في 9 يناير، قام أحد المتسللين باختراق حساب هيئة الأوراق المالية والبورصات الأمريكية (SEC) X، @SECGov. نشر الطرف غير المصرح به إعلانًا عن “موافقة الهيئة التنظيمية على الصناديق المتداولة في البورصة للبيتكوين، بالإضافة إلى منشور ثانٍ بعد دقيقتين تقريبًا يقول “$BTC”، وفقًا لما جاء في إفادة من المجلس الأعلى للتعليم. أدى هذا المنشور إلى ارتفاع أسعار البيتكوين. لم يكن لدى هيئة الأوراق المالية والبورصة (SEC) تمكين المصادقة الثنائية على حسابها، حيث تمت مشاركة X في ملف بريد في نفس يوم التسوية.
إن هيئة الأوراق المالية والبورصة ليست المنظمة الأولى التي يتم اختراق حساب X الخاص بها. يثير هذا الاختراق وأمثاله تساؤلات حول نظافة الأمن السيبراني، وكيف تتناسب وسائل التواصل الاجتماعي مع استراتيجية الأمن السيبراني، وانتشار المعلومات المضللة.
العملة المشفرة وحسابات X المعرضة للخطر
وفي هذه الحادثة بالذات، تمكن المتسلل من تنفيذ التسوية من خلال السيطرة على رقم هاتف مرتبط بحساب هيئة الأوراق المالية والبورصات، وفقًا لتحقيق X. من الممكن أن يكون المهاجم قد سيطر على رقم الهاتف عبر هجوم تبديل بطاقة SIM. ونظرًا للارتفاع الكبير في أسعار البيتكوين بعد منشور الدخيل، فقد يكون الدافع ماليًا.
وفي وقت سابق من الشهر، تم اختراق حساب X آخر كجزء من عملية احتيال للعملات المشفرة. من المحتمل أن يكون المتسللون قادرين على اختراق حساب Mandiant X التابع لشركة Google عبر هجوم كلمة المرور القوة الغاشمة، وفقًا لتحقيق شركة الأمن السيبراني. في هذه الحالة، استفاد الممثلون من الوصول إلى حساب Mandiant لمشاركة الروابط كجزء من حملة تجفيف CLINKSINK. نشر مانديانت أ مدونة وصف كيف تستنزف صفحات التصيد الاحتيالي التي يستخدمها هذا النوع من الحملات محافظ العملات المشفرة.
المصادقة متعددة العوامل
مثل اختراق حساب X الخاص بهيئة الأوراق المالية والبورصة، كان للمصادقة متعددة العوامل دور تلعبه في اختراق حساب Mandiant X. في 10 يناير، قامت شركة الأمن السيبراني نشر: “في العادة، كان من الممكن أن تخفف المصادقة الثنائية من هذا الأمر، ولكن نظرًا لبعض انتقالات الفريق والتغيير في سياسة المصادقة الثنائية الخاصة بـ X، لم نكن محميين بشكل كافٍ. لقد أجرينا تغييرات على عمليتنا لضمان عدم حدوث ذلك مرة أخرى.
وقد أثار افتقار هيئة الأوراق المالية والبورصة للمصادقة متعددة العوامل اهتمام المشرعين. شارك السيناتوران الأمريكيان رون وايدن، ديمقراطي من ولاية أوريغون، وسينثيا لوميس، جمهوري من ولاية وايومنج، في اجتماع مشترك. إفادة الدعوة إلى إجراء تحقيق في الاختراق وفشل هيئة الأوراق المالية والبورصات في الالتزام بأفضل ممارسات الأمن السيبراني.
وجاء في البيان: “نحثكم على التحقيق في ممارسات الوكالة المتعلقة باستخدام MFA، وعلى وجه الخصوص، MFA المقاوم للتصيد الاحتيالي، لتحديد أي ثغرات أمنية متبقية يجب معالجتها”.
دارين جوتشيوني، الرئيس التنفيذي والمؤسس المشارك لشركة حارس الأمنتشير شركة إدارة كلمات المرور والأسرار إلى أن تمويل وتشريعات الأمن السيبراني تحظى عادةً بدعم الحزبين. “إن التدقيق من الحزبين في هذا الحادث يمكن أن يعمل على زيادة حشد الدعم لتعزيز دفاعات الأمن السيبراني للوكالات الحكومية،” شارك في التعليقات عبر البريد الإلكتروني.
في حين أن المصادقة متعددة العوامل كان من الممكن أن تمنع اختراق حسابات SEC وMandiant، فمن المحتمل أن يكون العديد من المستخدمين الآخرين عرضة لهجمات مماثلة. شاركت شركة التواصل الاجتماعي في تقرير أمان الحساب، 2.6% من الحسابات النشطة لديها طريقة مصادقة ثنائية واحدة على الأقل ممكّنة اعتبارًا من الفترة المشمولة بالتقارير من يوليو 2021 إلى ديسمبر 2021.
“إذا كان الحساب مهمًا، فيجب [it] تتطلب في الواقع عوامل متعددة؟ إذا كان الحساب مهم، ينبغي [it] تتطلب عوامل قوية بالفعل؟ يسأل جيسون كيسي، الرئيس التنفيذي لشركة ما وراء الهوية، وهي شركة لإدارة الهوية بدون كلمة مرور، ومقاول دفاع سابق.
