Twitter a été victime mercredi 15 juillet d’une cyberattaque d’ingénierie sociale. L’objectif : escroquer les internautes aux cryptomonnaies.
Les pirates informatiques ont pris le contrôle de plus de 130 comptes (source : les echos). Ils ont usurpé l’identité de personnalités célèbres et entreprises de confiance : Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Bill Gates, Kanye West, mais aussi Bitcoin, Apple et Uber, Binance et bien d’autres encore.
Twitter : escroquée au Bitcoin
Les pirates informatiques ont adressé un tweet pour chacune des communautés d’internautes. Ils leur garantissaient une offre irrésistible : investir 1 000$ dans les 30 minutes pour être remboursé le double, soit 2 000$.
Plus d’une heure après l’attaque, de nombreux internautes ne pouvaient plus tweeter. Cette décision fût l’une des premières mesures de sécurité prises par Twitter, après l’alerte de la cyberattaque. Et d’ajouter l’impossibilité de réinitialiser les mots de passe.
Selon Blockchain.com, les fraudeurs sont néanmoins parvenus à détourner près de 12,58 Bitcoins (soit environ 116 000$ ou 101 000€). L’adresse (unique) de transaction des fraudeurs a par ailleurs enregistré plus de 350 transferts d’argent.
Hameçonnage par téléphone de Twitter et cyberattaque d’ingénierie sociale
Twitter a confirmé qu’il s’agissait bien d’une “attaque coordonnée d’ingénierie sociale”. Celle-ci a visé “avec succès certains de nos employés qui disposent d’accès à nos outils internes”. (source : le Monde).
Les salariés de Twitter, piégés par les pirates informatiques via une attaque d’hameçonnage par téléphone, leur aurait donné accès à un outil interne à Twitter. Cet outil, un panneau de contrôle, donne accès à la gestion des comptes Twitter. C’est donc de cette manière que les hackers ont pris le contrôle de plusieurs adresses e-mails afin d’usurper l’identité de personnalités et entreprises influentes.
La vulnérabilité humaine sera toujours un point faible dans toute stratégie d’atténuation des risques. La mise en place d’une culture de sensibilisation à la sécurité sur le lieu de travail peut contribuer à réduire ces risques.
Cette cyberattaque discrédite de Twitter
Ce n’est pas la première fois que Twitter doit traiter un problème de sécurité. Son image est à chaque fois dégradée. D’autant plus cette fois-ci car, selon Bloomberg, les employés d’un sous-traitant utilisaient les outils internes de Twitter pour espionner les comptes de certaines célébrités internationales. Récupération d’informations, de données de localisation, etc : autant d’actes cybermalveillants qui nuisent à l’image de l’oiseau bleu ! Des pratiques connues en interne mais jamais stoppées ! (source : La Nouvelle Tribune).
Qu’est-ce qu’une cyberattaque par ingénierie sociale ?
L’ingénierie sociale (Social Engineering) est une technique de manipulation psychologique utilisée par les pirates informatiques pour obtenir des informations (données, mots de passe, identifiants…). Cette pratique repose sur l’abus de confiance et l’exploitation des faiblesses humaines. Pour obtenir des informations sur leur cible, les hackers n’hésitent pas à investiguer par : e-mail, réseaux sociaux, appels téléphoniques et même lors d’une “rencontre et discussion anodines” dans la rue.
Généralement, les victimes n’ont pas conscience d’être leurrées car les hackers jouent sur leurs émotions et/ou centres d’intérêt pour les escroquer. Peur, stress, enthousiasme, etc : en effet, il est plus aisé d’exploiter les failles humaines plutôt que de tenter de pirater les failles techniques des organisations.
C’est, par exemple, ce type de cyberattaque qui avait touché Snapchat en 2016. Un hacker avait usurpé l’identité du Responsable des services RH et envoyé un e-mail de phishing à un salarié. L’employé, abusé, lui avait alors envoyé le fichier sur la paie des salariés de l’entreprise.
Aussi est-il important de rester vigilants sur ce qui est publié sur le web et de connaître quels gestes adopter pour éviter les attaques par ingénierie sociale.
