Meerdere eigenaren van een bijzondere Twitternaam zijn het doelwit van een aanval geworden waarbij social engineering werd gebruikt. Onlangs deed Naoki Hiroshima zijn verhaal hoe aanvallers door middel van social engeeringaanvallen op PayPal en GoDaddy uiteindelijk toegang tot zijn accounts kregen.

PayPal ontkende dat werknemers zich hadden laten social engineeren, maar GoDaddy bekende dat een werknemer informatie aan de verkeerde persoon had doorgegeven en kondigde maatregelen aan. Het probleem van social engineering speelt ook bij andere bedrijven, zo blijkt uit het verhaal van Josh Bryant, die het Twitteraccount @JB heeft. Vanwege de korte naam en initialen van de Jonas Brothers en Justin Bieber een geliefd doelwit.

De aanval op Bryant begon met een e-mail dat hij zijn Amazon-wachtwoord vergeten was. Aangezien hij het verzoek niet had ingediend negeerde hij dit. Een uur later ontving hij echter een e-mail dat zijn wachtwoord was gewijzigd. Bryant had echter het geluk dat hij het nieuwe wachtwoord via een automatisch "wachtwoord vergeten" verzoek kon resetten en zo de controle over zijn account bleef houden. Vervolgens belde hij Amazon en kreeg te horen dat een Amazonmedewerker een vreemde toegang tot zijn account had gegeven.

Hierna belde hij de iCloud-helpdesk van Apple. Ook hier waren werknemers gebeld door iemand die zich als Bryant voordeed. Terwijl hij met Apple aan de telefoon zat ontving hij een e-mail van de iCloud-helpdesk met instructies om zijn wachtwoord te resetten. Het ging om een bericht dat door een Apple-medewerker handmatig was verstuurd. Die had het bericht naar het Gmail-adres van de aanvaller gestuurd, met het e-mailadres van Bryant in de CC.

Werkwijze

Bryant besloot vervolgens contact met zijn aanvaller op te nemen, die erg open over zijn werkwijze was en bekende dat hij de Twitternaam wilde stelen. De aanvaller legde uit hoe hij eerst begon met het onderzoeken van Bryant. Het Twitterprofiel @JB linkte naar een website, die WHOIS-informatie bevatte. Voor al zijn domeinnamen had Bryant het adres van zijn ouders gebruikt. Aangezien hij ook cadeaus naar zijn ouders via Amazon had gestuurd, stond dit adres bij Amazon in het systeem.

Vervolgens belde de aanvaller Amazon met het kleine beetje verzamelde informatie en stelde dat hij zijn wachtwoord had verloren en ook geen toegang tot zijn e-mailaccount meer had. De werknemer liet zich social engineeren en gaf de aanvaller via de telefoon het wachtwoord waardoor hij toegang tot het Amazon-account van Bryant kreeg.

De aanvaller wilde informatie uit het Amazon-account gebruiken om vervolgens werknemers van Apple te social engineeren, wat ook lukte. Doordat Bryant echter online was toen de aanval plaatsvond en hij de resetmail van zijn iCloud-account ook ontving kon hij de aanval uiteindelijk afslaan.

Maatregelen

Amazon verklaarde tegenover Bryant het personeel beter te zullen trainen. Toch zijn er ook maatregelen die consumenten kunnen nemen. Zo verzocht Bryant zowel Amazon als Apple om geen wijzigingen per telefoon meer toe te staan. Eerder had hij de wachtwoordresetfeature van Twitter aangepast, zodat wachtwoordresets alleen mogelijk zijn als iemand over specifieke informatie van de eigenaar beschikt.

Een andere tip die Bryant geeft is het gebruik van verschillende identiteiten bij Amazon. Hij gebruikte zowel voor de diensten van Amazon als de webwinkel één identiteit. De kern van het probleem ligt echter bij de bedrijven. "Sommige van de grootste bedrijven in de wereld hebben security die alleen zo goed is als de minimumloon helpdeskmedewerker die de macht heeft om je account te resetten. En ze hebben geldige bedrijfsredenen om ze deze macht te geven", aldus Bryant.