Doubleswitch
nowa forma przejęcia kontroli nad kontem w portalach społecznościowych, wykorzystywana bardzo często w odniesieniu do kont w serwisie Twitter, ale możliwa do zastosowania także na Facebooku i Instagramie. Jej specyfika polega na tym, że atak czyni standardowe mechanizmy odzyskiwania konta bezużytecznymi, co pozwala napastnikowi utrzymać kontrolę nad kontem ofiary przez dłuższy czas. Atak doubleswitch polega na przejęciu konta w kilku krokach. Najbardziej narażeni są na niego użytkownicy, którzy nie włączyli formy uwierzytelniania wieloetapowego. Osoba atakująca może nakłonić właściciela takiego konta do ujawnienia hasła za pomocą phishingu. Brak uwierzytelnienia wieloetapowego sprawia, że niewymagane jest kolejne działanie, by przejąć konto. Następnie możliwe staje się wysyłanie wiadomości, jak również subtelne zmienianie informacji o koncie, w tym nazwy użytkownika. Oryginalna nazwa staje się wówczas dostępna, co pozwala zainteresowanemu zarejestrować konto przy jej użyciu, przy czym dysponuje on jednocześnie innymi danymi do logowania. Jeśli ofiara spróbuje odzyskać oryginalne konto poprzez zresetowanie hasła, wiadomość e-mail związana z tą procedurą zostanie wysłana bezpośrednio do atakującego. Taka forma przejmowania kont ma poważne konsekwencje w szczególności w wypadku działaczy na rzecz praw człowieka, dziennikarzy oraz osób, dla których ważna jest możliwość komunikowania się ze swoimi zwolennikami. Atakujący może wykorzystywać konto i wpływy swojej ofiary, a także niszczyć jej reputację. Niektórzy mogą nigdy nie odzyskać swojego konta, a nawet kiedy jest to możliwe, muszą poświęcić na to sporo czasu i wysiłku.
Znaczenie przejmowania kont społecznościowych przy wykorzystaniu doubleswitch wynika z tego, że działacze polityczni, biznesmeni, dziennikarze i aktywiści na całym świecie wykorzystują platformy mediów społecznościowych, takich jak Facebook i Twitter, aby komunikować się z otoczeniem. Rządzący w represyjnych reżimach politycznych czy zwykli przeciwnicy lub konkurenci czynią konta społecznościowe takich osób celami ataku. Zdobycie kontroli nad profilami tych ostatnich może uniemożliwić lub utrudnić ofierze komunikację, zawstydzić jej zwolenników, a także wywołać niepewność i szerzyć dezinformację. Efekty takich działań można złagodzić za pomocą zautomatyzowanych procesów odzyskiwania kont opracowanych przez samą platformę mediów społecznościowych przy użyciu takich narzędzi, jak formularze do zgłaszania nieprawidłowości online. Ataki doubleswitch są szczególnie popularne w Wenezueli, Bahrajnie i Myanmarze. Aktywiści działający na rzecz demokracji i praw człowieka, którzy próbują odzyskać swoje konta w mediach społecznościowych za pomocą standardowych procesów odzyskiwania kont, często pozostają zablokowani przez wiele miesięcy. Za sprawą omawianej formy przejęcia konta ofiary nie tylko tracą kontrolę nad swoimi kontami, ale także trudniej im je odzyskać, a w wielu wypadkach nigdy im się to nie udaje.
Infolinia Digital Security przedsiębiorstwa Access Now, która pomaga osobom prywatnym i przedsiębiorstwom na całym świecie w zakresie działań na rzecz bezpiecznego korzystania z internetu, zidentyfikowała nową formę ataku za sprawą współpracy z aktywistami z Wenezueli, gdy ta ostatnia przechodziła okres głębokich niepokojów politycznych. Obowiązywał wówczas dekret prezydenta zezwalający na nadzór i cenzurę online. 9 stycznia 2017 r. infolinia Digital Security otrzymała prośbę o pomoc od znanej dziennikarki M. Socorro, która poinformowała, że jej konto na Twitterze zostało przejęte. Miesiąc później zgłoszony został drugi wniosek o pomoc – od M. Pizarro, obrońcy praw człowieka i członka parlamentu Wenezueli.
