アメリカのOnion(HP)というニュースサイトがTwitterのアカウントを乗っ取られた時の手法を公開しているようです。
記事によると
- 「Onion」がTwitterのアカウントを乗っ取られた手法
- 事件
- 2013年5月6日ごろ、不正なツイートをされた
- 犯人
- 「シリア電子軍」(SEA)を名乗る集団
- AP通信やGuardian紙などのTwitterアカウントも乗っ取っている
- 手法
- 5月3日ごろ、複数の従業員にフィッシング詐欺メールが届いた
- 国連難民高等弁務官事務所を思わせる「unhcr.org」のアドレスから届いたように見せかけてあった
- 「この記事は大切なのでぜひお読みください」と書いてあった
- Washington Post紙の記事へのリンクを装ったURLを参照するよう促す内容だった
- 実際にはWashington Postとは無関係のWebサイトにつながっている
- 少なくとも1人が引っかかる
- リンクをクリックすると、Google Appsのログイン情報入力を促す画面にユーザーを誘導
- 恐らくユーザーID、パスワードを入力したと思われる
- 5月6日このアカウントからOnion社内の他の従業員宛に同じ内容のメールを送信
- 受信した従業員の多くは、送信元が信頼できるアドレスだったのでクリックした
- その内、2人がログイン情報を入力
- 1人は社内の全ソーシャルメディアのアカウントへアクセスできる権限を持つ人物だった
- その後(日時不明)、Onionはアカウントへの不正侵入に気づいた
- 全社員にメールのパスワード変更を呼び掛けた
- パスワードリセット用のページに見せかけたメールが送られてきた
- 乗っ取りに気づいていない社内アカウントから送られてきた
- 少なくとも2つのアカウントが乗っ取られた
- 1つがTwitterアカウントのハッキングに使用された
- 対処方法
- ユーザー教育
- ログインを促すリンクは送信者を問わず疑ってかかるようにする
- システム
- Twitterアカウント用の電子メールアドレスは、その組織の通常の電子メールとは切り離されたシステム上に置く
- Twitterへの活動は全て、アプリ経由で行う
- 例えばHootSuiteなど
- 会社のメール以外で社内の全ユーザーに連絡できる手段を確保する
Onionは社内メールに恐らくGmailを使用していたのでしょう。
それで、google Appのアカウントを乗っ取られて、社内に詐欺メールをばら撒かれたのだろう。
google AppからTwitterのアカウント乗っ取りの手法は公開されていないのでわからない。
同じようなフィッシングメールだったかの、ウィルスをダウンロードさせられたのか、その他手法など色々考えられる。
結局は使用する人の情報リテラシーに依存してしまう。
少なくともメールからリンクをクリックした場合、直接サイトを表示せずにURLを表示し、確認する仕組みがほしい。
記事
我々はこうしてだまされた――Twitterハッキングの被害企業が手口を公表 ITmediaニュース
0 件のコメント:
コメントを投稿