يوفر X مصادقة ثنائية عبر رسالة نصية أو تطبيق المصادقة أو مفتاح الأمان. ( ابتداءً من 20 مارس 2023، توقف X عن دعم المصادقة الثنائية عبر النص للمشتركين غير المميزين.) تقدم العديد من الأنظمة الأساسية الأخرى خيارات MFA مماثلة. “إنه يصور للمستخدم أن كل هذه الأشياء متساوية. ويقول شون لوفلاند، المدير التنفيذي للعمليات في شركة الأمن السيبراني: “إنهم ليسوا كذلك”. إعادة الأمن. “لذلك، يميل المستخدمون إلى اختيار تلك التي لديها أقل قدر من الاحتكاك، والتي تميل أيضًا إلى أن تكون الأقل أمانًا.”
على الرغم من أن الرسائل النصية القصيرة (SMS) مريحة، إلا أنها لا تعتبر خيارًا آمنًا لـ MFA. يقول غوتشيوني: “إن أساليب المصادقة الثنائية التقليدية مثل الرسائل النصية القصيرة هي أضعف من الطرق الأخرى مثل تطبيق المصادقة أو مفتاح الأجهزة”. “في الواقع، قام المعهد الوطني للمعايير والتكنولوجيا (NIST) بإزالة استخدام مصادقة الرسائل القصيرة من قائمة طرق المصادقة الموصى بها بسبب نقاط الضعف المحتملة.”
المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي، مثل مفاتيح أمان FIDO، يمكنها تعزيز دفاعات الأمن السيبراني للمؤسسة. يقول كيسي: “لمجرد وجود عوامل متعددة لشيء ما، لا يعني ذلك أنه لا يمكن تجاوزه بسهولة”. “إن العوامل المتعددة غير المقاومة للتصيد الاحتيالي هي بمثابة نمر من ورق.”
في حين يشير X إلى افتقار هيئة الأوراق المالية والبورصات إلى المصادقة ذات الحقيقة الثنائية، فهل كان بإمكان المنصة فعل أي شيء لمنع الاستيلاء على هذا الحساب؟ “يبدو أن X [have] يقول لوفلاند: “سمحوا باسترداد حساب باستخدام رسالة نصية قصيرة من جهاز، وأفترض… أنهم لم يشاهدوا تسجيل الدخول إلى X من قبل باستخدام هذا الحساب”. “يجب أن يكون لديهم احتياطات إضافية قائلين: “مرحبًا، يحاول شخص ما استرداد الحساب من جهاز لم يسجل الدخول إليه مطلقًا” [with] قبل.'”
معلومات مضللة
وتؤكد هيئة الأوراق المالية والبورصة في بيانها أنه “لا يوجد حاليًا أي دليل على أن الطرف غير المصرح له تمكن من الوصول إلى أنظمة هيئة الأوراق المالية والبورصات أو البيانات أو الأجهزة أو حسابات وسائل التواصل الاجتماعي الأخرى”. وبالمثل، يشير X إلى أن عملية الاستيلاء على الحساب لم تنطوي على أي خرق لأنظمته. لقد انقضت أقل من ساعة بين المنشور غير المصرح به وحذفه، لكن عواقب المعلومات الخاطئة كانت واضحة في ارتفاع أسعار البيتكوين.
ستظل حسابات X هدفًا للجهات الفاعلة التي ترغب في نشر معلومات مضللة، سواء لتحقيق مكاسب مالية أو لأغراض أخرى.
“سيقوم المالكون الشرعيون لهذه الحسابات دائمًا بمتابعة ونشر شيء ما بعد استعادة السيطرة على الحساب قائلين: “هذا لم يكن نحن”. من فضلك تجاهل هذه الرسالة، لكن الرسالة موجودة بالفعل في أذهان الجمهور. مختبرات النمر، منصة سحابية SIEM. “خاصة مع الحسابات واسعة النطاق مثل هيئة الأوراق المالية والبورصات وشركة مانديانت، فمن الممكن أن يكون الضرر قد حدث بالفعل.”
في عام الانتخابات الأمريكية، تتزايد المخاوف بشأن المعلومات الخاطئة والمضللة. يقول روبيك: “من الصعب جدًا أن ينسى عامة الناس أو وسائل التواصل الاجتماعي تلك المعلومات المضللة حتى بعد إثبات أنها كاذبة”.
تعد وسائل التواصل الاجتماعي جزءًا لا يتجزأ من العمليات التجارية للعديد من المؤسسات. في حين أن فرق التسويق أو فرق التواصل الاجتماعي المخصصة قد تكون مسؤولة عن الحسابات مع X والمنصات الأخرى، فإن لدى CISOs وفرقهم دورًا يلعبونه أيضًا.
يقول روبيك: “هناك ميل إلى النظر إلى حسابات وسائل التواصل الاجتماعي على أنها لا تقل أهمية عن حساب المسؤول للبنية التحتية لتكنولوجيا المعلومات لديك، على سبيل المثال”. “ولكن خاصة بالنسبة للمؤسسات التي لديها عنصر كبير يواجه الجمهور… أعتقد أن هناك حجة تقول إن خطر الاستيلاء على حسابات وسائل التواصل الاجتماعي كبير ويجب أن يؤخذ على محمل الجد”.
