Некалькі дзён таму на платформе Twitter ад імя пацверджаных акаўнтаў, сярод якіх: Apple, Uber, Чанпэн Чжао(Binance), Віталік Буцерын(Etherium), Чарлі Лі(Litecoin) Ілон Маск, Барак Абама, Джо Байдэн, Біл Гейтс, Джэф Безас і іншыя - былі размешчаны паведамленні з адрасам bitcoin-кашалька, у якіх ашуканцы абяцалі падвойваць сумы, перакладзеныя на гэты кашалёк.
Арыгінальны змест паведамленняў: «Feeling grateful doubling all payments sent to my BTC address! Вы send $1,000, I send back $2,000! Толькі дае гэта на працягу 30 хвілін.»
Пераклад: «Буду рады падвоіць усе плацяжы, адпраўленыя на мой BTC-адрас! Калі Вы адправіце 1000 долараў, я адпраўлю 2000 долараў! Але толькі на працягу наступных 30 хвілін.»
На дадзены момант(17 ліпеня) адрас ашуканцаў быў папоўнены на 12.8/117 BTC (≈ $ 000 392), з яго ўдзелам здзейснена XNUMX транзакцыі.
Судзячы па ўсім, напад здзейснілі зламыснікі, цесна злучаныя з супольнасцю, які спецыялізуецца на нападах падменай СМС з мэтай кампраметацыі двухфактарнай аўтэнтыфікацыі.(SIM swap scam). Так, незадоўга да масавай рассылкі ў Twitter, на сайце https://ogusers. com было апублікавана паведамленне, аўтар якога прадаваў email-адрас любога акаўнта Twitter за $250.
Некалькі пазней былі ўзламаныя некаторыя акаўнты з "характэрнымі" адрасамі, адзін з першых падобных акаўнтаў - уліковы запіс @6 памерлага ў 2018 годзе "бяздомнага хакера". Адрыяна Ламо. Доступ да акаўнта быў атрыманы з дапамогай адміністрацыйных інструментаў Twitter шляхам адключэння двухфактарнай аўтэнтыфікацыі і падмены адраса электроннай пошты, які выкарыстоўваецца для скіду пароля.
Такім жа чынам быў скрадзены акаўнт @b. Выкрадзены ўліковы запіс і адміністрацыйныя інструменты Twitter былі захаваны на гэтым здымку. Усе паведамленні на самой платформе са здымкамі інструментаў адміністратара былі выдаленыя Twitter. Пашыраны здымак панэлі адміністратара даступны тут.
Адзін з карыстальнікаў Twitter, @shinji (цяпер заблакаваны), апублікаваў кароткае паведамленне: "follow @6", а таксама фота інструментаў адміністратара.
Захаваліся архіўныя запісы профіля @shinji незадоўга да падзей са ўзломам. Яны даступныя па гэтых спасылках:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Гэтаму ж карыстальніку належаць "адметныя" акаўнты Instagram - j0e і dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Сцвярджаецца, што акаўнты j0e і dead належаць сумна вядомаму СМС-ашуканец «PlugWalkJoe», які падазраецца ў правядзенні буйных нападаў СМС-падмены на працягу некалькіх гадоў. Таксама сцвярджаецца, што ён быў і магчыма застаецца членам групоўкі СМС-ашуканцаў «ChucklingSquad» і, верагодна, быў замяшаны ва ўзломе акаўнта CEO Twitter Джэка Дорсей у мінулым годзе. Узлом акаўнта Джэка Дорсей быў зроблены пасля правядзення атакі СМС-падменай на AT&T, адказны за атаку той жа гурт «ChucklingSquad»
За межамі сеткі PlugWalkJoe, мяркуючы па ўсім - 21-гадовы брытанскі студэнт Джозэф Джэймс Конар, на дадзены момант які знаходзіцца ў Іспаніі без магчымасці выезду з-за сітуацыі з COVID-19.
PlugWalkJoe быў аб'ектам расследавання, падчас якога была нанята следчы для ўстанаўлення сувязі з аб'ектам. Следчаму ўдалося дабіцца ўстанаўлення відэасувязі з аб'ектам, перамовы адбываліся на фоне плавальнага басейна, фота якога пазней было апублікавана ад імя Instagram j0e.
Дарэчы, існуе дастаткова стары minecraft-акаўнт plugwalkjoe.
Заўвага: расследаванне не скончана. Да канчатка расследавання не варта таўраваць каго-небудзь, паколькі не выключана, што @shinji - толькі падстаўная асоба.
Першае шкоднаснае паведамленне, стала шырока вядомым, было апублікавана 15 ліпеня ў 17 гадзін па UTC ад імя Binance, яно мела наступнае змест: "Мы сталі партнёрамі CryptoForHealth і вяртаем 5000 BTC". У паведамленні змяшчалася спасылка на сайт ашуканцаў, які прымаў «ахвяраванні». Неўзабаве на афіцыйным сайце Binance было апублікавана абвяржэнне.
Як паведамляе служба падтрымкі Twitter, «Мы выявілі скаардынаваную атаку з ужываннем сацыяльнай інжынерыі супраць нашых супрацоўнікаў, якія маюць доступ да ўнутраных інструментаў і сістэм. Нам вядома, што зламыснікі выкарыстоўвалі гэты доступ для перахопу кантролю над папулярнымі (у тым ліку пацверджанымі) уліковымі запісамі для публікацыі паведамленняў ад іх імя. Мы працягваем вывучаць сітуацыю і спрабуем вызначыць, якія яшчэ шкоднасныя дзеянні былі здзейснены і да якіх дадзеных яны маглі атрымаць доступ.
Як толькі нам стала вядома аб інцыдэнце, мы неадкладна заблакавалі закранутыя ўліковыя запісы і выдалілі шкоднасныя паведамленні. Акрамя таго, мы таксама абмежавалі функцыянальнасць нашмат большай групы ўліковых запісаў, у тым ліку ўсіх пацверджаных.
У нас няма ніякіх доказаў кампраметацыі пароляў карыстальнікаў. Судзячы па ўсім, карыстачам не абавязкова абнаўляць паролі.
У якасці дадатковай меры засцярогі і для забеспячэння бяспекі карыстальнікаў, мы таксама заблакавалі ўсе ўліковыя запісы, ад імя якіх былі зафіксаваны спробы змены пароля за апошнія 30 дзён.»
17 ліпеня служба падтрымкі апублікавала новыя падрабязнасці: «Паводле наяўных дадзеных, прыкладна 130 акаўтаў былі так ці інакш закрануты зламыснікамі. Мы працягваем высвятляць, ці былі закрануты непублічныя дадзеныя, і апублікуем падрабязную справаздачу, калі гэта адбылося.»
Тым часам, акцыі Twitter абрынуліся на 3.3%.
Крыніца: linux.org.ru