Собственный аккаунт CEO платформы микроблогов Twitter Джека Дорси оказался взломан вечером в пятницу. Злоумышленники воспользовались имевшимися у них 20-минутным окном для размещения твитов расистского содержания, а также заявили о том, что в офисе компании заложена бомба.
Позднее сомнительные твиты были удалены, а поддержка платформы сообщила, что телефонный номер, связанный с аккаунтом Дорси, был «скомпрометирован по недосмотру поставщика услуг мобильной связи». «Это позволило неавторизованному лицу составлять и отправлять твиты через текстовые сообщения с номера телефона. К настоящему моменту проблема была решена», – пишет Twitter-аккаунт Twitter Comms.
Несколько опубликованных в аккаунте Дорси сообщений сопровождалось тегом #ChucklingSquad, который принадлежит стоящей за этой атакой хакерской группировке, а для их отправки использовалась инфраструктура Cloudhopper, приобретённая Twitter в 2010 году для интеграции своих сервисов с SMS-службами. Это заставило некоторых пользователей поверить в то, что аккаунт Дорси на протяжении всех этих лет был привязан к Cloudhopper, однако в действительности дело обстоит не совсем так.
Изображение: @Hooray
Как поясняет Wired, API Twitter сопровождает все SMS-сообщения, обрабатываемые через инфраструктуру Cloudhopper, соответствующей пометкой. Это подтверждает, что для публикации сообщений из аккаунта Дорси злоумышленникам в данном случае даже не потребовалось взламывать его пароль, ведь доступ к номеру телефона принимается системой как достаточное подтверждение для предоставления доступа.
SIM-свопинг в криптовалютном пространстве
Крипто-инвесторам Дорси также известен как основатель ориентированной на цифровые платежи компании Square, сторонник биткоина и технологии по масштабированию его блокчейна Lightning Network. На прошлой неделе известный разработчик Bitcoin Core Мэтт Коралло присоединился к команде Square Crypto, чтобы заняться разработкой проектов с открытым кодом для совершенствования экосистемы биткоина на деньги Дорси.
Проблема SIM-свопинга – именно к этому типу атак относится то, что злоумышленники проделали с аккаунтом Дорси – для криптовалютного рынка, вероятно, более злободневна, чем для любой другой отрасли. Это связано с тем, что двухфакторная аутентификация по SMS зачастую используется в качестве метода защиты аккаунтов по умолчанию, таким образом открывая дополнительный вектор для осуществления атак.
Стоит отметить, что этот тип атак известен на протяжении значительной части последнего десятилетия, однако их расцвет пришёлся на 2017-2018 года вследствие роста популярности криптовалют и числа аккаунтов с крупными денежными суммами, для защиты которых используется SMS-аутентификация.
Так, например, ущерб от действий SIM-своперов с начала 2018 года в США несколько месяцев назад был оценён в $50 млн. И хотя публично известно о подобных случаях преимущественно в западных странах, техническая возможность для осуществления атак имеется и в других регионах.
«Быть может, теперь, когда кто-то настолько известный, как Джек Дорси, пострадал от SIM-свопинга, крупные поставщики услуг мобильной связи обратят внимание на то, что это ненормально. Тот факт, что социальная инженерия может привести к раскрытию моих данных, абсурден. Исправьте это», – пишет крипто-трейдер ArcaChemist.
Альтернативные методы двухфакторной аутентификации
К сожалению, пользователи криптовалют, использующие аутентификацию по SMS, мало что могут сделать для обеспечения собственной безопасности. Тем не менее, им доступны другие методы защиты аккаунтов, самым распространённым и доступным из которых является приложение Google Authenticator. Оно использует разработанные Google LLC алгоритмы для генерации 6-значных одноразовых цифровых паролей, которые необходимо предоставить в дополнение к стандартной паре логин/пароль при входе в аккаунт.
Во многих случаях этого будет достаточно, чтобы избежать нежелательных последствий повышенного интереса злоумышленников к вашему аккаунту. Те, кто желает пойти ещё дальше, могут рассмотреть для себя вариант приобретения аппаратного U2F-токена, такого как YubiKey – эти устройства отличаются простотой в использовании, однако под корпусом имеют продуманную криптографическую защиту на базе знакомых пользователям криптовалют приватных и публичных ключей.
И наконец, в последнее время некастодиальные биржи, например Binance DEX, добавляют возможность авторизации с помощью аппаратных кошельков, что позволяет использовать их не только для хранения криптовалют, но и их обмена.
«Немедленно поменяйте аутентификацию в Twitter и на крипто-аккаунтах на что-то, что не связано с SMS, например на Google Authenticator», – в свете последних событий призывает CEO блокчейн-проекта Tron Джастин Сан своих подписчиков.