levittivät kryptovaluutta bitcoinien lähettämiseen kehottanutta huijausta.
– Uskon, että hyökkääjät ovat tiedostaneet, että nyt on mahdollisuus julkaista todella isolle massalle ihmisiä jokin viesti. Mikä olisi varmin tapa olla jäämättä kiinni ja saada jotain rahallista hyötyä? Tämä bitcoinin käyttö oli ilmeisesti heidän riskiarvionsa mukaan näille rikollisille kannattavin tapa, hän kertoo.
– Varmasti hyökkääjillä oli tiedossa, että kun tämä murto tulee millään tapaa julki, vastatoimet alkavat nopeasti. Muunlainen enemmän tuottoa tavoitteleva rikollinen toiminta vaatisi enemmän aikaa kuin mitä nyt oli käytettävissä.
Wikholm kertoo, että tällaisella pääsyllä olisi voinut myös ohjata käyttäjiä verkkosivustoille, jotka olisivat kaapanneet heidän laitteitaan rikollisten käyttöön, tai sopivilla viesteillä olisi voitu manipuloida esimerkiksi Applen pörssikursseja rahantekoa varten. Koska monet valtiot ja valtionjohtajat käyttävät Twitteriä viralliseen viestintään, hyökkääjät olisivat voineet myös yrittää vaikuttaa politiikkaan.
Viesti näkyi monelle
Wikholmin mukaan hyökkäys on hyvin poikkeuksellinen sekä mittakaavaltaan että tekotavaltaan.
Jo pelkästään Obaman, Kim Kardashian Westin ja Gatesin tileillä on yhteensä yli 230 miljoonaa seuraajaa, jotka saattoivat nähdä huijausviestejä. Viesteissä vastaanottajia kehotettiin lähettämään 1 000 dollaria bitcoineina, jonka jälkeen he saisivat summan kaksinkertaisena takaisin. Kryptovaluuttojen vaihtoa seuraavan Blockchain.com-sivuston mukaan huijaustviiteissä mainittuihin sähköpostiosoitteisiin olisi lähetetty lähes 116 000 dollarin arvosta bitcoineja, kertoo uutistoimisto AFP.
– Poikkeuksellista on myös se, että tässä ei ollut kyseessä murto mihinkään ulkopuoliseen apuohjelmaan vaan itse Twitter-alustaan eli yritykseen itseensä, Wikholm sanoo.
Twitterin mukaan kyse vaikuttaa olevan koordinoidusta niin sanotusta social engineering -hyökkäyksestä eli sosiaalisesta manipulaatiosta, jolla onnistuneesti päästiin käsiksi Twitterin sisäisiin järjestelmiin ja työkaluihin palvelun työntekijöiden kautta. Social engineering -hyökkäyksissä järjestelmiin livahdetaan huijaamalla ihmisiä, ei niinkään teknisiä haavoittuvuuksia hyödyntäen.
Twitter on kertonut selvittävänsä tapahtunutta.
Taustatyötä on tehty
Wikholmin mukaan Twitterin oman viestinnän pohjalta vaikuttaa siltä, että kyse on ollut niin sanotusta kohdennetusta kalastelusta, jossa valikoidaan tarkasti ne ihmiset tai ihmisryhmät, joita huijaamalla järjestelmiin pyritään pääsemään.
– Siinä pitää olla taustatyö hyvin tehtynä, että osaa puhua oikeista asioista oikeilla nimillä ja järkevästi, hän sanoo.
Apuna voi käyttää vaikkapa vuodettuja kuvakaappauksia tai muita materiaaleja siitä, miltä erilaiset ylläpitotyökalut tai -käyttöliittymät näyttävät ja miten niitä on nimetty. Esimerkiksi uhrin työtoverina esiintymiseen taas saa taustatietoja sosiaalisen median palveluista.
– Se on varmaa, että henkilöt, joilla on pääsy Twitterin ylläpitoon ja taustajärjestelmiin, ovat varmasti aika monen tahon tarkkailussa eri sosiaalisissa medioissa, Wikholm kertoo.
Mahdollinen vuoto myös selittää Wikholmin mukaan osaltaan sitä, miksi hyökkääjät halusivat toimia niin ripeästi.
– Rikolliset ymmärtävät, että jos tarvittava tieto tuli jollekin kanavalle nyt, niin muutkin rikolliset juoksevat kilpajuoksua siitä, kuka ehtii ensin käyttää sitä hyväksi. Omaa kampanjaansa ei voi jäädä hautomaan liian pitkäksi aikaa.
Suojautuminen on vaikeaa
Kohdennettu kalastelu vaatii huomattavasti enemmän työtä ja vaivannäköä kuin monille tutut sähköpostitse lähetetyt yleiset kalasteluviestit, mutta räätälöityä kalasteluviestintää vastaan on huomattavasti vaikeampi suojautua. Hyökkääjien toimintaa voidaan vaikeuttaa joillakin teknisillä keinoilla, kuten kaksivaiheisen tunnistautumisen vaatimisella, mutta ihmisiä voi aina yrittää manipuloida erilaisilla tavoilla.
– Siinä ei ole mitään hopealuotia, miten tällaisen estää, koska nämä ovat ihminen vastaan ihminen -hyökkäyksiä. Kyse on enemmänkin siitä, mikä on stressitasosi, paljonko kaikkea muuta on hoidettavana, paljonko ajatussyklejä voit antaa viestille ja miten epäilevä olet luonteeltasi, Wikholm sanoo.