For et par dage siden på Twitter-platformen på vegne af verificerede konti, herunder: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos og andre - der blev postet beskeder med adressen på en bitcoin-pung, hvori svindlerne lovede at fordoble beløbene, der blev overført til denne pung.
Oprindelig beskedindhold: "Føler mig taknemmelig for at fordoble alle betalinger sendt til min BTC-adresse! Du sender $1,000, jeg sender $2,000 tilbage! Gør kun dette i de næste 30 minutter."
Oversættelse: "Jeg vil med glæde fordoble alle betalinger sendt til min BTC-adresse! Hvis du sender $1000, sender jeg $2000! Men kun i de næste 30 minutter."
I øjeblikket (17. juli) er svindlernes adresse blev genopfyldt for 12.8 BTC (≈ $117) blev 000 transaktioner gennemført med hans deltagelse.
Tilsyneladende blev angrebet udført af angribere, der er tæt knyttet til et fællesskab, der er specialiseret i sms-spoofing-angreb med det formål at kompromittere to-faktor-autentificering(SIM-swap-svindel). Så kort før masseudsendelsen på Twitter, på hjemmesiden https://ogusers. com blev en besked offentliggjort, hvis forfatter var solgt e-mail-adresse på enhver Twitter-konto for $250.
Noget senere blev nogle konti med "bemærkelsesværdige" adresser hacket; en af de første sådanne konti var @6-kontoen til en "hjemløs hacker", der døde i 2018. Adriana Lamo. Adgang til kontoen blev opnået ved hjælp af Twitter-administrative værktøjer ved at deaktivere tofaktorautentificering og spoofe den e-mail-adresse, der blev brugt til at nulstille adgangskoden.
@b.-kontoen blev stjålet på samme måde. Den stjålne Twitter-konto og administrative værktøjer blev fanget på På dette bilede. Alle indlæg på selve platformen med snapshots af admin-værktøjer er blevet slettet af Twitter. Et udvidet billede af administrationspanelet er tilgængeligt her.
En Twitter-bruger, @shinji (nu blokeret), sendte en kort besked: "følg @6" og også foto administratorværktøjer.
Arkiverede optagelser af @shinji-profilen blev bevaret kort før hacking-begivenhederne. De er tilgængelige på disse links:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Den samme bruger ejer de "bemærkelsesværdige" Instagram-konti - j0e and dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
godkendtat konti j0e og døde tilhører den notoriske sms-svindler "PlugWalkJoe", som er mistænkt for at have udført store sms-spoofing-angreb i flere år. Det hævdes også, at han var og stadig kan være medlem af ChucklingSquad SMS-svindelgruppen og sandsynligvis var involveret i hacking af Twitter CEO Jack Dorseys konto sidste år. Jack Dorseys konto blev hacket efter SMS-spoofing-angreb på AT&T er den samme gruppe "ChucklingSquad" ansvarlig for angrebet
Uden for PlugWalkJoe-netværket er tilsyneladende den 21-årige britiske studerende Joseph James Connor, som i øjeblikket er i Spanien uden mulighed for at rejse på grund af situationen med COVID-19.
PlugWalkJoe var genstand for en undersøgelse, hvor en efterforsker blev hyret til at etablere kontakt med emnet. Det lykkedes efterforskeren at etablere en videoforbindelse med objektet; forhandlinger fandt sted på baggrund af en swimmingpool, foto som senere blev postet under Instagram-håndtaget j0e.
Der er i øvrigt en ret gammel minecraft-konto plugwalkjoe.
Bemærk: Efterforskningen er ikke afsluttet. Indtil efterforskningen er afsluttet, bør ingen mærkes, da det er muligt, at @shinji blot er en galionsfigur.
Den første ondsindede besked, der blev almindeligt kendt, blev offentliggjort den 15. juli kl. 17:XNUMX UTC på vegne af Binance, den havde følgende содержание: "Vi har indgået partnerskab med CryptoForHealth og returnerer 5000 BTC." Beskeden indeholdt et link til et fupwebsted, der accepterede "donationer". Snart blev det offentliggjort på det officielle Binance-websted gendrivelse.
Ifølge Twitter-support, "Vi har opdaget et koordineret social engineering-angreb mod vores medarbejdere med adgang til interne værktøjer og systemer. Vi ved, at angribere har brugt denne adgang til at overtage kontrollen over populære (inklusive verificerede) konti til at udgive meddelelser på deres vegne. Vi fortsætter med at undersøge situationen og forsøger at fastslå, hvilke andre ondsindede handlinger der blev begået, og hvilke data de måtte have adgang til.
Så snart vi blev opmærksomme på hændelsen, suspenderede vi straks de berørte konti og fjernede de ondsindede beskeder. Derudover har vi også begrænset funktionaliteten af en meget større gruppe af konti, inklusive alle verificerede konti.
Vi har ingen beviser for, at brugeradgangskoder er blevet kompromitteret. Tilsyneladende er brugere ikke forpligtet til at opdatere deres adgangskoder.
Som en ekstra sikkerhedsforanstaltning og for at sikre brugernes sikkerhed, har vi også blokeret alle konti, der har forsøgt at ændre deres adgangskode inden for de sidste 30 dage."
Den 17. juli offentliggjorde supporttjenesten nye detaljer: "Ifølge tilgængelige data blev cirka 130 konti på en eller anden måde påvirket af angribere. Vi fortsætter med at undersøge, om ikke-offentlige data blev påvirket og vil offentliggøre en detaljeret rapport, hvis dette var tilfældet."
I mellemtiden deler Twitter faldt med 3.3 pct..
Kilde: linux.org.ru