The Onion zveřejnila postup, jak syrští hackeři ovládli její účet na Twitteru

Tři phishingové útoky a nejméně pět kompromitovaných uživatelských účtů, z nichž minimálně ze dvou se hackeři mohli dostat ke správě účtu The Onion na Twitteru. Tak by se dal shrnout útok Syrské elektronické armády na jeden z nejznámějších satirických webů světa, při kterém se na krátkou dobu jeho účtu na Twitteru zmocnila.

Technický tým The Onion publikoval ve středu informace o útoku na technologické sociální síti GitHub. Vše začalo nenápadnými phishingovými e-maily různým zaměstnancům The Onion, kterých nebylo dost na to, aby vzbudily větší pozornost, ale kterými se přesto povedlo kompromitovat minimálně jeden Google Apps účet zaměstnance Onion.

Když měli útočníci přístup k internímu firemnímu účtu, začali z něj phishingové zprávy rozesílat na další zaměstnanecké účty. Tím se jim podařilo kompromitovat další dva Google Apps účty, z nichž z jednoho bylo možno získat přístup k účtům The Onion na Twitteru.

Ve chvíli, kdy Onion interně vyzval své zaměstnance, aby si kvůli útoku ve svých účtech změnili hesla (již v době, kdy byl Twitter účet pod kontrolou útočníků), rozeslali členové Syrské elektronické armády další phishingovou zprávu, která se tentokrát tvářila jako odkaz pro resetování hesla. Za oběť tomuto e-mailu opět padly minimálně dva uživatelské účty, díky čemuž si útočníci podrželi kontrolu nad účty na Twitteru o několik minut déle.

Technické oddělení The Onion se v tuto chvíli rozhodlo přistoupit k radikálnějšímu řešení situace a plošně resetovalo hesla do Google Apps všem zaměstnancům společnosti. To situaci definitivně vyřešilo a útočníky od Twitteru finálně odstavilo.

Doporučení The Onion pro vyšší bezpečnost

Jak je vidět z předchozího, útoky Syrské elektronické armády nejsou nijak komplexní a omezují se na phishingové útoky spoléhající na selhání lidského faktoru. Technický tým The Onion formuloval čtyři zásady, které by zranitelnosti organizace útoky tohoto typu měly spolehlivě zabránit:

  • Zajistěte, že vaši uživatelé jsou dostatečně vzdělaní a ke všem odkazům, které je přesvědčují k zalogování, přistupují podezřívavě nezávisle na odesílateli.
  • E-mailové adresy pro přístup k Twitteru by měly být odděleny od běžných e-mailů organizace. To by mělo učinit e-maily propojené s účty na Twitteru v podstatě nenapadnutelnými phishingem. Tyto e-maily by samozřejmě měly mít dostatečně neprolomitelná hesla.
  • Veškerá aktivita na Twitteru by měla být spravována pomocí aplikace typu Hootsuite. Omezení přístupů chráněných heslem na takovou aplikaci brání útočníkům získat nad účtem plnou kontrolu, jejíž získání zpět prostřednictvím zákaznické podpory Twitteru je mnohem náročnější a trvá mnohem déle.
  • V rámci organizace by také mělo být možné kontaktovat uživatele jiným způsobem, než jejich interní e-mailovou adresou. Ta totiž v danou chvíli může být u některého uživatele také kompromitována útokem a tak se hackeři mohou dostat k důležitým bezpečnostním informacím.

Uvedená pravidla by měla postačovat k tomu, aby zabránila jednoduchým útokům typu phishingu. Protože většina útoků na účty na sociálních médiích probíhá těmito jednoduchými metodami, měla by pravidla při svém poctivém dodržování v podstatě znemožnit, aby organizace útoku podlehla.