Billede Kilde: Twitter
Sikkerhed research group Adgang Nu har opdaget en klog angriber, der anvendes mod indflydelsesrig social media brugere som et middel til at udbrede falske nyheder. “Doubleswitch” ikke kun omfatter kapring verificerede konti, men gør det yderst vanskeligt for den retmæssige ejer til at genvinde kontrollen over deres håndtag.
Ifølge rapporten, aktivister og journalister i Venezuela, Bahrain, Myanmar, og andre steder har været målet med denne metode. Det mål at sprede misinformation og stilhed målet, men angriberne er også slette ældre indlæg, at de ikke kan lide.
Ideen om Doubleswitch er ret enkel. Hackeren overtager kontrollen med en verificeret konto via de sædvanlige metoder som e-mail til phishing. Derefter, hackere ændrer e-mail og adgangskode på den konto. Lad os sige, at ofret er New York Times reporter Maggie Haberman (@maggieNYT), der har 491,000 tilhængere. De første tænder kommer, når hacker ændrer sin konto navn Bernie Sanders og ændringer hende til at håndtere @BernieSander, et enkelt bogstav, der er anderledes end den virkelige Bernie. Nu, hacker har en konto med en masse af tilhængere, der kan have tillid til Bernie, og den konto, der synes at være legitime. I mellemtiden, Haberman er blevet låst ude af sin konto og automatiseret recovery er at kontakte hacker e-mail, som informerer Twitter, at alt er fint.
Det andet skifte kommer, når hackeren starter en ny konto med håndtag @maggieNYT og navn Maggie Haberman. Nu har de Haberman legitime ud, men ubekræftet konto. Hacker provenuet til at udbrede falske nyheder via både konti og brugere, klik på retweet, da de går om deres dag.
Twitter har en form for rapportering spørgsmål, som vil blive gennemgået af mennesker, men det er en langsommere proces. Og dette problem er ikke blot henvist til Twitter, men alle sociale medier, der tilbyder kontrol. Det bedste forsvar mod det to-faktor autentificering. Men i nogle lande, som i Venezuela, som er der, hvor Adgang Nu fundet den første forekomst af den teknik, aktivister og journalister kan undgå at knytte personlige oplysninger til den konto. Hvad er inkluderet Nu foreslår, er, at disse tjenester bør være mere proaktiv i at tilbyde andre former for multi-faktor-autentificering, som en app-baseret løsning.
[Nu adgang via Hacker News]