תביעה שנעשתה לאחרונה הקשורה לחטיפת טוויטר מתוקשרת מדגישה כיצד הנדסה חברתית וגישה מבפנים יכולות להגביר פשעי סייבר. חשבונות שנפרצו מפיצים הונאת מטבעות קריפטוגרפיים למיליונים, והעבריין עומד כעת בפני צווי שחזור כספיים.
ביולי 2020, יותר מ-130 פרופילים בטוויטר נכבשו כדי לקדם הונאת ביטקוין. התוקפים שכנעו מספר קטן של עובדי טוויטר למסור פרטי התחברות פנימיים. גישה זו אפשרה שימוש בכלים ניהוליים לפרסום הודעות הונאה מחשבונות מאומתים. כ-350 מיליון משתמשים ראו ציוצים חשודים מפרופילים מפורסמים. כ-12.86 ביטקוין נאספו על ידי הנוכלים אז, שערכם עלה משמעותית מאוחר יותר. נאשם אחד נידון וחויב למסור מטבעות קריפטוגרפיים שנתפסו ותמורה אחרת שהוחזרה על ידי התובעים. אם יאושר דיווח, החוקרים קישרו גם קריפטו בלתי חוקי נוסף לפריצות נפרדות בהן היו מעורבים צעירים שנפגשו באינטרנט.
ההתקפה שילבה מניפולציה אנושית עם שימוש לרעה בכלים פריבילגיים. התוקפים לא בהכרח היו צריכים לשבור מחסומים טכניים. במקום זאת, הם שכנעו גורמים פנימיים לשתף אישורים או לבצע פעולות. לאחר שהיו בפנים, גורמי האיום השתמשו בזרימות עבודה אדמיניסטרטיביות כדי לעקוף בקרות חשבון רגילות. שיטה זו עוקפת הגנות רבות של משתמשי קצה כמו אימות דו-שלבי המגן על כניסות סטנדרטיות.
מי מושפע? כל אדם או ארגון עם חשבונות מדיה חברתית נמצא בסיכון. משתמשים בעלי פרופיל גבוה, עסקים, בתי ספר ורשויות מקומיות הם מטרות אטרקטיביות מכיוון שפוסט בודד מגיע לאנשים רבים. עסקים קטנים עם פחות משאבי אבטחה נותרים פגיעים לנזק למותג ולהונאה. משפחות ובני נוער יכולים להיות מושפעים בעקיפין כאשר פוסטים מטעים מקדמים הונאות או תוכן מזיק.
נתיבי התקפה נפוצים כוללים:
תצורות שגויות וחולשות אופייניות שמעליות סיכון:
פלטפורמות רלוונטיות כוללות רשתות חברתיות גדולות וכל כלי צד שלישי המנהל חשבונות מרובים. תוקפים לעיתים קרובות מנצלים יחסי אמון בין ספקים, קבלנים וצוות תמיכה בפלטפורמה. משמעות הדבר היא שחשבון משתמש מאובטח אינו תמיד מספיק. יש לקחת בחשבון את המערכת האקולוגית הרחבה יותר של מנהלים וספקי שירותים.
פרטיות ומוניטין נמצאים בסכנה כאשר חשבונות מאומתים או מהימנים מפיצים מסרים כוזבים. עבור משפחות, חשבון פרוץ יכול לחשוף נתונים אישיים, להזמין הונאות או להגביר הטרדה. בני נוער עלולים להיות מטרה של תוכניות חיקוי או להיאלץ לשתף כספים או אישורים. עבור עסקים קטנים, חשבון רשמי שנחטף יכול לגרום להפסד כספי ישיר ולנזק תדמיתי ארוך טווח. לקוחות עלולים להיות מרומים באמצעות ההמלצה לכאורה של המותג.
היגיינת מכשירים ואפליקציות היא חיונית. משפחות צריכות לשמור על מערכות מתוקנות ולהימנע משימוש חוזר בסיסמאות בחשבונות אישיים וחשבונות עבודה. עסקים חייבים להתייחס לערוצי מדיה חברתית כאל נכסים קריטיים למשימה. זה כולל ניהול גישה מנהלית, פעולות רישום וחלוקת משימות כך שאדם פרוץ יחיד לא יוכל לפעול באופן חד צדדי בכל החשבונות.
חשיפת נתונים יכולה להתרחש בעקיפין. לדוגמה, תוקפים המפרסמים פרסום מזויף עשויים לאסוף תשלומי קריפטו, לתעד נתוני עסקאות או לאסוף הודעות עוקבים. גם אם ההפסד הכספי הישיר קטן, העלויות המשניות מצטברות. אלה כוללות תגובה לאירועים, עבודה משפטית, הודעות ללקוחות ואובדן אמון.
תזכורות משפטיות והסכמה: ניטור, רישום ומעקב אחר עובדים דורשים מדיניות ברורה. מעסיקים חייבים לציית לחוקים המקומיים וליידע את הצוות על נוהלי ניטור. לניטור הורי של מכשירי ילדים יש גם מגבלות משפטיות ואתיות. יש תמיד לקבל הסכמה במידת הצורך ולתעד צרכים עסקיים לגיטימיים לכל פעילות ניטור.
השתלטויות רשתות חברתיות בעלות השפעה גבוהה משלבות יותר ויותר מניפולציה אנושית עם גישה לכלי פריבילגיים. דפוס זה מדגיש את החשיבות של הגנה לא רק על משתמשי הקצה אלא גם על האנשים והמערכות העומדות מאחורי ניהול הפלטפורמה.
בקרות טכניות חשובות, אך גורמי אנוש נותרים החוליה החלשה ביותר. הכשרה סדירה, הליכי אימות קפדניים וחלוקה לתחומי אחריות מפחיתים את הסיכוי שתרמית מוצלחת אחת תוביל לפגיעה כלל-פלטפורמתית. נראות לפעילויות ניהול מאפשרת זיהוי ובלימה מהירים יותר.
SPYERA מספקת כלי ניטור חוקיים המבוססים על הסכמה, שנועדו לתמוך באפוטרופסות אחראית ובפיקוח על מכשירים. עבור הורים, SPYERA מסייעת בניטור פעילות מכשירים, צפייה בשימוש באפליקציות וקבלת התראות על התנהגות מסוכנת. עבור מעסיקים, היא מציעה תצורה מרחוק, דיווח מרכזי והתראות בזמן אמת המסייעות באיתור פעילות חריגה במכשיר שעלולה להקדים פריצה רחבה יותר לחשבון.
תכונות עיקריות התומכות באבטחה ובתגובה:
אירועים מתוקשרים מראים כי השתלטות על חשבונות היא בעיה טכנית ואנושית כאחד. חזקו את בקרות הגישה, הכשירו אנשים ותחזקו תוכניות אירועים ברורות. אם אתם זקוקים לכלים לניטור מכשירים ולאיתור התנהגות מסוכנת מוקדם, שקלו את SPYERA. השתמשו בו באחריות ובחוק, בהסכמה בעת הצורך, כדי להגן על משפחות וארגונים מפני ניצול לרעה של חשבונות.