Pracujący dla Access Now, którzy regularnie zajmują się odzyskiwaniem kont mediów społecznościowych dla swoich klientów działających na rzecz społeczeństwa obywatelskiego, zorientowali się, że nowe ataki były inne. W obu wypadkach atakujący w niejasny sposób uzyskali dostęp do konta na Twitterze ofiary. Następnie zaktualizowali informacje o koncie, zmieniając hasło i powiązany adres e-mail oraz blokując legalnego użytkownika. Na profilu Socorro porywacze zmienili nazwę użytkownika z @MilagrosSocorro na @DESAMORTOOT, na koncie Pizarro zaś – z @Miguel_Pizarro na @PizarroPSUV, a następnie na @BuscoAsao. Po uzyskaniu pełnej kontroli wykorzystano funkcję, która pozwala Twitterowi nadawać po raz kolejny nieużywane nazwy użytkowników. Następnie atakujący zarejestrowali konta na Twitterze przy użyciu oryginalnych nazw, które były teraz dostępne, i podłączyli je do nowego adresu e-mail. W ten sposób byli w stanie podszyć się pod swoje ofiary. Gdy te ostatnie próbowały odzyskać swoje konta, wiadomości e-mail z potwierdzeniem na Twitterze trafiły do atakujących, którzy udawali, że problem został rozwiązany. Następnie usunęli oni jedno z oryginalnych kont, co jeszcze bardziej utrudniło ofierze jego odzyskanie. Pracownicy Twittera ściśle współpracowali z zaatakowanymi w celu przywrócenia kont i ostatecznie udało im się odnieść sukces. Niestety, porywacze zdążyli już rozpowszechniać fałszywe informacje przy użyciu przejętych kont, a także pousuwać prawdziwe tweety.
Doubleswitch jest działaniem, którego sprawca może trwale zablokować lub wydłużyć okres, w którym kontroluje konto w serwisie społecznościowym, zmieniając nazwę użytkownika, a następnie usuwając oryginalne konto. Atak doubleswitch myli potencjalnych followersów i sprawia, że standardowe mechanizmy odzyskiwania są nieskuteczne. Platformy mediów społecznościowych zazwyczaj nie powiadamiają użytkowników o zmianach w nazwach użytkowników. Metodę można stosować także na innych serwisach społecznościowych, w tym na Facebooku i Instagramie.
Nowa forma ataku uwypukla nieprzewidziane luki w zasadach działania i funkcjach kont na Twitterze i w innych mediach społecznościowych. Powinna stanowić ostrzeżenie dla osób korzystających z tych platform – użytkownicy zagrożeni takimi atakami powinni stosować uwierzytelnianie wieloetapowe, aby w pierwszej kolejności zapobiec przejęciu kontroli nad kontem przez osoby niepowołane, a Twitter i platformy mediów społecznościowych z podobnymi funkcjami konta, takimi jak Facebook i Instagram, powinny aktualizować funkcje i zasady dotyczące ataku doubleswitch.
A New Social Media Attack Called “Doubleswitch”, 10.06.2017, LatestHackingNews.com (dostęp 30.04.2019); AJ Dellinger, DoubleSwitch Twitter Hack: New Attack Targets Activists On Twitter, 06.09.17, IBITimes.com (dostęp 30.04.2019); W. Gogołek, Komunikacja sieciowa. Uwarunkowania, kategorie i paradoksy, Oficyna Wydawnicza ASPRA-JR, Warszawa 2010; G. Masters, ‘Doubleswitch’ Targeting Activists via Social Media, Access Now Report, 20.06.2017, SCMagazine.com (dostęp 30.04.2019); The “Doubleswitch” Social Media Attack: A Threat to Advocates in Venezuela and Worldwide, AccessNow.org (dostęp 30.04.2019); Q. Wong, Twitter Hack: Activists and Journalists Targeted in ‘Doubleswitch’ Social Media Attack, 9.06.2017, SiliconBeat.com (dostęp 30.04.2019).