Vor ein paar Tagen auf der Twitter-Plattform im Namen verifizierter Konten, darunter: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos und andere – es wurden Nachrichten mit der Adresse einer Bitcoin-Wallet gepostet, in denen die Betrüger versprachen, die auf diese Wallet überwiesenen Beträge zu verdoppeln.
Ursprünglicher Nachrichteninhalt: „Ich bin dankbar, dass ich alle an meine BTC-Adresse gesendeten Zahlungen verdoppelt habe!“ Sie schicken 1,000 $, ich schicke 2,000 $ zurück! Mache das nur die nächsten 30 Minuten.“
Übersetzung: „Ich verdoppele gerne alle an meine BTC-Adresse gesendeten Zahlungen!“ Wenn Sie 1000 $ senden, sende ich 2000 $! Aber nur für die nächsten 30 Minuten.
Im Moment (17. Juli) lautet die Adresse der Betrüger wurde aufgefüllt Für 12.8 BTC (≈ 117 US-Dollar) wurden unter seiner Beteiligung 000 Transaktionen abgeschlossen.
Offenbar wurde der Angriff von Angreifern durchgeführt, die eng mit einer Community verbunden sind, die sich auf SMS-Spoofing-Angriffe spezialisiert hat, die darauf abzielen, die Zwei-Faktor-Authentifizierung zu kompromittieren(SIM-Swap-Betrug). Also, kurz vor dem Massenmailing auf Twitter, auf der Website https://ogusers. com wurde eine Nachricht veröffentlicht, deren Autor war verkauft E-Mail-Adresse eines beliebigen Twitter-Kontos für 250 $.
Etwas später wurden einige Konten mit „bemerkenswerten“ Adressen gehackt; eines der ersten Konten dieser Art war das @6-Konto eines „obdachlosen Hackers“, der 2018 starb. Adriana Lamo. Der Zugriff auf das Konto wurde über die Verwaltungstools von Twitter erlangt, indem die Zwei-Faktor-Authentifizierung deaktiviert und die E-Mail-Adresse gefälscht wurde, die zum Zurücksetzen des Passworts verwendet wurde.
Das @b.-Konto wurde auf die gleiche Weise gestohlen. Der gestohlene Twitter-Account und die Verwaltungstools wurden erfasst In diesem Bild. Alle Beiträge auf der Plattform selbst mit Snapshots von Admin-Tools wurden von Twitter gelöscht. Eine erweiterte Aufnahme des Admin-Panels ist verfügbar hier.
Ein Twitter-Nutzer, @shinji (jetzt gesperrt), postete eine kurze Nachricht: „Folge @6“ und auch Foto Administrator-Tools.
Archivierte Aufzeichnungen des @shinji-Profils wurden kurz vor den Hacking-Ereignissen aufbewahrt. Sie sind unter diesen Links verfügbar:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Derselbe Benutzer besitzt die „bemerkenswerten“ Instagram-Konten – j0e und dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Genehmigtdass die Konten j0e und dead dem berüchtigten SMS-Betrüger „PlugWalkJoe“ gehören, der im Verdacht steht, seit mehreren Jahren große SMS-Spoofing-Angriffe durchzuführen. Es wird auch behauptet, dass er Mitglied der SMS-Betrugsgruppe ChucklingSquad war und möglicherweise immer noch ist und wahrscheinlich daran beteiligt war Hackerangriff auf den Account von Twitter-CEO Jack Dorsey letztes Jahr. Jack Dorseys Konto wurde danach gehackt SMS-Spoofing-Angriffe Bei AT&T ist dieselbe Gruppe „ChucklingSquad“ für den Angriff verantwortlich
Außerhalb des PlugWalkJoe-Netzwerks befindet sich offenbar der 21-jährige britische Student Joseph James Connor, der sich derzeit in Spanien aufhält und aufgrund der Situation mit COVID-19 keine Möglichkeit zur Ausreise hat.
PlugWalkJoe war Gegenstand einer Untersuchung, bei der ein Ermittler beauftragt wurde, Kontakt zu der Person herzustellen. Dem Ermittler gelang es, eine Videoverbindung mit dem Objekt herzustellen; die Verhandlungen fanden vor der Kulisse eines Schwimmbades statt, Foto das später unter dem Instagram-Handle j0e gepostet wurde.
Übrigens gibt es einen ziemlich alten Minecraft-Account plugwalkjoe.
Hinweis: Die Untersuchung ist noch nicht abgeschlossen. Bis die Ermittlungen abgeschlossen sind, sollte niemand gebrandmarkt werden, da es möglich ist, dass @shinji nur ein Aushängeschild ist.
Die erste bösartige Nachricht, die weithin bekannt wurde, wurde am 15. Juli um 17:XNUMX UTC im Namen von Binance veröffentlicht und lautete wie folgt Inhalt: „Wir sind eine Partnerschaft mit CryptoForHealth eingegangen und geben 5000 BTC zurück.“ Die Nachricht enthielt einen Link zu einer Betrugsseite, die „Spenden“ entgegennahm. Bald wurde es auf der offiziellen Binance-Website veröffentlicht Widerlegung.
Laut Twitter-Support „haben wir einen koordinierten Social-Engineering-Angriff auf unsere Mitarbeiter mit Zugriff auf interne Tools und Systeme festgestellt.“ Wir wissen, dass Angreifer diesen Zugriff genutzt haben, um die Kontrolle über beliebte (einschließlich verifizierte) Konten zu übernehmen und in ihrem Namen Nachrichten zu veröffentlichen. Wir untersuchen die Situation weiterhin und versuchen herauszufinden, welche anderen böswilligen Aktionen begangen wurden und auf welche Daten sie möglicherweise zugegriffen haben.
Sobald uns der Vorfall bekannt wurde, haben wir die betroffenen Konten sofort gesperrt und die Schadnachrichten entfernt. Darüber hinaus haben wir auch die Funktionalität einer viel größeren Gruppe von Konten eingeschränkt, darunter alle verifizierten Konten.
Wir haben keine Hinweise darauf, dass Benutzerkennwörter kompromittiert wurden. Anscheinend sind Benutzer nicht verpflichtet, ihre Passwörter zu aktualisieren.
Als zusätzliche Vorsichtsmaßnahme und um die Sicherheit der Benutzer zu gewährleisten, haben wir außerdem alle Konten gesperrt, die in den letzten 30 Tagen versucht haben, ihr Passwort zu ändern.“
Am 17. Juli veröffentlichte der Support-Dienst neue Details: „Den verfügbaren Daten zufolge waren etwa 130 Konten irgendwie von Angreifern betroffen.“ Wir untersuchen weiterhin, ob nicht öffentliche Daten betroffen waren und werden in diesem Fall einen detaillierten Bericht veröffentlichen.“
Unterdessen teilt Twitter mit sank um 3.3 %.
Source: linux.org.ru