מחשבות על הנדסה חברתית: מזימת הביטקוין של טוויטר קפצה לבקר גם את יוטיוב

"ההתמקדות באדם היחיד מאפשרת לתוקפים ללמוד בקפידה את ההתנהגות, המניעים והחולשות", אומרים בסייברארק

ניר צ'קו, ראש צוות במעבדות סייברארק. (צילום: סייברארק)

לאחרונה נפלה טוויטר קורבן למתקפה שהובילה לפריצת מספר רב של חשבונות בפרופיל גבוה. לרבות אלה של ברק אובמה, ג'ו ביידן, ג'ף בזוס ואילון מאסק. עכשיו יוטיוב חוטפת את הריקושטים של התקיפה הזו ממש. ניר צ'קו, ראש צוות במעבדות סייברארק וראש צוות לשעבר ב-Red Team של יחידה מסווגת, מציג כמה תובנות על טכניקת המתקפה שתופסת תאוצה

לפני כשלושה שבועות טוויטר דיווחה שהיא נפלה קרבן ל"מתקפה מתואמת של הנדסה חברתית". החברה אישרה שהתוקפים התמקדו בקבוצה קטנה של עובדי טוויטר והצליחו להערים עליהם. לאחר מכן, הם השתמשו בהרשאות של עובדים אלה כדי להשיג גישה בלתי מורשית לכלי ניהולי "הזמין רק לצוותי תמיכה פנימיים". מתקפות הנדסה חברתית כגון זאת הן כה אפקטיביות משום שהן עושות שימוש במניפולציה פסיכולוגית לשכנוע אנשים לנקוט בפעולה או למסור מידע רגיש שאינם אמורים למסור. לאמיתו של דבר, תוקפי סייבר הם הפסיכולוגים האולטימטיביים.

באמצעות תמרונים פסיכולוגיים אלה, התוקפים הצליחו לחטוף את חשבונות הטוויטר המדוברים ולפרסם הודעות שנועדו להוליך שולל את משתמשי המדיה חברתית. התוקפים פרסמו הודעות בהן הודיעו כי עבור כל סכום שישלח אליהם הם יכפילו את הסכום וישלחו בחזרה, כל זאת תחת אמירה שהם מעוניינים לעזור לקהילה.

ממש בימים האחרונים אנחנו עדים לפריצה לערוצי יוטיוב בעלי פרופיל גבוה. לאחר שהתוקפים הצליחו להשיג גישה לערוץ היוטיוב הם שינו את שמו של הערוץ ופרסמו שידורים חיים של מגמות מובילות ביוטיוב כדי למשוך צופים רבים. ממש כמו מזימת הביטקוין בטוויטר, התוקפים שילבו בשידור מסר המבטיח להכפיל את הסכום שישלח אליהם.

בעוד התקיפה על יוטיוב נראית ממוקדת הרבה יותר על בעלי הערוצים ולא על יוטיוב עצמה. בטוויטר, מה שנראה בהתחלה כמו עבודה של תוקפים מנוסים, מתברר כעת, לאחר חקירה של ה-FBI ותפיסת שלושת ההאקרים, כמתקפת הנדסה חברתית שבוצעה על-ידי קבוצת האקרים צעירים ולא מתוחכמים במיוחד שכל מטרתה לגרוף רווח כספי. בהתחשב בעוצמתה של המדיה החברתית, וההשפעה הגלובלית של החשבונות בהם התוקפים אחזו, הנזקים היו יכולים להיות הרבה יותר גרועים.

המתקפה על טוויטר מדגישה את הסכנות הטמונות בגישה פריביליגית ליישומים קריטיים שאינה מאובטחת כראוי. היא מזכירה לנו באיזו מהירות כל הרשאה או זהות עשויה להפוך לפריבילגית בתנאים מסוימים. הרשאות או זהויות שאינן מאובטחות כהלכה עלולות לאפשר לתוקפים חיצוניים וגורמי פנים זדוניים לנצל אותן לרעה ולהגיע לנכסים קריטיים כגון נכסים פיננסיים, קניין רוחני, רשומות רגישות של לקוחות, ועוד, ולזרוע הרס שאינו ניתן לתיקון לעסק ולמוניטין שלו.

הנדסה חברתית וההזדמנות האנושית

על-פי מחקר 2020 Verizon DBIR, מתקפות ההנדסה החברתית ממשיכות להתרחב משנה לשנה. גידול זה הגיוני מאחר והתוקפים מחפשים כמעט תמיד את נקודת החדירה הקלה ביותר. ברוב המקרים, טכניקות הנדסה חברתית הן דרך בדוקה ודאית לפרוץ לרשת, פשוטות כמעט כמו לחפוף, לשטוף ולחזור על הפעולה. ברוב המקרים, התוקפים משתמשים בהודעות מייל מזויפות (פישינג) המטעות את הקורבנות. הם מנסחים הודעות עם רמה גבוהה של התאמה אישית המעוררות אצל הנמענים תחושת דחיפות או פחד. על פי דו"ח וריזון, 96% מהמתקפות האלו נעשות באמצעות המייל.

