Twitter Hack destaca las realidades del phishing móvil

** Actualización ** Según múltiples informes, incluidos Bloomberg (1 de agosto) – “El presunto autor intelectual detrás del hackeo del 15 de julio de las cuentas de Twitter de titanes empresariales, celebridades y un expresidente no necesitó herramientas de hacking sofisticadas para penetrar el sistema de seguridad de la empresa. Más bien, convenció a un empleado de tecnología de la información en Twitter de que era un colega que necesitaba credenciales de inicio de sesión para acceder a la plataforma de atención al cliente de la empresa, según los funcionarios encargados de hacer cumplir la ley”.

Una luz adicional está comenzando a brillar sobre la violación de Twitter del 15 de julio, donde las cuentas de algunos de sus usuarios de más alto perfil, incluido el CEO de Tesla, Elon Musk, y las celebridades Kanye West y su esposa, Kim Kardashian West, se vieron comprometidas. Los atacantes intentaron atraer a los seguidores famosos para que enviaran dinero a una cuenta anónima de Bitcoin.

De acuerdo a blog de Twitterse utilizó un «ataque de phishing telefónico» para apuntar a un pequeño número de sus empleados.

“Un ataque exitoso requería que los atacantes obtuvieran acceso tanto a nuestra red interna como a las credenciales específicas de los empleados que les otorgaron acceso a nuestras herramientas de soporte interno. No todos los empleados que fueron atacados inicialmente tenían permisos para usar herramientas de administración de cuentas, pero los atacantes usaron sus credenciales para acceder a nuestros sistemas internos y obtener información sobre nuestros procesos. Este conocimiento luego les permitió dirigirse a empleados adicionales que tenían acceso a nuestras herramientas de soporte de cuentas”, escribe.

“Este ataque se basó en un intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas para obtener acceso a nuestros sistemas internos”, agregó Twitter, calificando el incidente como “un recordatorio sorprendente de cuán importante es cada persona en nuestro equipo para proteger nuestro servicio”. .”

Ahora dice que los atacantes usaron las credenciales robadas para apuntar a 130 cuentas de Twitter, pasando a twittear desde 45; acceder a la bandeja de entrada de DM de 36; y descargar los datos de Twitter de siete. Todos los titulares de cuentas afectados han sido contactados directamente por Twitter en este momento, según su publicación de blog.

Ataques de phishing generalmente se realizan haciéndose pasar por una entidad confiable, haciendo que la víctima piense que está proporcionando la información a una parte confiable. Las personas nefastas se dirigirán a las personas que utilizan el correo, las computadoras de escritorio, las computadoras portátiles, los dispositivos móviles y, como se esta reportando – pero no confirmado – por múltiples fuentes en este caso, llamadas telefónicas.

A través de la suplantación de identidad (spear phishing) de llamadas telefónicas, comúnmente conocido como vishing, los delincuentes utilizan la persuasión amistosa y el engaño para que las personas entreguen cualquier información que estén buscando: nombres de usuario, contraseñas, números de seguro social, etc.

Zimperiumel líder mundial en seguridad de aplicaciones y dispositivos móviles, protege contra ataques de phishing móvil.

Con pantallas más pequeñas y menos espacio para identificar URL problemáticas, los ataques de phishing en dispositivos móviles son cada vez más frecuentes y exitosos. Algunos estudios estiman que el 90 por ciento de los correos electrónicos se leen en dispositivos móviles y un porcentaje significativo de los ataques de phishing exitosos se realizan a través de dispositivos móviles.

Todos hemos recibido correos electrónicos que afirman que nuestra cuenta en una red social puede estar comprometida y debemos responder con nuestras credenciales para verificar si este es el caso. Probablemente también hayamos recibido ofertas para comprar productos en línea por un tercio de lo que realmente cuestan, y probablemente también hayamos heredado una fortuna de un pariente lejano desconocido que, por alguna razón, sabía de nosotros y nos dejó todo lo que tenía.

Otro uso de los ataques de phishing es engañar a la víctima para que descargue e instale malware, lo que le permite al atacante acceder al dispositivo cuando quiera.

Existen varios tipos diferentes de ataques de phishing: engañoso, lanza (o ballena), clon, smishing y suplantación de dominio/manipulación de enlaces. Las definiciones a veces son borrosas y pueden cambiar de una fuente a otra.

Permítanme ser claro en una cosa: en Zimperium, siempre somos muy honestos sobre los riesgos que detectamos y mitigamos y los que no. Por ejemplo, si los atacantes de Twitter realmente «vish» a los empleados, no lo habríamos detectado (no estamos seguros si alguna tecnología lo hubiera hecho).

Sin embargo, cuando se trata de la mayoría de los vectores que los piratas informáticos intentan explotar en los ataques de phishing móvil (correo electrónico corporativo, correo electrónico personal, SMS, aplicaciones de mensajería, etc.), nuestros clientes están protegidos. De hecho, seguimos viendo aumentos en los ataques de phishing (y otras amenazas lanzadas contra dispositivos móviles) coincidiendo con la pandemia.

El motor patentado basado en el aprendizaje automático de Zimperium que llamamos z9, se ejecuta completamente en el dispositivo, identifica de inmediato incluso los nuevos intentos de phishing y protege al usuario y su privacidad sin enviar ningún dato a la nube.

z9 funciona independientemente de dónde provenga el ataque, lo que significa que los clientes de Zimperium están protegidos independientemente del método de envío utilizado por un atacante (SMS, correo electrónico, WhatsApp, Mensajero, etc.,) o incluso el mal comportamiento del usuario (un usuario que hace clic en un enlace de phishing mientras navega).

Si desea aprender cómo proteger sus dispositivos móviles de los ataques de phishing, por favor Contáctenos. Estamos aquí para ayudar.