Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Medya
Pek İyi Bir Görünüm Değil: Ele Geçirilen @SECgov Sosyal Medya Hesabı Bitcoin Söylentilerini Yayıyor
Mathew J. Schwartz (euroinfosec) •
31 Ocak 2024
Sosyal medya hesapları (özellikle devlet kurumlarına, ünlü şirketlere ve yüksek profilli bireylere bağlı olanlar), özellikle daha önce Twitter olarak bilinen X söz konusu olduğunda, dolandırıcıların ve dolandırıcıların ele geçirmesi için bir numaralı hedef olmaya devam ediyor. Bu hesapları güvende tutmanın en iyi yolu nedir?
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Güvenlik uzmanı Rachel Tobac bana tavsiyesinin değişmediğini söyledi: Mümkün olduğunda çok faktörlü kimlik doğrulamanın yanı sıra amaca uygun şifre yönetimi araçlarını kullanın.
SocialProof Security’nin CEO’su ve Güvenlik ve Gizlilikte Kadınlar bölümünün başkanı olan Tobac, “Müşterilerime bir grup şifre yöneticisi ve grup şifre yöneticisi MFA aracı kullanmalarını öneriyorum” dedi.
Kurumsal sosyal medya hesaplarının güvenliğinin nasıl sağlanacağı sorusu, yakın zamanda gerçekleşen iki hesap devralımının ardından yeniden ilgi odağı haline geldi. 3 Ocak’ta, Google Cloud’un Mandiant olay müdahale grubunun resmi X hesabında yayınlanan bir gönderide, kripto para birimi boşaltma sayfasının bağlantısı paylaşıldı. 9 Ocak’ta, ABD Menkul Kıymetler ve Borsa Komisyonu’nun X’teki resmi @SECgov hesabına gönderilen bir gönderi, sahte kripto para birimi haberlerini yayınladı ve Bitcoin’in değerinde geçici bir artışa yol açtı.
Ne Mandiant ne de SEC, kısmen kullanılabilirlik sorunlarına atfettikleri X’in MFA teklifini kullanarak hesaplarını korumuyordu. Mandiant, bu olmadan birisinin hesap şifresini kaba kuvvetle tahmin edebildiğini söyledi. Mandiant, “Normalde 2FA bunu hafifletirdi, ancak bazı takım geçişleri ve X’in 2FA politikasındaki değişiklik nedeniyle yeterince korunamadık” dedi.
Bu, X CEO’su Elon Musk’un Şubat 2023’te SMS tabanlı MFA kullanımının tüm premium olmayan hesaplar için devre dışı bırakılacağını duyurmasına bir göndermedir. Bu yaklaşım, kimlik doğrulama uygulaması veya donanım anahtarı kullanmak kadar güvenli olmasa da, o dönemde ve o zamandan bu yana güvenlik uzmanları, SMS tabanlı MFA’nın bile hiç yoktan daha iyi olduğunu söyleyerek bu hareketi kınadılar.
SEC, hesabın ele geçirilmesini SIM değiştirme saldırısından sorumlu tuttu. Bir saldırgan, X’teki hesaba kayıtlı bir telefon numarasını taklit ederek şifre sıfırlamayı tetikleyebildi. Saldırgan daha sonra şifreyi kendi seçtiği birine ayarlayarak kontrolü ele geçirmesine olanak sağladı.
SEC’in geçen yıl çalışanların “hesaba erişim sorunları nedeniyle” resmi X hesabı için MFA’nın devre dışı bırakılmasını talep etmesi dışında, MFA böyle bir saldırıyı önleyebilirdi. Bu aynı zamanda X’in MFA ile ilgili SMS yoluyla yaptığı değişikliğin sonuçları gibi görünüyor.
Bir güncellemede ajans, geçen hafta MFA’nın “şu anda onu sunan tüm SEC sosyal medya hesapları için etkin olduğunu” bildirdi.
Sosyal Medya Yönetim Platformu Kullanıyor musunuz?
Yalnızca bireysel sosyal medya platformları tarafından sunulanlara güvenmek veya her gönderi paylaşmak istediklerinde her birine giriş yapmak zorunda kalmak yerine, birçok kuruluş Hootsuite, Sprout Social veya diğer birçok sosyal medya yönetim platformunu da kullanıyor. seçenekler. Bunlar, birden fazla çalışan arasında daha kolay planlama, çapraz gönderim ve erişim yetkisi verilmesini kolaylaştırır.
Tobac, danışmanlık yaptığı şirketler hakkında şunları söyledi: “Hootsuite ve Sprout Social’ı kullanmayı tercih ederlerse, şifrelerini bir grup şifre yöneticisinde saklamalarını ve gerektiğinde güvenli bir şekilde erişebilmeleri için şifre yöneticisi aracılığıyla grup MFA’yı kullanmalarını öneririm.”
Tobac ayrıca, hesapların ele geçirilmesini kolaylaştırmak amacıyla SIM değiştirme saldırılarının kullanımını engellemek için bir telefon numarasının bir X hesabına bağlanmamasını da tavsiye etti. “Telefon numaranızı değerli hesaplara bağlamayın” dedi söz konusu @SECgov’un kurbanı olan bir kişinin ardından gelen bir “hesap ele geçirme önleme kılavuzunda”. “Zamanla, telefon numaralarımız dijital yaşamlarımız için giderek daha önemli hale geldi. Aslında bu hiç olmamalıydı ama 2000’li yıllarda internet ve kimlik doğrulama hızla değişirken domino taşları böyle düştü.”
SEC, hem temel bir güvenlik savunması hem de düzenlediği halka açık şirketlerden talep ettiği MFA’yı kullanmadığı için eleştirildi. X hesabının ele geçirilmesi iyi bir görünüm olmasa da, Musk’un zayıf “kitleler için SMS yoluyla ücretsiz MFA yok” hamlesi nedeniyle sosyal ağın kendisi de kısmen suçlanıyor.
Tobac, “Tüm çok faktörlü kimlik doğrulamanın ücretsiz, erişilebilir ve kullanımı kolay olması gerekir” dedi. “Twitter’ın SMS 2FA’yı bir ödeme duvarının arkasına koyması, kullanıcılarının en iyi güvenlik uygulamalarını desteklemiyor.”