وقایع:
در روز 15 جولای حدود ساعت 3 بعد از ظهر، چندین حساب کاربری هک شده اشخاص مهم در توییتر از مخاطبین خود درخواست کرده بودند تا به جامعه نیازمند بیت کوین اهدا کنند.
مطالعه نمایید: پرسش و پاسخهای متداول در ارتباط با باج افزار(RANSOMWARE)
یک پیوند اهدای پول هم در آن پیام بود. مهاجمین حدود 120 هزار دلار به جیب زدند که ناچیز به نظر میرسد اما حمله بالقوه این چنینی و نابودی دنیا -بدون اغراق- باید مورد توجه قرار گیرد.
چهل و پنج حساب کاربری تاییده شده توییتری در مجموع مورد نفوذ و تهاجم قرار گرفتند که شامل حسابهای باراک اوباما، الون ماسک، جف بزوس و مایکل بلومبرگ، کیم کارداشیان، حساب رسمی شرکت اپل و یک سیاستمدار هلندی میشد.
مطالعه نمایید: هک وبسایت QUORA و سایت هتلهای ماریوت استاروود

قسمت پیامهای خصوصی 36 تا از 45 حساب نیز مورد نفوذ قرار گرفت. حیرتآور است که پس از این همه سال وعده توییتر مبنی بر رمزگذاری پیامهای خصوصی، همچنان رمز گذاری نشده هستند.
مطالعه نمایید: ۷ ویروس رایانهای که باید بشناسید
در شرایط سیاسی امروز که تهدیدات جنگ و مکالمات مهم اقتصادی و غیره بین سیاست مداران از طریق توییتر صورت میگیرد، خسارت ناشی از مورد دسترس قرار گفتن پیامهای خصوصی آنها واقعا ترسناک است.
خود نفوذی که صورت گرفت اهمیت آنچنان نداشت اما پیامدهای آن هشداری برای دول و سازمانها و تجار و مهمتر از همه خود توییتر است.
اما خوشبختانه بازیگران این نفوذ به نظر میآید که در سن نوجوانی باشند. با آخرین اطلاعات به دست آمده به نظر میآید که انگیزه این حمله بدست آوردن اعتبار هم سن و سالان یا به عبارت دقیقتر اعتبار مجرمین دنیای آنلاین بوده است.
برای اینکه کاملا متوجه شویم که معنی این چیست باید بفهمیم ارزش نامهای مستعار توییتر چیست، برنامه پیام رسان Discord چطور کار میکند و اینکه قدرت مهندسی اجتماعی در چیست.
برای اینکه از موضوع پرت نشویم باقی این مقاله را تمرکز میکنیم بر اینکه این حمله چطور رخ داد و سازمان شما چه کاری برای پیشگیری موارد مشابه میتواند انجام دهد.

جا به جایی سیم کارت
جا به جایی سیم کارت اصطلاحی است که مجرمان سایبری برای دادن رشوه، زورگیری و اخاذی یا نفوذ به کامندان داخلی شرکت برای دسترسی یافتن به تلفن همراه آنها یا حساب شبکه اجتماعی آنان استفاده میکنند.
در برخی موارد تاکتیکهای مهندسی اجتماعی مورد استفاده قرار میگیرد. مهندسی اجتماعی به دستکاری روانی کارکنان برای لو دادن چنین اطلاعاتی گفته میشود.
ارسال نامههای جعلی برای متقاعد کردن یک کارمند برای افشای رمز عبور خود یک مثال از این روش است.
تا آنجایی که مربوط به هک توییتر میشود به نظر میآید که یک کارمند داخلی اجیر شده که مشخص نیست به خاطر پول بوده یا اعتبار هم سن و سالان.
اول اینکه کارمند داخلی شرکت آدرسهای ایمیل مرتبط با هرکدام از حسابها را تغییر داد. سپس احراز هویت دو مرحله را خاموش کرد که منجر به ارسال یک هشدار به آدرس ایمیل جدید تحت اختیارنفوذگران شد. در این مرحله نفوذگران کلاه برداری بیت کوین را شروع کردند.

درسهایی که میتوان گرفت
توییتربا این داستان درس سختی گرفت که دسترسی ویژه و انحصاری یا به معنی فلسفهای آن “به هیچ کس اطمینان نکن” از این به بعد یک امر واجب است.
به این معنا که هیچ کارمندی نباید اجازه دسترسی به دادهها ابزارها یا کنترلهایی که خارج از محدوده شغلی آنهاست داشته باشد.
به علاوه قبل از اعطای دسترسی از یک کارمند باید درخواست شود که رسما اجازه دسترسی همراه با جزییات موارد دسترسی و میزان زمان دسترسی بخواهد.
در این حالت بسترهای مدیریت خدمات IT میتوانند به شکل سیستماتیک روند مجوزدهی را کنترل و بازرسی کنند. همچنین این باعث به وجود آمدن یک مانع و دافع برای فعالیتهای بدخواهانه داخلی میشود به این دلیل که کارمند از اینکه فعالیتهایش رصد میشوند آگاه است.
یک قدم جلوتر که برویم، شاید بهتر باشد که توییتر و سایر سازمانهای بزرگ در معرض اینگونه حملات، یک راه حل مبتنی بر هوش مصنوعی پیاده سازی کنند که حرکات کاربر و معیارهای خطر را رصد کند.
یک ابزار یادگیری ماشین مانند این شاید بتواند موارد خط قرمز مانند ورود یک کارمند به سیستم از یک مکان متفاوت یا در یک زمان مشکوک را شناسایی کند.
در حالی که مبادله پول در این مورد هنوز تایید نشده است اما از زمان شیوع ویروس کرونا حملات سیم کارتی و رشوه گسترش داشتهاند.
حمله توییتری به احتمال زیاد به دیگر نفوذگران قوت قلب میدهد تا کارمندان داخلی را هدف بگیرند، اشخاصی که از نظر آنها میتوانند زیر میزی دریافت کنند. این تهدید تنها محدود به سازمانهای بزرگ نمیشود. کسب و کارهای کوچکتر هم در معرض خطرند.
چند توصیه:
خصوصا در این وضعیت بغرنج اقتصادی هیچ کس از حملات تعویض سیمکارتی و تهدید کلیتر مهندسی اجتماعی و رشوه در امان نیست. در ادامه چند توصیه کارآمد و کوتاه برای حفظ امنیت سازمان شما میآید:
- استراتژی “به هیچ کس اطمینان نکن” یا اطمینان صفر را به کار ببندید.
- مواظب فعالیتهای مشکوک حسابهای کارکنان خود باشید.
- یک رویه کسب مجوز برای کارکنان ایجاد کنید تا بدان وسیله آنها مجبور به گرفتن اجازه برای کارهای خاص نظیر استفاده از سایتهای اشتراک فایل یا بارگیری حجم بالای داده باشند.
- به کارکنان خود به شکل مستمر آموزش دهید که چطور از اطلاعات حیاتی محافظت کنند و همچنین سیاست داده شرکت، و شاید مهمتر از همه عواقب سرپیچی از آن.
- تا آنجایی که مربوط به توییتر است، آنها قول دادهاند که بهتر شوند و ضمانت دادهاند که برخی از روشهای مذکور را به کار بندند. به علاوه گفتهاند: “ما شرمساریم، ما ناراحت هستیم و بالاتر از همه متاسفیم.”