Prije nekoliko dana na Twitter platformi u ime verifikovanih naloga, uključujući: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos i drugi - objavljene su poruke s adresom bitcoin novčanika, u kojima su prevaranti obećali da će udvostručiti iznose prebačene na ovaj novčanik.
Originalni sadržaj poruke: “Osjećam se zahvalnim što sam udvostručio sve uplate poslane na moju BTC adresu! Ti šalješ 1,000 dolara, ja vraćam 2,000 dolara! Radite ovo samo narednih 30 minuta.”
Prevod: “Biću sretan da udvostručim sve uplate poslane na moju BTC adresu! Ako pošaljete $1000, ja ću poslati $2000! Ali samo narednih 30 minuta."
Trenutno (17. jula) adresa prevaranta je je dopunjen za 12.8 BTC (≈ $117), 000 transakcije su završene uz njegovo učešće.
Očigledno, napad su izveli napadači blisko povezani sa zajednicom specijaliziranom za napade lažiranja SMS-a s ciljem kompromitiranja dvofaktorske autentifikacije(Sim swap prevara). Dakle, neposredno prije masovnog slanja poruka na Twitteru, na web stranici https://ogusers. com objavljena je poruka čiji je autor prodato e-mail adresa bilo kojeg Twitter naloga za 250 USD.
Nešto kasnije, neki nalozi sa „izvanrednim“ adresama su hakovani; jedan od prvih takvih naloga bio je @6 nalog „hakera beskućnika“ koji je umro 2018. Adriana Lamo. Pristup nalogu je dobijen korišćenjem administrativnih alata Twittera tako što je onemogućena dvofaktorska autentikacija i lažna adresa e-pošte koja se koristi za resetovanje lozinke.
Na isti način je ukraden nalog @b. Ukradeni Twitter nalog i administrativni alati su uhvaćeni na ovoj fotografiji. Sve objave na samoj platformi sa snimcima admin alata su obrisani od strane Twittera. Dostupan je prošireni snimak admin panela ovdje.
Jedan korisnik Twittera, @shinji (sada blokiran), objavio je kratku poruku: "prati @6" i također fotografija administratorski alati.
Arhivirani snimci profila @shinji sačuvani su neposredno prije hakovanja. Dostupni su na ovim linkovima:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Isti korisnik posjeduje "izvanredne" Instagram naloge - j0e i mrtvi:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Odobrenoda računi j0e i mrtvi pripadaju ozloglašenom SMS prevarantu "PlugWalkJoe", koji se sumnjiči da je nekoliko godina izvodio velike SMS lažne napade. Također se navodi da je on bio i da bi mogao još uvijek biti član grupe za prevare ChucklingSquad SMS i vjerovatno je bio umiješan u hakovanje naloga generalnog direktora Twittera Jacka Dorseya prošle godine. Nakon toga je hakovan račun Jacka Dorseya SMS lažni napadi na AT&T-u, ista grupa “ChucklingSquad” je odgovorna za napad
Izvan mreže PlugWalkJoe, po svemu sudeći, je 21-godišnji britanski student Joseph James Connor, koji se trenutno nalazi u Španiji bez mogućnosti odlaska zbog situacije sa COVID-19.
PlugWalkJoe je bio predmet istrage tokom koje je angažovan istražitelj da uspostavi kontakt sa subjektom. Istražitelj je uspio uspostaviti video vezu sa objektom, pregovori su se odvijali u pozadini bazena, fotografija koji je kasnije objavljen pod Instagram ručkom j0e.
Inače, postoji prilično star Minecraft nalog plugwalkjoe.
Napomena: Istraga nije završena. Dok se istraga ne završi, niko ne bi trebao biti žigosan, jer je moguće da je @shinji samo figura.
Prva zlonamjerna poruka koja je postala široko poznata objavljena je 15. jula u 17:XNUMX UTC u ime Binancea, imala je sljedeće sadržaj: “Udružili smo se sa CryptoForHealthom i vraćamo 5000 BTC.” Poruka je sadržavala link do stranice za prevare koja je primala "donacije". Ubrzo je objavljen na službenoj web stranici Binance pobijanje.
Prema podršci na Twitteru, „Detektovali smo koordinirani napad socijalnog inženjeringa na naše zaposlenike koji imaju pristup internim alatima i sistemima. Znamo da su napadači koristili ovaj pristup da preuzmu kontrolu nad popularnim (uključujući provjerene) račune kako bi objavili poruke u njihovo ime. Nastavljamo da istražujemo situaciju i pokušavamo utvrditi koje su još zlonamjerne radnje počinjene i kojim podacima su možda pristupili.
Čim smo saznali za incident, odmah smo suspendovali pogođene naloge i uklonili zlonamerne poruke. Pored toga, ograničili smo i funkcionalnost mnogo veće grupe naloga, uključujući sve verifikovane naloge.
Nemamo dokaza da su korisničke lozinke kompromitovane. Očigledno se od korisnika ne traži da ažuriraju svoje lozinke.
Kao dodatnu mjeru predostrožnosti i kako bismo osigurali sigurnost korisnika, također smo blokirali sve račune koji su pokušali promijeniti lozinku u posljednjih 30 dana."
Služba podrške je 17. jula objavila nove detalje: „Prema dostupnim podacima, otprilike 130 naloga je na neki način pogođeno napadačima. Nastavljamo da istražujemo jesu li pogođeni podaci koji nisu javni i objavit ćemo detaljan izvještaj ako je to bio slučaj."
U međuvremenu, Twitter dijeli pao za 3.3%.
izvor: linux.org.ru