למעשה, כל אדם מהווה הזדמנות לתוקפים ואין זה משנה כלל אם ההגנה הטכנולוגית של הארגון חזקה ביותר. ההתמקדות באדם היחיד מאפשרת לתוקפים ללמוד בקפידה את ההתנהגות, המניעים והחולשות – אפילו את הסודות – כדי לרכוש את אמונו וליצור רושם מהימן. בואו נפרק לגורמים את המתקפה על טוויטר כדי להראות את שרשרת המהלכים, כיצד התוקפים הצליחו להערים לא רק על קורבן אחד אלא על שניים: טוויטר והציבור כולו. 

השגת גישה למערכת הניהול הפנימית

איסוף מודיעין: התוקפים ערכו כנראה חיפושים בפרופילים ברשתות מדיה חברתית כגון טוויטר ולינקדאין כדי לאתר עובדים מצוות התמיכה הפנימי של טוויטר ובמיוחד מנהלי רשת של מערכות שיש להם גישה לפלטפורמה הפנימית.

ביצוע הנדסה חברתית על עובד(י) טוויטר: באמצעות מידע אישי שהשיגו בעבודת המודיעין שבשלב הקודם, התוקפים הערימו על עובד טוויטר אחד לפחות והשיגו את הרשאות הכניסה למערכת ה-Slack של טוויטר. Slack הינה מערכת מסרים מידיים המשמשת ארגונים לתקשורת פנימית בין העובדים. הגישה לערוץ הסלאק של החברה הייתה מאובטחת ב-2FA (אימו דו-שלבי) המאמת את ניסיון החיבור של העובדים לערוץ עם הטלפון החכם שלהם. 

באמצעות Spear-Phishing (תקיפת הנדסה חברתית המתמקדת באדם ספציפי) על הטלפון החכם של אחד העובדים, יכלו ההאקרים לעבור את מחסום האבטחה הזה. בניו-יורק טיימס סיפרו כי מספר ימים לאחר השגת הגישה לערוץ הסלאק של החברה, מצא ההאקר את פרטי הגישה למערכת הניהול הפנימית של החברה, ככל הנראה באחת השיחות בין העובדים.

השגת גישה למערכת המטרה (target system): עם הרשאות אלו יכלו התוקפים לחדור ישירות לפלטפורמת האדמיניסטרציה הפנימית השימוש בהרשאות לגיטימיות אפשר להם לפעול מבלי להתגלות.

מוניטיזציה

פריצה לחשבונות טוויטר. ברגע שהגישה והשליטה במערכת הפנימית היו בידיהם, התוקפים פרצו ל-130 חשבונות ופגעו ב-45 מהם באמצעות שינוי כתובת המייל המקושרת לחשבון מבלי להודיע על כך לבעלי החשבון. אם החשבון היה מוגן באימות זהות מרובה גורמים (MFA) כנראה שהתוקפים נטרלו את רובד האבטחה הזה ולאחר מכן שינו את הסיסמה שנשלחה לכתובת המייל החדשה.

הנדוס חברתי של קהילת המשתמשים בטוויטר. באמצעות הסיסמאות החדשות שהנפיקו, התוקפים החלו להעלות פוסטים לחשבונות טוויטר שעליהם השתלטו. בשלב זה, החלה למעשה השלב השני של הנדסה חברתית במסלול התקיפה. ההאקרים פרסמו פוסטים בהם כתבו "אנחנו מעוניינים להחזיר לקהילה. כל ביטקוין שישלח אליי יוחזר בסכום כפול. ההצעה הזו רלוונטית לחצי השעה הקרובה בלבד!". לדוגמא, הפוסט שהם העלו לחשבון המאומת של ג'ו ביידן, המועמד לנשיאות ארה"ב מטעם המפלגה הדמוקרטית. 

מבחינת המשתמשים בטוויטר ישנם מספר אלמנטים אשר עלולים להשפיע עליהם לבצע את הפעולה של שליחת הביטקוין. הראשון, מדובר בפרסום של דמות משפיעה או מוכרת אשר החשבון שלה מאומת ע"י טוויטר (טוויטר מסמנים חשבונות מאומתים בסימון של וי כחול ליד השם) מה שתורם לתחושה של מקור אמין להודעה. 

יותר מכך, משום שהודעות דומות התפרסמו ממספר מקורות אמינים שונים, זה יכל לחזק את התחושה שלא מדובר במזימה, שכן – מה הסיכוי שיצליחו לפרוץ לכולם? בנוסף, עצם הצגת מסגרת זמנים מצומצמת יצרה תחושה של דחיפות אצל המשתמשים אשר לא רצו להפסיד את ההזדמנות.

גריפת השלל. תוך שלוש שעות בלבד אספו התוקפים 118 אלף דולר במה שהניו יורק טיימס כינה "אחת המתקפות המקוונות הנתעבות ביותר שאנו זוכרים".