Il y a quelques jours sur la plateforme Twitter au nom de comptes vérifiés, parmi lesquels : Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos et d'autres - des messages ont été postés avec l'adresse d'un portefeuille Bitcoin, dans lesquels les escrocs promettaient de doubler les montants transférés vers ce portefeuille.
Contenu du message original : « Je me sens reconnaissant de doubler tous les paiements envoyés à mon adresse BTC ! Vous envoyez 1,000 2,000 $, je vous renvoie 30 XNUMX $ ! Je ne fais ça que pendant les XNUMX prochaines minutes. »
Traduction : « Je serai heureux de doubler tous les paiements envoyés à mon adresse BTC ! Si vous envoyez 1000 2000 $, j'enverrai 30 XNUMX $ ! Mais seulement pour les XNUMX prochaines minutes."
À l'heure actuelle (17 juillet), l'adresse des escrocs est a été réapprovisionné pour 12.8 BTC (≈ 117 000 $), 392 transactions ont été réalisées avec sa participation.
Apparemment, l'attaque a été menée par des attaquants étroitement associés à une communauté spécialisée dans les attaques d'usurpation d'identité par SMS visant à compromettre l'authentification à deux facteurs.(arnaque à l'échange de carte SIM). Ainsi, peu avant le mailing massif sur Twitter, sur le site https://ogusers. com un message a été publié dont l'auteur était vendu adresse e-mail de n'importe quel compte Twitter pour 250 $.
Un peu plus tard, certains comptes avec des adresses « remarquables » ont été piratés ; l’un des premiers comptes de ce type était le compte @6 d’un « hacker sans-abri » décédé en 2018. Adriana Lamo. L'accès au compte a été obtenu à l'aide des outils d'administration de Twitter en désactivant l'authentification à deux facteurs et en usurpant l'adresse e-mail utilisée pour réinitialiser le mot de passe.
Le compte @b. a été volé de la même manière. Le compte Twitter et les outils administratifs volés ont été capturés sur dans cette photo. Toutes les publications sur la plateforme elle-même contenant des instantanés des outils d'administration ont été supprimées par Twitter. Une vue étendue du panneau d'administration est disponible ici.
Un utilisateur de Twitter, @shinji (maintenant bloqué), a posté un court message : « suivez @6 » et aussi photo outils d'administration.
Des enregistrements archivés du profil @shinji ont été conservés peu de temps avant les événements de piratage. Ils sont disponibles sur ces liens :
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Le même utilisateur possède les comptes Instagram « remarquables » - j0e et dead :
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Approuvéque les comptes j0e et dead appartiennent au célèbre escroc par SMS "PlugWalkJoe", soupçonné de mener de vastes attaques d'usurpation d'identité par SMS depuis plusieurs années. Il est également allégué qu'il était et pourrait toujours être membre du groupe de fraude par SMS ChucklingSquad et qu'il était probablement impliqué dans piratage du compte du PDG de Twitter, Jack Dorsey l'année dernière. Le compte de Jack Dorsey a été piraté après Attaques d'usurpation de SMS sur AT&T, le même groupe « ChucklingSquad » est responsable de l'attaque
Apparemment, en dehors du réseau PlugWalkJoe se trouve l'étudiant britannique de 21 ans Joseph James Connor, qui se trouve actuellement en Espagne sans possibilité de partir en raison de la situation du COVID-19.
PlugWalkJoe a fait l'objet d'une enquête au cours de laquelle un enquêteur a été engagé pour établir un contact avec le sujet. L'enquêteur a réussi à établir une connexion vidéo avec l'objet ; les négociations ont eu lieu sur fond de piscine, photo qui a ensuite été publié sous le pseudo Instagram j0e.
Au fait, il existe un compte Minecraft assez ancien plugwalkjoe.
Attention : l'enquête n'est pas terminée. Jusqu'à ce que l'enquête soit terminée, personne ne devrait être stigmatisé, car il est possible que @shinji ne soit qu'une figure de proue.
Le premier message malveillant largement connu a été publié le 15 juillet à 17hXNUMX UTC au nom de Binance. teneur: "Nous nous sommes associés à CryptoForHealth et retournons 5000 XNUMX BTC." Le message contenait un lien vers un site frauduleux acceptant des « dons ». Bientôt, il a été publié sur le site officiel de Binance réfutation.
Selon le support Twitter, « Nous avons détecté une attaque coordonnée d’ingénierie sociale contre nos employés ayant accès aux outils et systèmes internes. Nous savons que des attaquants ont utilisé cet accès pour prendre le contrôle de comptes populaires (y compris vérifiés) afin de publier des messages en leur nom. Nous continuons d'enquêter sur la situation et essayons de déterminer quelles autres actions malveillantes ont été commises et à quelles données elles ont pu accéder.
Dès que nous avons eu connaissance de l'incident, nous avons immédiatement suspendu les comptes concernés et supprimé les messages malveillants. De plus, nous avons également limité les fonctionnalités d'un groupe de comptes beaucoup plus large, y compris tous les comptes vérifiés.
Nous n'avons aucune preuve que les mots de passe des utilisateurs ont été compromis. Apparemment, les utilisateurs ne sont pas tenus de mettre à jour leurs mots de passe.
Par mesure de précaution supplémentaire et pour garantir la sécurité des utilisateurs, nous avons également bloqué tous les comptes ayant tenté de modifier leur mot de passe au cours des 30 derniers jours. »
Le 17 juillet, le service d'assistance a publié de nouveaux détails : « Selon les données disponibles, environ 130 comptes ont été touchés d'une manière ou d'une autre par des attaquants. Nous continuons à rechercher si les données non publiques ont été affectées et publierons un rapport détaillé si tel était le cas.
Pendant ce temps, Twitter partage a chuté de 3.3%.
Source: linux.org.ru