Maior ataque hacker da história do Twitter envolve engenharia social: o que podemos aprender com isso

Atualizado em: 17 Jul, 2020
Por Gatefy

Uma impressão para mostrar o Twitter e a engenharia social.

Na quarta-feira, dia 15 de julho, aconteceu o maior ataque hacker da história do Twitter. Contas pertencentes a Bill Gates, Elon Musk, Barack Obama, Jeff Bezos, Joe Biden, Warren Buffett e outras personalidades postaram mensagens similares prometendo dobrar o dinheiro de quem enviasse bitcoins para uma carteira particular. 

Porém, a realidade mostrou-se diferente. Tratava-se de um golpe, provavelmente, envolvendo engenharia social e criptomoedas. Um dos tweets falsos dizia:

“Todo mundo está me pedindo para devolver e chegou a hora. Estou dobrando todos os pagamentos enviados à minha conta de bitcoin pelos próximos 30 minutos. Você me manda $1,000, eu devolvo $2,000. Apenas por 30 minutos, aproveite!”.

Os danos causados já somam mais de USD 115.000. É estimado que, pelo menos, 130 contas tenham sido comprometidas.

Assim que detectou a ameaça, o Twitter removeu as postagens feitas pelos cibercriminosos e bloqueou as contas afetadas.

“Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que atingiram com sucesso alguns de nossos funcionários que têm acesso a ferramentas e sistemas internos”, afirmou o Twitter. 

O que é engenharia social e quais são suas características

A engenharia social é uma técnica que envolve persuadir e manipular a vítima. O hacker estuda o seu alvo cuidadosamente, com o objetivo de obter algo dele, seja dinheiro, informações confidenciais ou credenciais de acesso, por exemplo.

Esse tipo de ataque geralmente ocorre por meio de e-mails maliciosos e está vinculado a outros golpes, como phishing, spoofing e impersonation. Os ataques de engenharia social também quase sempre visam pessoas estratégicas e de alto escalão nas empresas.

Neste caso do Twitter, os alvos eram funcionários que tinham acesso a ferramentas e sistemas internos.

Para se ter uma ideia, de acordo com relatório da Verizon, os ataques de engenharia social estão relacionados a cerca de 22% dos casos de violações de dados.

Portanto, sim, a engenharia social é uma das técnicas mais comuns utilizadas por hackers e é, frequentemente, usada como uma porta de entrada ou gateway para a implantação de diferentes tipos de malware, como ransomware, trojans e spyware.

O que podemos aprender com o hack do Twitter

O que podemos aprender com a invasão do Twitter é talvez a pergunta mais importante que devemos fazer em uma situação como esta.

Sem dúvidas, o principal e primeiro ponto a ser analisado neste caso é a questão dos privilégios. Fica claro que os funcionários que foram alvo da fraude tinham acesso a uma ferramenta que permitiu aos hackers comprometer as contas. De fato, todas as empresas estão sujeitas a golpes e fraudes, não apenas o Twitter ou outras grandes organizações.

Mas, independentemente do tamanho da empresa, você precisa ter controle sobre as informações. A empresa precisa saber exatamente onde estão os dados, quem pode acessá-los, como e quando.

Neste sentido, o Twitter teve uma resposta rápida ao incidente. Mas isso não isenta a empresa de críticas e objeções.

Outro ponto essencial que merece atenção quando falamos de violações e incidentes de segurança envolve a conscientização sobre segurança cibernética ou, basicamente, o treinamento de funcionários.

Os ataques cibernéticos mais letais, como golpes do BEC (Business Email Compromise), por exemplo, exploram o fator humano. Mas o que é isso? O fator humano é justamente a sua equipe. O seu time está devidamente treinado e atento para o reconhecimento e combate a fraudes?

Finalmente, o que chama a nossa atenção neste caso do Twitter é o senso de urgência e a promessa de ganhar dinheiro de forma rápida e fácil. Essas são talvez as táticas mais usadas em golpes e fraudes na internet.

A combinação de uma promessa tentadora com um senso de urgência, afinal, "você só tem 30 minutos", é explosiva. Para bloquear uma ameaça, saber reconhecer sinais de fraude é tão importante quanto usar soluções de segurança.

A propósito, aqui na Gatefy, oferecemos duas soluções avançadas de segurança de e-mail. Eles combatem engenharia social, phishing, BEC e outras ameaças.

As nossas soluções são compatíveis e facilmente integradas a diferentes tipos de plataformas de e-mail, como Office 365, G Suite, Exchange e Zimbra.

Se você deseja conhecer melhor a Gatefy, visite as páginas das nossas soluções: Gatefy Email Security e Gatefy Anti-Fraud Protection.

Retornar ao Blog