Hace unos días en la plataforma Twitter en nombre de cuentas verificadas, entre ellas: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos y otros: se publicaron mensajes con la dirección de una billetera bitcoin, en los que los estafadores prometieron duplicar las cantidades transferidas a esta billetera.
Contenido del mensaje original: “¡Me siento agradecido por duplicar todos los pagos enviados a mi dirección BTC! ¡Tú envías $1,000 y yo te devuelvo $2,000! Solo hago esto durante los próximos 30 minutos”.
Traducción: “¡Estaré encantado de duplicar todos los pagos enviados a mi dirección BTC! ¡Si envías $1000, te enviaré $2000! Pero sólo durante los próximos 30 minutos".
Por el momento (17 de julio) la dirección de los estafadores es fue reabastecido por 12.8 BTC (≈ $117), se completaron 000 transacciones con su participación.
Al parecer, el ataque fue llevado a cabo por atacantes estrechamente asociados a una comunidad especializada en ataques de suplantación de SMS destinados a comprometer la autenticación de dos factores.(estafa de intercambio de SIM). Así, poco antes del envío masivo de correos en Twitter, en el sitio web https://ogusers. com se publicó un mensaje, cuyo autor fue estaba vendiendo dirección de correo electrónico de cualquier cuenta de Twitter por $250.
Un poco más tarde, algunas cuentas con direcciones “notables” fueron pirateadas; una de las primeras cuentas de este tipo fue la cuenta @6 de un “hacker sin hogar” que murió en 2018. Adriana Lamo. El acceso a la cuenta se obtuvo mediante herramientas administrativas de Twitter al desactivar la autenticación de dos factores y falsificar la dirección de correo electrónico utilizada para restablecer la contraseña.
La cuenta @b. fue robada de la misma forma. La cuenta de Twitter robada y las herramientas administrativas fueron capturadas en en esta foto. Twitter ha eliminado todas las publicaciones en la propia plataforma con instantáneas de las herramientas de administración. Hay disponible una imagen ampliada del panel de administración. aquí.
Un usuario de Twitter, @shinji (ahora bloqueado), publicó un mensaje corto: "sigue a @6" y también foto herramientas de administrador.
Las grabaciones archivadas del perfil @shinji se conservaron poco antes de los eventos de piratería. Están disponibles en estos enlaces:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
El mismo usuario es propietario de las cuentas "notables" de Instagram: j0e y dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Esta aprobadoque las cuentas j0e y dead pertenecen al famoso estafador de SMS "PlugWalkJoe", sospechoso de llevar a cabo grandes ataques de suplantación de SMS durante varios años. También se alega que era y puede seguir siendo miembro del grupo de fraude de SMS ChucklingSquad y probablemente estuvo involucrado en Hackeo de la cuenta del CEO de Twitter, Jack Dorsey el año pasado. La cuenta de Jack Dorsey fue pirateada después Ataques de suplantación de SMS En AT&T, el mismo grupo “ChucklingSquad” es responsable del ataque.
Fuera de la red PlugWalkJoe, al parecer, se encuentra el estudiante británico Joseph James Connor, de 21 años, que actualmente se encuentra en España sin posibilidad de salir debido a la situación del COVID-19.
PlugWalkJoe fue objeto de una investigación durante la cual se contrató a un investigador para establecer contacto con el sujeto. El investigador logró establecer una conexión de vídeo con el objeto; las negociaciones se desarrollaron en el contexto de una piscina, foto que luego se publicó bajo el nombre de usuario de Instagram j0e.
Por cierto, hay una cuenta de Minecraft bastante antigua. enchufewalkjoe.
Nota: La investigación no ha terminado. Hasta que se complete la investigación, nadie debe ser tildado, ya que es posible que @shinji sea solo una figura decorativa.
El primer mensaje malicioso que se hizo ampliamente conocido fue publicado el 15 de julio a las 17:XNUMX UTC en nombre de Binance, tenía lo siguiente contenido: "Nos hemos asociado con CryptoForHealth y devolveremos 5000 BTC". El mensaje contenía un enlace a un sitio fraudulento que aceptaba "donaciones". Pronto fue publicado en el sitio web oficial de Binance. refutación.
Según el soporte de Twitter, “Hemos detectado un ataque coordinado de ingeniería social contra nuestros empleados con acceso a herramientas y sistemas internos. Sabemos que los atacantes han utilizado este acceso para tomar el control de cuentas populares (incluidas las verificadas) para publicar mensajes en su nombre. Seguimos investigando la situación y estamos tratando de determinar qué otras acciones maliciosas se cometieron y a qué datos pudieron haber accedido.
Tan pronto como nos enteramos del incidente, suspendimos inmediatamente las cuentas afectadas y eliminamos los mensajes maliciosos. Además, también hemos limitado la funcionalidad de un grupo mucho más grande de cuentas, incluidas todas las cuentas verificadas.
No tenemos evidencia de que las contraseñas de los usuarios hayan sido comprometidas. Aparentemente, los usuarios no están obligados a actualizar sus contraseñas.
Como precaución adicional y para garantizar la seguridad de los usuarios, también hemos bloqueado todas las cuentas que han intentado cambiar su contraseña en los últimos 30 días".
El 17 de julio, el servicio de soporte publicó nuevos detalles: “Según los datos disponibles, aproximadamente 130 cuentas fueron afectadas de alguna manera por los atacantes. Seguimos investigando si los datos no públicos se vieron afectados y publicaremos un informe detallado si este fuera el caso".
Mientras tanto, Twitter comparte cayó un 3.3%.
Fuente: linux.org.ru