Pirms dažām dienām Twitter platformā verificētu kontu vārdā, tostarp: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Čārlijs Lī (Litecoin), Elons Masks, Baraks Obama, Džo Baidens, Bils Geitss, Džefs Bezoss un citi - tika ievietoti ziņojumi ar bitcoin maka adresi, kurā krāpnieki solīja dubultot uz šo maku pārskaitītās summas.
Oriģinālā ziņojuma saturs: “Jūtos pateicīgs, dubultojot visus maksājumus, kas nosūtīti uz manu BTC adresi! Jūs nosūtāt 1,000 USD, es sūtu atpakaļ 2,000 USD! Darot to tikai nākamās 30 minūtes.
Tulkojums: “Ar prieku dubultos visus maksājumus, kas nosūtīti uz manu BTC adresi! Ja tu nosūtīsi 1000$, es nosūtīšu 2000$! Bet tikai nākamajām 30 minūtēm."
Šobrīd (17. jūlijā) krāpnieku adrese ir tika papildināts par 12.8 BTC (≈ 117 000 $) ar viņa piedalīšanos tika pabeigti 392 darījumi.
Acīmredzot uzbrukumu veica uzbrucēji, kas ir cieši saistīti ar kopienu, kas specializējas SMS viltošanas uzbrukumos, kuru mērķis ir apdraudēt divu faktoru autentifikāciju.(SIM maiņas krāpniecība). Tātad īsi pirms masveida sūtīšanas Twitter vietnē https://ogusers. com tika publicēta ziņa, kuras autors bija pārdots jebkura Twitter konta e-pasta adrese par 250 USD.
Nedaudz vēlāk tika uzlauzti daži konti ar “ievērojamām” adresēm; viens no pirmajiem šādiem kontiem bija 6. gadā mirušā “bezpajumtnieka hakera” @2018 konts. Adriana Lamo. Piekļuve kontam tika iegūta, izmantojot Twitter administratīvos rīkus, atspējojot divu faktoru autentifikāciju un viltojot paroles atiestatīšanai izmantoto e-pasta adresi.
Tādā pašā veidā tika nozagts @b. konts. Nozagtais Twitter konts un administratīvie rīki tika fiksēti šajā fotoattēlā. Twitter ir izdzēsis visus ierakstus pašā platformā ar administratora rīku momentuzņēmumiem. Ir pieejams paplašināts administratora paneļa attēls šeit.
Viens Twitter lietotājs @shinji (tagad bloķēts) ievietoja īsu ziņu: "seko @6" un arī foto administratora rīki.
Arhivētie @shinji profila ieraksti tika saglabāti neilgi pirms hakeru notikumiem. Tie ir pieejami šajās saitēs:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Tam pašam lietotājam pieder “ievērojamie” Instagram konti - j0e un dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Apstiprinātska konti j0e un mirušie pieder bēdīgi slavenajam SMS krāpniekam "PlugWalkJoe", kurš tiek turēts aizdomās par lielu SMS krāpšanās uzbrukumu veikšanu vairākus gadus. Tiek arī apgalvots, ka viņš bija un joprojām varētu būt īsziņu krāpšanas grupas ChucklingSquad dalībnieks un, iespējams, bija iesaistīts Twitter izpilddirektora Džeka Dorsija konta uzlaušana pagājušais gads. Džeka Dorsija konts tika uzlauzts pēc tam SMS viltošanas uzbrukumi AT&T tīklā par uzbrukumu ir atbildīga tā pati grupa “ChucklingSquad”.
Ārpus PlugWalkJoe tīkla acīmredzot atrodas 21 gadu vecais britu students Džozefs Džeimss Konors, kurš šobrīd atrodas Spānijā bez iespējas izbraukt Covid-19 situācijas dēļ.
Par PlugWalkJoe tika veikta izmeklēšana, kuras laikā tika nolīgts izmeklētājs, lai izveidotu kontaktu ar subjektu. Izmeklētājam izdevās izveidot video savienojumu ar objektu, sarunas notika uz peldbaseina fona, foto kas vēlāk tika ievietots zem Instagram roktura j0e.
Starp citu, ir diezgan vecs minecraft konts plugwalkjoe.
Piezīme: Izmeklēšana nav beigusies. Kamēr izmeklēšana nav pabeigta, nevienu nedrīkst apzīmēt, jo iespējams, ka @shinji ir tikai tēls.
Pirmais ļaunprātīgais ziņojums, kas kļuva plaši pazīstams, tika publicēts 15. jūlijā plkst. 17:XNUMX UTC Binance vārdā, tajā bija: saturs: "Mēs esam sadarbojušies ar CryptoForHealth un atdodam 5000 BTC." Ziņojumā bija saite uz krāpniecības vietni, kas pieņēma “ziedojumus”. Drīz tas tika publicēts oficiālajā Binance vietnē atspēkošana.
Saskaņā ar Twitter atbalstu: “Mēs esam atklājuši koordinētu sociālās inženierijas uzbrukumu mūsu darbiniekiem, kuriem ir piekļuve iekšējiem rīkiem un sistēmām. Mēs zinām, ka uzbrucēji ir izmantojuši šo piekļuvi, lai pārņemtu kontroli pār populāriem (tostarp verificētiem) kontiem un publicētu ziņojumus viņu vārdā. Mēs turpinām izmeklēt situāciju un cenšamies noskaidrot, kādas citas ļaunprātīgas darbības tika veiktas un kādiem datiem viņi varēja piekļūt.
Tiklīdz uzzinājām par incidentu, mēs nekavējoties apturējām skarto kontu darbību un noņēmām ļaunprātīgos ziņojumus. Turklāt esam ierobežojuši arī daudz lielākas kontu grupas, tostarp visu verificēto kontu, funkcionalitāti.
Mums nav pierādījumu, ka lietotāju paroles būtu apdraudētas. Acīmredzot lietotājiem nav jāatjaunina paroles.
Papildu piesardzības nolūkos un lietotāju drošības nolūkos esam bloķējuši arī visus kontus, kuri pēdējo 30 dienu laikā ir mēģinājuši mainīt savu paroli.
17. jūlijā atbalsta dienests publicēja jaunu informāciju: “Saskaņā ar pieejamajiem datiem, aptuveni 130 kontus kaut kādā veidā ietekmējuši uzbrucēji. Mēs turpinām izmeklēt, vai tika ietekmēti nepubliski dati, un publicēsim detalizētu ziņojumu, ja tas tā būtu.
Tikmēr Twitter dalās samazinājās par 3.3%.
Avots: linux.org.ru