Attacco a Twitter, Kaspersky rivela nuovi dettagli sulla truffa

Attacco a Twitter, Kaspersky rivela nuovi dettagli sulla truffa

Parla Dmitry Bestuzhev, Global Research and Analysis Team per America Latina

Non è la prima volta che gli uffici di Twitter ricevono visite dall’FBI. Lo scorso anno, qualcuno si appropriò temporaneamente dell’account del CEO Jack Dorsey e due anni prima, un dipendente buttò nella spazzatura quello di Donald Trump. Questa volta però i federali potrebbero non andarsene tanto in fretta. Perché qualche spiegazione la security dell’azienda di San Francisco dovrà fornirla vista la gravità dell’attacco e i potenziali danni che l’hack avrebbe potuto provocare.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Aggiorniamo anzitutto le cifre del bottino. «I truffatori hanno raccolto almeno $ 200.000 prima che l’attacco venisse bloccato» dice a Data Manager Dmitry Bestuzhev, responsabile del Global Research and Analysis Team di Kaspersky in America Latina. Anche questa volta sembra che l’intrusione abbia avuto complici – consapevoli o inconsapevoli, questo è ancora da stabilire – interni. Che avrebbero fornito l’accesso alla dashboard dalla quale si gestiscono gli account utilizzati per perpetrare la truffa. Un meccanismo, peraltro già sperimentato in passato. «Dietro alla semplice promessa di raddoppiare il valore della donazione in bitcoin, i truffatori hanno convinto gli utenti di Twitter a inviare criptovaluta a un account falso, sfruttando la popolarità di personalità note come l’ex presidente Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos attraverso la distribuzione simultanea del contenuto dannoso» spiega Bestuzhev.

Il trasferimento di Bitcoin avviene in genere tramite i servizi di cambio online, ed è su quest’altro anello della catena che si è intervenuti per porre un freno parziale alla truffa, con il blocco dell’indirizzo spammato su Twitter, impedendo a migliaia di utenti di completare la transazione. «Al momento dell’attacco, la truffa si è diffusa sfruttando un singolo dominio dannoso» conferma Bestuzhev. ll nostro team è riuscito a identificare e bloccare più di 200 domini pronti per essere utilizzati nella stessa campagna».

Leggi anche:  Kaspersky presenta un nuovo corso di formazione IT "jargon-free" per leader e dirigenti aziendali

GReAT in azione

Sembra che nelle prime fasi dell’attacco, come misura di protezione, Twitter abbia propagato un divieto temporaneo esteso a tutti gli account verificati di scrivere nuovi tweet, mettendo così una prima toppa alla diffusione della campagna. Mitigata poi dall’intervento del team di sicurezza di Kaspersky. «Abbiamo scritto una regola utilizzando Yara – uno strumento utilizzato dagli analisti di sicurezza per la ricerca di pattern malevoli all’interno di file eseguibili o testuali (ndr) – prelevando alcune stringhe di codice presenti nel sito Web promosso su Twitter. Applicando questa regola su VirusTotal abbiamo ottenuto più di 200 positivi (file unici) da diversi portafogli di criptovaluta. Dopo aver controllato i primi 20 wallet in ordine alfabetico – prosegue Bestuzhev – la cifra della truffa è lievitata sino a circa 200mila USD. Abbiamo individuato almeno altri 200 wallet e poiché la stessa promozione era attiva su YouTube e altri media, non è azzardato ipotizzare che i numeri reali sono molto più alti».

Reputation damage 

Anche se l’attacco informatico non ha drenato denaro direttamente dalle casse di Twitter, la reputazione della società ha subito un duro colpo. Nessuno oggi è in grado di quantificare gli effetti nel medio periodo. Soprattutto se la sensazione di vulnerabilità della piattaforma Twitter indurrà gli utenti a metterne in dubbio l’autenticità dei messaggi e l’integrità degli account. «È chiaro che l’hack non si è verificato per caso» afferma Bestuzhev. «C’erano un piano e una serie di azioni programmate in anticipo. Che dimostrano come anche un’azienda grande e importante come Twitter possa cadere nella trappola del cybercrime».  Di certo questo hack si inserisce in un flusso di attacchi intensificatosi durante questi mesi di emergenza sanitaria, e presenta una serie di connessioni con altre campagne di hacking in corso, sottolineate da numerosi speaker di GReAT Ideas Powered by @TheSASCon organizzato da Kaspersky (tutti gli speech sono disponibili previa registrazione qui).

Leggi anche:  Il ruolo cruciale dell’identity security per la tutela della privacy dei dati