Prieš kelias dienas „Twitter“ platformoje patvirtintų paskyrų vardu, įskaitant: „Apple“, „Uber“, „Changpeng Zhao“ („Binance“), „Vitalikas Buterinas“ („Etherium“), „Charlie Lee“ („Litecoin“), Elonas Muskas, Barackas Obama, Joe Bidenas, Billas Gatesas, Jeffas Bezosas ir kiti – buvo paskelbtos žinutės su bitkoininės piniginės adresu, kuriose sukčiai pažadėjo padvigubinti į šią piniginę pervestas sumas.
Originalus pranešimo turinys: „Jaučiuosi dėkingas, padvigubinus visus mokėjimus, išsiųstus mano BTC adresu! Jūs išsiunčiate 1,000 USD, aš grąžinu 2,000 USD! Darykite tai tik kitas 30 minučių.
Vertimas: „Su malonumu padvigubinsiu visus mokėjimus, atsiųstus mano BTC adresu! Jei atsiųsite 1000 USD, aš atsiųsiu 2000 USD! Bet tik ateinančias 30 minučių“.
Šiuo metu (liepos 17 d.) sukčių adresas yra buvo papildytas už 12.8 BTC (≈ 117 000 USD) jam dalyvaujant buvo įvykdytos 392 operacijos.
Akivaizdu, kad ataką įvykdė užpuolikai, glaudžiai susiję su bendruomene, kurios specializacija yra SMS klastojimo atakos, kuriomis siekiama pažeisti dviejų veiksnių autentifikavimą.(SIM keitimo sukčiai). Taigi, prieš pat masinį laišką „Twitter“ svetainėje https://ogusers. com buvo paskelbta žinutė, kurios autorius buvo parduota pašto adresą bet kurios „Twitter“ paskyros už 250 USD.
Kiek vėliau buvo įsilaužta į kai kurias paskyras su „nepaprastais“ adresais; viena pirmųjų tokių paskyrų buvo 6 m. mirusio „benamio įsilaužėlio“ @2018 paskyra. Adriana Lamo. Prieiga prie paskyros buvo gauta naudojant „Twitter“ administracinius įrankius išjungus dviejų veiksnių autentifikavimą ir suklastojus el. pašto adresą, naudojamą slaptažodžiui nustatyti iš naujo.
Paskyra @b buvo pavogta tokiu pat būdu. Buvo užfiksuota pavogta „Twitter“ paskyra ir administraciniai įrankiai šioje nuotraukoje. „Twitter“ ištrynė visus pačios platformos įrašus su momentinėmis administratoriaus įrankių nuotraukomis. Galimas išplėstinis administratoriaus skydelio vaizdas čia.
Vienas Twitter vartotojas @shinji (dabar užblokuotas) paskelbė trumpą žinutę: "sekite @6" ir taip pat nuotrauka administratoriaus įrankiai.
Archyvuoti @shinji profilio įrašai buvo išsaugoti prieš pat įsilaužimo įvykius. Juos rasite šiose nuorodose:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Tam pačiam vartotojui priklauso „nuostabios“ „Instagram“ paskyros – j0e ir dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Patvirtintakad j0e ir mirusiųjų sąskaitos priklauso liūdnai pagarsėjusiam SMS aferistui „PlugWalkJoe“, kuris įtariamas kelerius metus vykdęs dideles SMS klastojimo atakas. Taip pat įtariama, kad jis buvo ir tebėra ChucklingSquad SMS sukčiavimo grupės narys ir greičiausiai dalyvavo „Twitter“ generalinio direktoriaus Jacko Dorsey paskyros įsilaužimas praeitais metais. Po to buvo įsilaužta į Jacko Dorsey paskyrą SMS klaidinimo atakos AT&T tinkle už išpuolį atsakinga ta pati grupė „ChucklingSquad“.
Atrodo, kad už PlugWalkJoe tinklo ribų yra 21 metų britų studentas Josephas Jamesas Connoras, kuris šiuo metu yra Ispanijoje, negalintis keliauti dėl COVID-19 situacijos.
PlugWalkJoe buvo atliktas tyrimas, kurio metu buvo pasamdytas tyrėjas, kuris užmegztų ryšį su tiriamuoju. Tyrėjui pavyko užmegzti vaizdo ryšį su objektu, derybos vyko baseino fone, nuotrauka kuris vėliau buvo paskelbtas po Instagram rankena j0e.
Beje, yra gana sena „Minecraft“ paskyra Plugwalkjoe.
Pastaba: tyrimas nesibaigė. Kol tyrimas nebaigtas, niekas neturėtų būti ženklinamas, nes gali būti, kad @shinji tėra priekinis asmuo.
Pirmasis kenkėjiškas pranešimas, kuris tapo plačiai žinomas, buvo paskelbtas liepos 15 d. 17:XNUMX UTC Binance vardu. turinys: „Mes bendradarbiaujame su CryptoForHealth ir grąžiname 5000 BTC“. Pranešime buvo nuoroda į sukčių svetainę, kuri priėmė „aukas“. Netrukus jis buvo paskelbtas oficialioje „Binance“ svetainėje paneigimas.
Pasak „Twitter“ palaikymo, „Aptikome suderintą socialinės inžinerijos ataką prieš mūsų darbuotojus, turinčius prieigą prie vidinių įrankių ir sistemų. Žinome, kad užpuolikai pasinaudojo šia prieiga, kad perimtų populiarių (įskaitant patvirtintų) paskyrų kontrolę ir skelbtų pranešimus jų vardu. Toliau tiriame situaciją ir bandome nustatyti, kokie dar piktavališki veiksmai buvo atlikti ir prie kokių duomenų jie galėjo patekti.
Kai tik sužinojome apie incidentą, nedelsdami sustabdėme paveiktas paskyras ir pašalinome kenkėjiškus pranešimus. Be to, apribojome daug didesnės paskyrų grupės, įskaitant visas patvirtintas paskyras, funkcionalumą.
Neturime įrodymų, kad vartotojų slaptažodžiai buvo pažeisti. Matyt, vartotojai neprivalo atnaujinti slaptažodžių.
Siekdami papildomos atsargumo priemonės ir siekdami užtikrinti vartotojų saugumą, taip pat užblokavome visas paskyras, kurios bandė pakeisti slaptažodį per pastarąsias 30 dienų.
Liepos 17 d. palaikymo tarnyba paskelbė naujų detalių: „Turimais duomenimis, maždaug 130 paskyrų buvo kažkaip paveiktos užpuolikų. Mes ir toliau tiriame, ar buvo paveikti nevieši duomenys, ir paskelbsime išsamią ataskaitą, jei taip buvo.
Tuo tarpu „Twitter“ dalijasi sumažėjo 3.3 proc..
Šaltinis: linux.org.ru