Há poucos dias na plataforma do Twitter em nome de contas verificadas, incluindo: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos e outros - foram postadas mensagens com o endereço de uma carteira bitcoin, nas quais os golpistas prometiam dobrar os valores transferidos para essa carteira.
Conteúdo da mensagem original: “Sinto-me grato por duplicar todos os pagamentos enviados para meu endereço BTC! Você envia $ 1,000, eu devolvo $ 2,000! Só fazendo isso pelos próximos 30 minutos."
Tradução: “Terei o maior prazer em duplicar todos os pagamentos enviados para o meu endereço BTC! Se você enviar $ 1000, eu enviarei $ 2000! Mas apenas pelos próximos 30 minutos."
No momento (17 de julho) o endereço dos golpistas é foi reabastecido por 12.8 BTC (≈ US$ 117), 000 transações foram concluídas com sua participação.
Aparentemente, o ataque foi realizado por invasores intimamente associados a uma comunidade especializada em ataques de falsificação de SMS com o objetivo de comprometer a autenticação de dois fatores.(Golpe de troca de SIM). Assim, pouco antes do mailing em massa no Twitter, no site https://ogusers. com foi publicada uma mensagem cujo autor foi estava vendendo endereço de e-mail de qualquer conta do Twitter por US$ 250.
Um pouco mais tarde, algumas contas com endereços “notáveis” foram hackeadas; uma das primeiras contas foi a conta @6 de um “hacker sem-abrigo” que morreu em 2018. Adriana Lamo. O acesso à conta foi obtido por meio de ferramentas administrativas do Twitter, desativando a autenticação de dois fatores e falsificando o endereço de e-mail usado para redefinir a senha.
A conta @b. foi roubada da mesma forma. A conta roubada do Twitter e as ferramentas administrativas foram capturadas em nessa foto. Todas as postagens na própria plataforma com instantâneos de ferramentas administrativas foram excluídas pelo Twitter. Uma imagem estendida do painel de administração está disponível aqui.
Um usuário do Twitter, @shinji (agora bloqueado), postou uma mensagem curta: “siga @6” e também foto ferramentas de administrador.
As gravações arquivadas do perfil @shinji foram preservadas pouco antes dos eventos de hacking. Eles estão disponíveis nestes links:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
O mesmo usuário possui as contas “notáveis” do Instagram – j0e e dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
aprovadoque as contas j0e e mortas pertencem ao notório golpista de SMS "PlugWalkJoe", que é suspeito de realizar grandes ataques de falsificação de SMS há vários anos. Também é alegado que ele era e ainda pode ser membro do grupo fraudulento de SMS ChucklingSquad e provavelmente estava envolvido em hackeamento da conta do CEO do Twitter, Jack Dorsey ano passado. A conta de Jack Dorsey foi hackeada depois Ataques de falsificação de SMS na AT&T, o mesmo grupo “ChucklingSquad” é responsável pelo ataque
Fora da rede PlugWalkJoe, aparentemente, está o estudante britânico Joseph James Connor, de 21 anos, que atualmente está na Espanha sem possibilidade de sair devido à situação com o COVID-19.
PlugWalkJoe foi alvo de uma investigação durante a qual um investigador foi contratado para estabelecer contato com o sujeito. O investigador conseguiu estabelecer uma conexão de vídeo com o objeto; as negociações ocorreram tendo como pano de fundo uma piscina, foto que mais tarde foi postado sob o nome j0e do Instagram.
A propósito, existe uma conta de minecraft bastante antiga plugwalkjoe.
Nota: A investigação não terminou. Até que a investigação seja concluída, ninguém deve ser marcado, pois é possível que @shinji seja apenas uma figura de proa.
A primeira mensagem maliciosa que se tornou amplamente conhecida foi publicada em 15 de julho às 17h UTC em nome da Binance, tinha o seguinte conteúdo: “Fizemos uma parceria com a CryptoForHealth e estamos devolvendo 5000 BTC.” A mensagem continha um link para um site fraudulento que aceitava “doações”. Logo foi publicado no site oficial da Binance refutação.
De acordo com o suporte do Twitter, “detectamos um ataque coordenado de engenharia social contra nossos funcionários com acesso a ferramentas e sistemas internos. Sabemos que os invasores usaram esse acesso para assumir o controle de contas populares (inclusive verificadas) para publicar mensagens em seu nome. Continuamos investigando a situação e tentando determinar quais outras ações maliciosas foram cometidas e quais dados elas podem ter acessado.
Assim que tomamos conhecimento do incidente, suspendemos imediatamente as contas afetadas e removemos as mensagens maliciosas. Além disso, também limitamos a funcionalidade de um grupo muito maior de contas, incluindo todas as contas verificadas.
Não temos evidências de que as senhas dos usuários tenham sido comprometidas. Aparentemente, os usuários não são obrigados a atualizar suas senhas.
Como precaução adicional e para garantir a segurança dos utilizadores, também bloqueámos todas as contas que tentaram alterar a sua palavra-passe nos últimos 30 dias."
No dia 17 de julho, o serviço de suporte publicou novos detalhes: “De acordo com os dados disponíveis, aproximadamente 130 contas foram de alguma forma afetadas pelos invasores. Continuamos investigando se os dados não públicos foram afetados e publicaremos um relatório detalhado se for esse o caso”.
Enquanto isso, o Twitter compartilha caiu 3.3%.
Fonte: linux.org.ru