Twitter通过针对性的羽毛钓鱼攻击确认

Twitter对2020年7月早些时候发生的严重网络攻击的调查发现，网络犯罪分子通过普遍策划和精心有针对性的社会工程疫苗攻击对Twitter自己的员工进行了持续的攻击。

使用称为vishing的技术在手机上进行了攻击，并成功地获得了特定的员工凭据，让攻击者能够访问Twitter的内部支持工具。从那里，他们针对可以访问关键帐户支持工具的更高级别的员工。

通过此类访问级别，他们能够控制130个Twitter帐户，推文从45次推断恶意消息，访问直接消息（DM）收件箱36，并下载七个的Twitter数据。

“这次袭击依靠重要而协调一致的尝试来误导某些员工并利用人类漏洞来获取我们的内部系统，”通过披露博客表示Twitter发言人。“这是一个引人注目的提醒，对我们团队中的每个人在保护我们的服务方面有多重要。我们认真对待责任，Twitter的每个人都致力于保持您的信息安全。

“我们已经与受影响的账户所有者直接通信，并努力恢复对在我们的修复工作期间可能暂时锁定的任何帐户的访问。我们的调查正在进行中，我们正在与适当的当局合作，确保确定对该攻击的人民进行了确定。“

Twitter承认，该事件提出了对其工具和员工访问水平的担忧。它说，在日常的基础上，它的支持团队确实使用了许多专有工具来协助他们的工作，但可以访问此类工具非常有限，只有有效的业务原因才能批准。该公司运营零容忍策略，以滥用这些工具或凭据，并积极监视并审核其授予的权限。

然而，显然，这些保障措施未能考虑通过其系统横向移动的恶意演员，因此它表示它将在如何使这些流程更加复杂和安全的过程中“努力”。

“向前展望，我们正在加速我们的几个预先存在的安全工作流和改进我们的工具，”该公司表示。“我们还在改进我们的检测和阻止对我们内部系统的不恰当访问以及我们在我们的许多团队中优先考虑安全工作的方法。我们将继续全年组织持续的公司范围的网络钓鱼练习。

“我们尴尬，我们很失望，而不是什么，我们很抱歉。我们知道我们必须努力重新获得信任，我们将支持所有努力将肇事者带到正义。我们希望我们在整个过程中的开放性和透明度，以及我们将来会采取的措施和工作，以便将来对其他攻击进行维护，这将是开始做到这一点的开始。“

斯图尔特里德，英国奥兰缇·瓦斯邓塞（Orange Cyber​​ Defense）表示：“如涉嫌，这突破由社会工程 - 黑客捕获人类脆弱性。针对网络钓鱼企图的技术对策，并检测今天的恶意活动比过去更强大。另一方面，人类更复杂，难以在某些情况下预测，而易于操纵他人。

“这对组织雇用了人们的分层方法，工艺和技术是至关重要的。这一事件强调了员工在员工中的认识和教育以及他们在良好数据卫生中发挥作用的关键重要性。网络安全不是唯一的兴趣或职能 - 这是所有人的共同责任。“

Atlas VPN本周早些时候提前产生的Twitter攻击的分析发现，恶意推文可能已达到3.82亿人，尽管不同账户的追随者之间显然有些重叠。袭击的最大账户是前美国总统巴拉克·奥巴马的账户，后者是12100万人，或37％的货币可测调用户，后跟6600万，比尔盖茨，其次是5130万。