Bawang menjelaskan bagaimana akun Twitter-nya diretas

Peretas yang menyita akun Twitter The Onion menggunakan serangan phishing sederhana namun efektif untuk mendapatkan kata sandi, menurut langgan oleh tim teknologi penerbit.

The Syria Electronic Army (SEA), sebuah kelompok pendukung yang diperangi Presiden Suriah Bashar al-Assad, juga telah mengkompromikan akun Twitter terkemuka, termasuk dari Associated Press, The Guardian, BBC dan NBC News.

The Onion, saluran media spoof yang menyebut dirinya "Berita Terbaik Amerika Sumber, "melihat akun Twitternya diambil alih pada hari Senin. Bawang menyindir peretasan dengan sebuah cerita yang mengatakan bahwa itu telah mengubah kata sandi Twitternya menjadi "OnionMan77."

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tapi tim teknologi The Onion menulis posting yang serius di Kamis menjelaskan bagaimana kehilangan kendali akun untuk sementara.

SEA mengkompromikan akun Google Apps dari lima karyawan bawang merah. Serangan itu dimulai sekitar 3 Mei dengan serangkaian email phishing kepada beberapa karyawan dengan tautan ke cerita Washington Post.

Sebuah gambar menunjukkan salah satu email itu tampaknya berasal dari domain milik Komisaris Tinggi Perserikatan Bangsa-Bangsa untuk Pengungsi.

Tautan Washington Post, bagaimanapun, adalah tipu muslihat dan mengarahkan korban ke halaman login Google Apps palsu. Tim teknologi menulis bahwa setidaknya satu karyawan memasukkan identitasnya.

Setelah SEA menguasai akun nyata, mereka menggunakannya untuk mengirim lebih banyak email phising kepada staf Bawang lainnya lebih awal pada 6 Mei.

"Datang dari alamat tepercaya, banyak anggota staf yang mengklik tautan, tetapi kebanyakan tidak mau memasukkan kredensial masuk mereka, "tulis Bawang. "Dua anggota staf memang memasukkan kredensial mereka, yang salah satunya memiliki akses ke semua akun media sosial kami."

Staf teknologi koran itu memperingatkan semua orang untuk mengubah kata sandi email mereka. Namun penyerang menggunakan akun kompromi lain yang belum ditemukan untuk mengirim tautan setel ulang sandi. Itu benar-benar halaman phishing yang lain.

Dua akun lagi dikompromikan oleh upaya itu, salah satunya memungkinkan SEA melanjutkan akses ke akun Twitter-nya.

Bawang menggunakan bakatnya untuk sarkasme untuk mencoba memastikan akun mana yang disusupi. Ini menerbitkan sebuah cerita, "Tentara Elektronik Suriah Memiliki Sedikit Kesenangan Sebelum Kematian Yang Terjadi Tak Terduga di Tangan Pemberontak," yang memperburuk para peretas, yang kemudian mulai memposting di Twitter. Tetapi masih belum jelas.

"Setelah kami menemukan ini, kami memutuskan bahwa kami tidak dapat mengetahui dengan pasti akun mana yang telah disusupi dan memaksa pengaturan ulang kata sandi pada setiap akun Google Apps anggota staf," tulis Bawang.

Bawang mengatakan serangan itu tidak rumit dan dapat dicegah dengan beberapa langkah pengamanan sederhana.

Tim teknologi kertas mengatakan bahwa alamat email untuk akun Twitter harus disimpan pada sistem yang berbeda dari email normal organisasi. Asalkan kata sandi kuat, "ini akan membuat akun Twitter Anda benar-benar kebal terhadap phishing."

Selain itu, Bawang menyarankan agar tweet harus melalui aplikasi seperti HootSuite, yang mencegah akses berbasis kata sandi ke akun. HootSuite menggunakan sistem masuk tunggal dan OAuth, yang menggunakan token sesi dan keamanan untuk mengautentikasi pengguna berulang.