Hai uns días na plataforma de Twitter en nome de contas verificadas, incluíndo: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos e outros: foron publicadas mensaxes co enderezo dunha carteira bitcoin, na que os estafadores prometían duplicar as cantidades transferidas a esta carteira.
Contido orixinal da mensaxe: "Síntome agradecido de duplicar todos os pagos enviados ao meu enderezo BTC! Ti envías 1,000 $, eu envío 2,000 $! Só facelo durante os próximos 30 minutos".
Traducción: "Estarei encantado de duplicar todos os pagos enviados ao meu enderezo BTC! Se envías $1000, eu enviarei $2000! Pero só durante os próximos 30 minutos".
Neste momento (17 de xullo) a dirección dos estafadores é foi reabastecido por 12.8 BTC (≈ $ 117), 000 transaccións completáronse coa súa participación.
Ao parecer, o ataque foi levado a cabo por atacantes moi asociados a unha comunidade especializada en ataques de suplantación de SMS destinados a comprometer a autenticación de dous factores.(Estafa de intercambio de SIM). Así, pouco antes do envío masivo en Twitter, na páxina web https://ogusers. com publicouse unha mensaxe, cuxo autor era vendido enderezo de correo electrónico de calquera conta de Twitter por $250.
Algo máis tarde, algunhas contas con enderezos "notables" foron pirateadas; unha das primeiras contas deste tipo foi a conta @6 dun "hacker sen fogar" que morreu en 2018. Adriana Lamo. O acceso á conta conseguiuse mediante ferramentas administrativas de Twitter desactivando a autenticación de dous factores e falsificando o enderezo de correo electrónico utilizado para restablecer o contrasinal.
A conta @b. foi roubada do mesmo xeito. A conta de Twitter roubada e as ferramentas administrativas foron capturadas nesta foto. Twitter eliminou todas as publicacións da propia plataforma con instantáneas de ferramentas de administración. Hai unha imaxe ampliada do panel de administración dispoñible aquí.
Un usuario de Twitter, @shinji (agora bloqueado), publicou unha mensaxe curta: "seguir a @6" e tamén foto ferramentas de administrador.
As gravacións arquivadas do perfil @shinji conserváronse pouco antes dos eventos de piratería. Están dispoñibles nestas ligazóns:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
O mesmo usuario posúe as "notables" contas de Instagram - j0e and dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Aprobadoque as contas j0e e dead pertencen ao famoso estafador de SMS "PlugWalkJoe", que se sospeita de levar a cabo grandes ataques de suplantación de SMS durante varios anos. Tamén se alega que era e aínda pode ser membro do grupo de fraude SMS ChucklingSquad e que probablemente estivo involucrado en pirateo da conta do CEO de Twitter, Jack Dorsey o ano pasado. A conta de Jack Dorsey foi pirateada despois Ataques de suplantación de SMS en AT&T, o mesmo grupo "ChucklingSquad" é o responsable do ataque
Fóra da rede PlugWalkJoe, ao parecer, atópase o estudante británico Joseph James Connor, de 21 anos, que actualmente se atopa en España sen posibilidade de marchar pola situación co COVID-19.
PlugWalkJoe foi obxecto dunha investigación durante a cal se contratou a un investigador para establecer contacto co suxeito. O investigador logrou establecer unha conexión de vídeo co obxecto; as negociacións tiveron lugar co telón de fondo dunha piscina, foto que posteriormente se publicou baixo o identificador de Instagram j0e.
Por certo, hai unha conta de minecraft bastante antiga plugwalkjoe.
Nota: a investigación non rematou. Ata que se complete a investigación, ninguén debe ser marcado, xa que é posible que @shinji sexa só unha figura de proa.
A primeira mensaxe maliciosa que se fixo amplamente coñecida publicouse o 15 de xullo ás 17:XNUMX UTC en nome de Binance, tiña o seguinte contido: "Colaboramos con CryptoForHealth e devolvemos 5000 BTC". A mensaxe contiña unha ligazón a un sitio de estafa que aceptaba "doazóns". Logo foi publicado no sitio web oficial de Binance refutación.
Segundo o soporte de Twitter, "Detectamos un ataque coordinado de enxeñería social contra os nosos empregados con acceso a ferramentas e sistemas internos. Sabemos que os atacantes utilizaron este acceso para facerse co control de contas populares (incluídas as verificadas) para publicar mensaxes no seu nome. Seguimos investigando a situación e intentamos determinar que outras accións maliciosas se cometeron e a que datos puideron ter acceso.
En canto tivemos coñecemento do incidente, inmediatamente suspendemos as contas afectadas e eliminamos as mensaxes maliciosas. Ademais, tamén limitamos a funcionalidade dun grupo de contas moito maior, incluíndo todas as contas verificadas.
Non temos probas de que os contrasinais dos usuarios estean comprometidos. Ao parecer, os usuarios non están obrigados a actualizar os seus contrasinais.
Como precaución adicional e para garantir a seguridade dos usuarios, tamén bloqueamos todas as contas que tentaron cambiar o seu contrasinal nos últimos 30 días".
O 17 de xullo, o servizo de soporte publicou novos detalles: “Segundo os datos dispoñibles, aproximadamente 130 contas foron afectadas dalgún xeito por atacantes. Seguimos investigando se os datos non públicos resultaron afectados e publicaremos un informe detallado se é o caso".
Mentres tanto, Twitter comparte caeu un 3.3%.
Fonte: linux.org.ru