ハッカーは、ジャックドーシーのプロファイルをハイジャックして、Twitterアカウントを簡単に乗っ取ることができることを証明
侵害されたソーシャルネットワークアカウントの結果は何ですか?これは、アカウントの所有者に大きく依存していると言っても過言ではありません。ほとんどの一般ユーザーにとっては、オンラインセキュリティに十分な注意を払っていれば、それほど苦痛は生じないはずですが、不便です。多くのフォロワーがいて、ソーシャルメディアの存在からお金を稼ぐ人々にとって、その影響ははるかに重要です。
しかし、ソーシャルメディアWebサイトの担当者がアカウントを侵害された場合、その人物と彼らが面倒を見るプラットフォームの両方に対する恥ずかしさのレベルは非常に大きいです。 Twitterの共同設立者兼CEOであるJack Dorseyは、この気持ちをよく知っています。
金曜日に、Twitterでのドーシーの420万人のフォロワーは、突然の異常なツイートの流れを目撃しました。それは2つの異なる理由で異常でした。まず、プラットフォームを実行しているにもかかわらず、Dorseyは世界で最もアクティブなTwitterユーザーではないため、短時間で複数の更新を投稿することはめったにありません。しかし、もっと重要なことは、このツイートがシリコンバレーの大手企業のCEOにふさわしくないということです。それらには、完全に文脈から外れた人種差別的なスラーとメッセージが含まれていました。人々はすぐにドーシーのアカウントがハッキングされたのではないかと疑い、 #ChucklingSquadハッシュタグがすべての疑念を解消しました。
The Vergeが指摘したように 、Chuckling Squadは、多くの有名人やソーシャルメディアのパーソナリティのアカウントをハッキングすることで名を上げようとするサイバー犯罪者のグループであり、Jack Dorseyはこれまでで最も知名度の高い被害者です。不正なツイートは迅速に削除され、TwitterはCEOがアカウントを侵害したことを認めました。しかし、Chuckling Squadはどのようにそれをしましたか?
ジャック・ドーシーはSIMスワッピング攻撃の犠牲になりました
ドーシーは、ソーシャルメディアのプロフィールを乗っ取られた最初のシリコンバレーのCEOにはほど遠い。数年前、ハッカーは有名なソーシャルネットワーク自身、マークザッカーバーグに属する複数のアカウントに侵入しました。 FacebookのCEOは二要素認証の大ファンではなく、アカウントを保護するために非常に単純なパスワードを使用していることを理解した後、彼らはそれをしました。
実際、あなた自身のプラットフォームであなたのアカウントのコントロールを失うという感覚は、ジャック・ドーシーにとっても新しいものではありません。 2016年、サイバー犯罪者は未使用のサードパーティアプリを悪用して、ドーシーに代わっていくつかの不正なツイートを送信しました。
しかし、金曜日の攻撃の間、詐欺師たちはサードパーティのアプリを使用せず、ドーシーのパスワードも推測しませんでした。代わりに、 SIMスワップと呼ばれる手法を使用してアカウントを引き継ぎました。
SIMスワッピング攻撃では、犯罪者はモバイルサービスプロバイダーを説得して、被害者の電話番号に関連付けられた新しいSIMカードを発行します。そのようにして、彼らは上記の電話番号を制御し、ターゲットになりすますことができます. Jack Dorseyの場合、彼らは彼に代わってツイートも投稿しました。
Dorseyのマイクロブログプラットフォームには、しばらくの間「 Twitter via SMS 」と呼ばれる機能があったため、彼らはそれを行うことができました。かなりの数の国のユーザーが利用でき、ご想像のとおり、アカウント所有者は自分のプロフィールにツイートとして表示されるテキストを送信できます。また、一連のコマンドを使用して、他の人によるリツイートや更新のようなツイート、フォロー、ブロック、ダイレクトメッセージの送信を他のアカウントに行うこともできます。ジャックドーシーの電話番号をハイジャックした後、犯罪者はこれらすべてのことを行うことができました。
Twitterは非難しないと言っています
攻撃を受けて、Twitterは一連のツイートで、全体が「モバイルプロバイダーによるセキュリティ監視」の結果であると述べました。コミュニケーションチームは、Twitter自体のシステムが侵害されていないことを発表し、今後同様の攻撃を防止するメカニズムの種類を明らかにしないことにしました。
基本的に、Twitterはすべての非難をモバイルサービスプロバイダーの玄関口に置くべきだと考えているように聞こえますが、これはせいぜい物議をかもしています。実際、Dorseyの電話会社は電話番号を保護するのに十分ではなく、1つのハイジャックされた番号を使用して達成できる損害の量を考えると、これ自体はかなり心配です。
ただし、一方で、Twitterのようなオンラインサービスは、この損害を可能な限り制限するためにできる限りのことを行う必要があります。また、マイクロブログWebサイトが攻撃に対応する方法は、この責任を非常に真剣に受け止めていることを示唆していません。 SIMスワッピングは現在かなり古いトリックであり、すべての人の脅威モデルの一部であるはずです。残念ながら、通信プロバイダーは、予防に関しては確実に遅れを取っています。これは、セキュリティの人々が私たちを保護するためにできる限りのことをするインセンティブになるはずです。