Kilka dni temu na platformie Twitter w imieniu zweryfikowanych kont, m.in.: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos i inni – zamieszczane były wiadomości z adresem portfela bitcoin, w których oszuści obiecywali podwoić kwoty przekazywane na ten portfel.
Oryginalna treść wiadomości: „Czuję wdzięczność za podwojenie wszystkich płatności wysłanych na mój adres BTC! Ty wysyłasz 1,000 dolarów, ja odsyłam 2,000 dolarów! Robię to tylko przez następne 30 minut.
Tłumaczenie: „Z przyjemnością podwoję wszystkie płatności wysłane na mój adres BTC! Jeśli wyślesz 1000 dolarów, ja wyślę 2000 dolarów! Ale tylko przez następne 30 minut.”
W tej chwili (17 lipca) adres oszustów to został uzupełniony za 12.8 BTC (≈ 117 000 dolarów) zrealizowano z jego udziałem 392 transakcje.
Najwyraźniej atak przeprowadzili napastnicy blisko powiązani ze społecznością specjalizującą się w atakach fałszujących SMS-y, których celem było złamanie uwierzytelnienia dwuskładnikowego(oszustwo związane z wymianą karty SIM). I tak na krótko przed masową wysyłką na Twitterze, na stronie https://ogusers. com została opublikowana wiadomość, której autorem był sprzedany adres e-mail dowolnego konta na Twitterze za 250 USD.
Nieco później włamano się na niektóre konta o „niezwykłych” adresach; jednym z pierwszych takich kont było konto @6 „bezdomnego hakera”, który zmarł w 2018 roku. Adriana Lamo. Dostęp do konta uzyskano za pomocą narzędzi administracyjnych Twittera poprzez wyłączenie uwierzytelniania dwuskładnikowego i fałszowanie adresu e-mail użytego do resetowania hasła.
Konto @b. zostało skradzione w ten sam sposób. Przechwycono skradzione konto na Twitterze i narzędzia administracyjne na tym zdjęciu. Wszystkie posty na samej platformie zawierające migawki narzędzi administracyjnych zostały usunięte przez Twittera. Dostępny jest rozszerzony zrzut panelu administracyjnego tutaj.
Jeden z użytkowników Twittera, @shinji (teraz zablokowany), opublikował krótką wiadomość: „follow @6” i także zdjęcie narzędzia administratora.
Zarchiwizowane nagrania profilu @shinji zostały zachowane na krótko przed wydarzeniami związanymi z włamaniem. Są one dostępne pod tymi linkami:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Ten sam użytkownik jest właścicielem „niezwykłych” kont na Instagramie – j0e i dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Zatwierdzonyże konta j0e i dead należą do osławionego oszusta SMS „PlugWalkJoe”, który od kilku lat jest podejrzany o przeprowadzanie dużych ataków polegających na fałszowaniu wiadomości SMS. Zarzuca się również, że był i może nadal być członkiem grupy zajmującej się oszustwami SMS-owymi ChucklingSquad i prawdopodobnie był zamieszany w włamanie na konto dyrektora generalnego Twittera, Jacka Dorseya ostatni rok. Konto Jacka Dorseya zostało później zhakowane Ataki polegające na fałszowaniu SMS-ów w AT&T za atak odpowiedzialna jest ta sama grupa „ChucklingSquad”.
Poza siecią PlugWalkJoe najwyraźniej znajduje się 21-letni brytyjski student Joseph James Connor, który obecnie przebywa w Hiszpanii bez możliwości wyjazdu ze względu na sytuację związaną z pandemią COVID-19.
PlugWalkJoe był przedmiotem dochodzenia, podczas którego zatrudniono śledczego, aby nawiązał z nim kontakt. Śledczemu udało się nawiązać połączenie wideo z obiektem, negocjacje toczyły się na tle basenu, zdjęcie który został później opublikowany pod uchwytem na Instagramie j0e.
Nawiasem mówiąc, istnieje dość stare konto Minecraft plugwalkjoe.
Uwaga: śledztwo się nie zakończyło. Do czasu zakończenia śledztwa nie należy nikogo piętnować, ponieważ możliwe jest, że @shinji jest tylko figurantem.
Pierwsza złośliwa wiadomość, która stała się powszechnie znana, została opublikowana 15 lipca o godzinie 17:XNUMX UTC w imieniu Binance i zawierała następującą treść: zawartość: „Nawiązaliśmy współpracę z CryptoForHealth i zwracamy 5000 BTC.” Wiadomość zawierała link do oszukańczej witryny przyjmującej „darowizny”. Wkrótce został on opublikowany na oficjalnej stronie Binance odpierające.
Według wsparcia Twittera: „Wykryliśmy skoordynowany atak socjotechniczny na naszych pracowników mających dostęp do wewnętrznych narzędzi i systemów. Wiemy, że napastnicy wykorzystali ten dostęp do przejęcia kontroli nad popularnymi (w tym zweryfikowanymi) kontami i publikowania wiadomości w ich imieniu. W dalszym ciągu badamy sytuację i staramy się ustalić, jakie inne złośliwe działania zostały popełnione i do jakich danych mogli uzyskać dostęp.
Gdy tylko dowiedzieliśmy się o incydencie, natychmiast zawiesiliśmy dotknięte konta i usunęliśmy złośliwe wiadomości. Dodatkowo ograniczyliśmy także funkcjonalność znacznie większej grupy kont, obejmującej wszystkie konta zweryfikowane.
Nie mamy dowodów na to, że hasła użytkowników zostały naruszone. Najwyraźniej użytkownicy nie muszą aktualizować swoich haseł.
Jako dodatkowy środek ostrożności i w celu zapewnienia bezpieczeństwa użytkowników zablokowaliśmy także wszystkie konta, które w ciągu ostatnich 30 dni próbowały zmienić hasło.”
17 lipca dział wsparcia opublikował nowe szczegóły: „Według dostępnych danych atakujący w jakiś sposób dotknęli około 130 kont. W dalszym ciągu badamy, czy miało to wpływ na dane niepubliczne, i jeśli tak się stanie, opublikujemy szczegółowy raport.”
Tymczasem Twitter udostępnia spadł o 3.3%.
Źródło: linux.org.ru