Néhány nappal ezelőtt a Twitter platformon ellenőrzött fiókok nevében, többek között: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos és mások – üzeneteket tettek közzé egy bitcoin pénztárca címével, amelyben a csalók azt ígérték, hogy megduplázzák az erre a tárcára utalt összeget.
Eredeti üzenet tartalma: „Hálás érzés, hogy megdupláztam a BTC-címemre küldött kifizetéseket! Ön 1,000 dollárt küld, én 2,000 dollárt küldök vissza! Csak a következő 30 percben tegye ezt."
Fordítás: „Szívesen megduplázom a BTC-címemre küldött kifizetéseket! Ha 1000 dollárt küldesz, én 2000 dollárt küldök! De csak a következő 30 percben."
Jelenleg (július 17.) a csalók címe feltöltötték 12.8 BTC-ért (≈ 117 000 USD) 392 tranzakciót hajtottak végre az ő részvételével.
Nyilvánvalóan a támadást olyan támadók követték el, akik szoros kapcsolatban álltak egy olyan közösséggel, amely a kétfaktoros hitelesítés megsértését célzó SMS-hamisító támadásokra szakosodott.(SIM-csere csalás). Tehát röviddel a tömeges levélküldés előtt a Twitteren, a https://ogusers weboldalon. com egy üzenetet tettek közzé, melynek szerzője az volt eladott bármely Twitter-fiók e-mail címe 250 dollárért.
Valamivel később néhány „figyelemreméltó” címmel rendelkező fiókot feltörtek; az egyik első ilyen fiók egy 6-ban meghalt „hajléktalan hacker” @2018-os fiókja volt. Adriana Lamo. A fiókhoz a Twitter adminisztrációs eszközeivel fértek hozzá a kétfaktoros hitelesítés letiltásával és a jelszó visszaállításához használt e-mail cím meghamisításával.
A @b. fiókot ugyanígy lopták el. Az ellopott Twitter-fiókot és az adminisztrációs eszközöket rögzítették Ezen a képen. A Twitter törölte az összes bejegyzést magán a platformon az adminisztrációs eszközök pillanatképeivel. Az adminisztrációs panel bővített felvétele elérhető itt.
Az egyik Twitter-felhasználó, @shinji (jelenleg blokkolva) rövid üzenetet tett közzé: "kövesd a @6-ot" és azt is fénykép rendszergazdai eszközök.
A @shinji profil archivált felvételeit röviddel a hackeresemények előtt megőrizték. Ezeken a linkeken érhetők el:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Ugyanannak a felhasználónak vannak a „figyelemre méltó” Instagram-fiókjai – j0e és dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Jóváhagyotthogy a j0e és a halottak fiókjai a hírhedt "PlugWalkJoe" SMS-csalóhoz tartoznak, akit azzal gyanúsítanak, hogy több éven keresztül nagyszabású SMS-hamisítási támadásokat hajt végre. Azt is állították, hogy tagja volt és lehet is a ChucklingSquad SMS-csalási csoportnak, és valószínűleg részt vett Jack Dorsey Twitter-vezérigazgató fiókjának feltörése tavaly. Jack Dorsey fiókját feltörték SMS hamisítási támadások Az AT&T-n ugyanaz a „ChucklingSquad” csoport felelős a támadásért
Úgy tűnik, hogy a PlugWalkJoe hálózaton kívül van a 21 éves brit diák, Joseph James Connor, aki jelenleg Spanyolországban tartózkodik, és nem tud utazni a COVID-19-helyzet miatt.
A PlugWalkJoe egy nyomozás tárgya volt, amelynek során felkértek egy nyomozót, hogy kapcsolatot létesítsen az alanyal. A nyomozónak sikerült videokapcsolatot létesítenie a tárggyal, a tárgyalások egy uszoda hátterében zajlottak, fénykép amelyet később az Instagram kezelője alatt tettek közzé j0e.
Egyébként van egy elég régi minecraft fiók plugwalkjoe.
Megjegyzés: A vizsgálat még nem ért véget. Amíg a nyomozás le nem zárul, ne bélyegezzen senkit, mert lehetséges, hogy @shinji csak egy figura.
Az első, széles körben ismertté vált rosszindulatú üzenetet július 15-én 17:XNUMX UTC-kor tették közzé a Binance nevében, a következőkkel tartalom: "Partnerségre lépünk a CryptoForHealth-el, és 5000 BTC-t adunk vissza." Az üzenet egy átverési oldalra mutató hivatkozást tartalmazott, amely „adományokat” fogadott. Hamarosan megjelent a hivatalos Binance honlapján cáfolat.
A Twitter-támogatás szerint „koordinált social engineering támadást észleltünk alkalmazottaink ellen, akik hozzáfértek a belső eszközökhöz és rendszerekhez. Tudjuk, hogy a támadók ezt a hozzáférést arra használták fel, hogy átvessék az irányítást a népszerű (beleértve az ellenőrzött) fiókokat, hogy üzeneteket tegyenek közzé a nevükben. Folytatjuk a helyzet kivizsgálását, és igyekszünk megállapítani, milyen egyéb rosszindulatú tevékenységeket követtek el, és milyen adatokhoz férhettek hozzá.
Amint tudomást szereztünk az esetről, azonnal felfüggesztettük az érintett fiókokat, és eltávolítottuk a rosszindulatú üzeneteket. Ezenkívül korlátoztuk a fiókok egy sokkal nagyobb csoportjának funkcionalitását, beleértve az összes ellenőrzött fiókot.
Nincs bizonyítékunk arra, hogy a felhasználói jelszavakat feltörték volna. Úgy tűnik, a felhasználóknak nem kell frissíteniük jelszavaikat.
További óvintézkedésként és a felhasználók biztonsága érdekében blokkoltunk minden olyan fiókot, amely az elmúlt 30 napban megpróbálta megváltoztatni jelszavát."
Július 17-én a támogatási szolgáltatás új részleteket tett közzé: „A rendelkezésre álló adatok szerint körülbelül 130 fiókot érintettek valamilyen módon a támadók. Továbbra is vizsgáljuk, hogy a nem nyilvános adatok érintettek-e, és ha ez a helyzet, részletes jelentést teszünk közzé."
Eközben a Twitter megoszt 3.3%-ot esett.
Forrás: linux.org.ru