Před několika dny na platformě Twitter jménem ověřených účtů, včetně: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos a další – byly zveřejněny zprávy s adresou bitcoinové peněženky, ve kterých podvodníci slibovali zdvojnásobení převáděných částek na tuto peněženku.
Původní obsah zprávy: „Jsem vděčný za zdvojnásobení všech plateb odeslaných na mou BTC adresu! Vy pošlete 1,000 2,000 $, já pošlu zpět 30 XNUMX $! Dělejte to jen následujících XNUMX minut."
Překlad: „Rád zdvojnásobím všechny platby zaslané na mou BTC adresu! Pokud pošlete 1000 $, pošlu 2000 $! Ale jen na dalších 30 minut."
V tuto chvíli (17. července) je adresa podvodníků byla doplněna za 12.8 BTC (≈ 117 000 $) bylo s jeho účastí dokončeno 392 transakcí.
Útok byl zřejmě proveden útočníky úzce spojenými s komunitou specializující se na útoky SMS spoofing zaměřené na kompromitaci dvoufaktorové autentizace.(podvod s výměnou SIM karty). Tedy krátce před hromadným rozesíláním na Twitteru, na webu https://ogusers. com byla zveřejněna zpráva, jejímž autorem byl prodáno e-mailovou adresu jakéhokoli účtu Twitter za 250 $.
O něco později byly některé účty s „pozoruhodnými“ adresami hacknuty; jedním z prvních takových účtů byl účet @6 „hackera bez domova“, který zemřel v roce 2018. Adriana Lamo. Přístup k účtu byl získán pomocí administrativních nástrojů Twitteru deaktivací dvoufaktorového ověřování a zfalšováním e-mailové adresy použité k resetování hesla.
Účet @b. byl ukraden stejným způsobem. Ukradený účet na Twitteru a administrativní nástroje byly zachyceny na na této fotce. Všechny příspěvky na samotné platformě se snímky nástrojů pro správu byly Twitterem smazány. K dispozici je rozšířený záběr administračního panelu zde.
Jeden uživatel Twitteru, @shinji (nyní zablokovaný), zveřejnil krátkou zprávu: „follow @6“ a také fotografie administrátorské nástroje.
Archivované nahrávky profilu @shinji byly zachovány krátce před hackerskými událostmi. Jsou k dispozici na těchto odkazech:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Stejný uživatel vlastní „pozoruhodné“ účty Instagramu - j0e a mrtvý:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Schválenýže účty j0e a dead patří notoricky známému SMS podvodníkovi "PlugWalkJoe", který je několik let podezřelý z provádění velkých SMS spoofingových útoků. Rovněž se tvrdí, že byl a stále může být členem podvodné skupiny ChucklingSquad SMS a pravděpodobně se podílel na hacknutí účtu CEO Twitteru Jacka Dorseyho minulý rok. Účet Jacka Dorseyho byl poté napaden SMS spoofing útoky na AT&T je za útok odpovědná stejná skupina „ChucklingSquad“.
Mimo síť PlugWalkJoe je zjevně 21letý britský student Joseph James Connor, který je v současné době ve Španělsku bez možnosti odejít kvůli situaci s COVID-19.
PlugWalkJoe byl předmětem vyšetřování, během kterého byl najat vyšetřovatel, aby navázal kontakt s předmětem. Vyšetřovateli se podařilo navázat video spojení s objektem, jednání probíhala na pozadí koupaliště, fotografie který byl později zveřejněn pod popiskem Instagramu j0e.
Mimochodem, existuje docela starý minecraft účet plugwalkjoe.
Poznámka: Vyšetřování není u konce. Dokud nebude vyšetřování dokončeno, nikdo by neměl být označen, protože je možné, že @shinji je jen figurka.
První škodlivá zpráva, která se stala široce známou, byla zveřejněna 15. července v 17:XNUMX UTC jménem Binance, měla následující obsahu: "Navázali jsme partnerství s CryptoForHealth a vracíme 5000 XNUMX BTC." Zpráva obsahovala odkaz na podvodnou stránku, která přijímala „dary“. Brzy byla zveřejněna na oficiálních stránkách Binance vyvrácení.
Podle podpory Twitteru „Zjistili jsme koordinovaný útok sociálního inženýrství proti našim zaměstnancům s přístupem k interním nástrojům a systémům. Víme, že útočníci využili tohoto přístupu k tomu, aby se zmocnili kontroly nad oblíbenými (včetně ověřených) účtů, aby mohli publikovat zprávy jejich jménem. Pokračujeme ve vyšetřování situace a snažíme se zjistit, jaké další škodlivé akce byly spáchány a k jakým datům mohli mít přístup.
Jakmile jsme se o incidentu dozvěděli, okamžitě jsme pozastavili dotčené účty a odstranili škodlivé zprávy. Kromě toho jsme také omezili funkčnost mnohem větší skupiny účtů, včetně všech ověřených účtů.
Nemáme žádné důkazy o tom, že by byla prozrazena uživatelská hesla. Uživatelé zřejmě nejsou povinni aktualizovat svá hesla.
Jako další opatření a pro zajištění bezpečnosti uživatelů jsme také zablokovali všechny účty, které se za posledních 30 dní pokusily změnit své heslo.“
17. července služba podpory zveřejnila nové podrobnosti: „Podle dostupných údajů bylo nějakým způsobem napadeno útočníky přibližně 130 účtů. Pokračujeme ve vyšetřování, zda byla ovlivněna neveřejná data, a pokud tomu tak bylo, zveřejníme podrobnou zprávu.“
Mezitím Twitter sdílí klesl o 3.3 %.
Zdroj: linux.org.ru