Maior ataque hacker da história do Twitter envolve engenharia social: o que podemos aprender com isso
- Atualizado em 23 março, 2021
- Por Gatefy
- Blog, Cibersegurança
Na quarta-feira, dia 15 de julho, aconteceu o maior ataque hacker da história do Twitter. Contas pertencentes a Bill Gates, Elon Musk, Barack Obama, Jeff Bezos, Joe Biden, Warren Buffett e outras personalidades postaram mensagens similares prometendo dobrar o dinheiro de quem enviasse bitcoins para uma carteira particular.
Porém, a realidade mostrou-se diferente. Tratava-se de um golpe, provavelmente, envolvendo engenharia social e criptomoedas. Um dos tweets falsos dizia:
“Todo mundo está me pedindo para devolver e chegou a hora. Estou dobrando todos os pagamentos enviados à minha conta de bitcoin pelos próximos 30 minutos. Você me manda $1,000, eu devolvo $2,000. Apenas por 30 minutos, aproveite!”.
Os danos causados já somam mais de USD 115.000. É estimado que, pelo menos, 130 contas tenham sido comprometidas.
Assim que detectou a ameaça, o Twitter removeu as postagens feitas pelos cibercriminosos e bloqueou as contas afetadas.
“Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que atingiram com sucesso alguns de nossos funcionários que têm acesso a ferramentas e sistemas internos”, afirmou o Twitter.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
O que é engenharia social e quais são suas características
A engenharia social é uma técnica que envolve persuadir e manipular a vítima. O hacker estuda o seu alvo cuidadosamente, com o objetivo de obter algo dele, seja dinheiro, informações confidenciais ou credenciais de acesso, por exemplo.
Esse tipo de ataque geralmente ocorre por meio de e-mails maliciosos e está vinculado a outros golpes, como phishing, spoofing e impersonation. Os ataques de engenharia social também quase sempre visam pessoas estratégicas e de alto escalão nas empresas.
Neste caso do Twitter, os alvos eram funcionários que tinham acesso a ferramentas e sistemas internos.
Para se ter uma ideia, de acordo com relatório da Verizon, os ataques de engenharia social estão relacionados a cerca de 22% dos casos de violações de dados.
Portanto, sim, a engenharia social é uma das técnicas mais comuns utilizadas por hackers e é, frequentemente, usada como uma porta de entrada ou gateway para a implantação de diferentes tipos de malware, como ransomware, trojans e spyware.
O que podemos aprender com o hack do Twitter
O que podemos aprender com a invasão do Twitter é talvez a pergunta mais importante que devemos fazer em uma situação como esta.
Sem dúvidas, o principal e primeiro ponto a ser analisado neste caso é a questão dos privilégios. Fica claro que os funcionários que foram alvo da fraude tinham acesso a uma ferramenta que permitiu aos hackers comprometer as contas. De fato, todas as empresas estão sujeitas a golpes e fraudes, não apenas o Twitter ou outras grandes organizações.
Mas, independentemente do tamanho da empresa, você precisa ter controle sobre as informações. A empresa precisa saber exatamente onde estão os dados, quem pode acessá-los, como e quando.
Neste sentido, o Twitter teve uma resposta rápida ao incidente. Mas isso não isenta a empresa de críticas e objeções.
Outro ponto essencial que merece atenção quando falamos de violações e incidentes de segurança envolve a conscientização sobre segurança cibernética ou, basicamente, o treinamento de funcionários.
Os ataques cibernéticos mais letais, como golpes do BEC (Business Email Compromise), por exemplo, exploram o fator humano. Mas o que é isso? O fator humano é justamente a sua equipe. O seu time está devidamente treinado e atento para o reconhecimento e combate a fraudes?
Finalmente, o que chama a nossa atenção neste caso do Twitter é o senso de urgência e a promessa de ganhar dinheiro de forma rápida e fácil. Essas são talvez as táticas mais usadas em golpes e fraudes na internet.
A combinação de uma promessa tentadora com um senso de urgência, afinal, “você só tem 30 minutos”, é explosiva. Para bloquear uma ameaça, saber reconhecer sinais de fraude é tão importante quanto usar soluções de segurança.
A propósito, aqui na Gatefy, oferecemos duas soluções avançadas de segurança de e-mail. Eles combatem engenharia social, phishing, BEC e outras ameaças.
As nossas soluções são compatíveis e facilmente integradas a diferentes tipos de plataformas de e-mail, como Office 365, G Suite, Exchange e Zimbra.
Se você deseja conhecer melhor a Gatefy, visite as páginas das nossas soluções: Gatefy Email Security e Gatefy Anti-Fraud Protection.
