Pred nekaj dnevi na platformi Twitter v imenu preverjenih računov, vključno z: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos in drugi - objavljena so bila sporočila z naslovom bitcoin denarnice, v kateri so prevaranti obljubili podvojitev zneskov, prenesenih v to denarnico.
Izvirna vsebina sporočila: »Hvaležen sem za podvojitev vseh plačil, poslanih na moj naslov BTC! Ti pošlješ 1,000$, jaz vrnem 2,000$! To počnem le naslednjih 30 minut."
Prevod: »Z veseljem bom podvojil vsa plačila, poslana na moj BTC naslov! Če pošljete 1000 $, bom jaz poslal 2000 $! Ampak samo naslednjih 30 minut."
Trenutno (17. julij) je naslov prevarantov je bil dopolnjen za 12.8 BTC (≈ 117 $) je bilo z njegovo udeležbo opravljenih 000 transakcij.
Očitno so napad izvedli napadalci, ki so tesno povezani s skupnostjo, specializirano za napade ponarejanja sporočil SMS, katerih namen je ogroziti dvofaktorsko avtentikacijo.(prevara z zamenjavo kartice SIM). Torej, tik pred množičnim pošiljanjem na Twitterju, na spletni strani https://ogusers. com objavljeno sporočilo, katerega avtor je bil prodano e-poštni naslov katerega koli računa Twitter za 250 USD.
Nekoliko kasneje so vdrli v nekaj računov z »izjemnimi« naslovi, eden prvih takih računov je bil račun @6 leta 2018 umrlega »brezdomnega hekerja«. Adriana Lamo. Dostop do računa je bil pridobljen z uporabo skrbniških orodij Twitterja z onemogočanjem dvostopenjske avtentikacije in ponarejanjem e-poštnega naslova, uporabljenega za ponastavitev gesla.
Na enak način je bil ukraden račun @b. Ukradeni račun Twitter in administrativna orodja so bili ujeti na tej fotografiji. Vse objave na sami platformi s posnetki skrbniških orodij je Twitter izbrisal. Na voljo je razširjen posnetek skrbniške plošče tukaj.
En uporabnik Twitterja, @shinji (zdaj blokiran), je objavil kratko sporočilo: "follow @6" in tudi fotografija skrbniška orodja.
Arhivirani posnetki profila @shinji so bili ohranjeni malo pred hekerskimi dogodki. Na voljo so na teh povezavah:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Isti uporabnik je lastnik "izjemnih" Instagram računov - j0e in mrtev:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Odobrenoda računi j0e in dead pripadajo razvpitemu SMS prevarantu "PlugWalkJoe", ki je osumljen, da je več let izvajal velike napade ponarejanja sporočil SMS. Domneva se tudi, da je bil in je morda še vedno član skupine ChucklingSquad za goljufanje SMS in je bil verjetno vpleten v vdor v račun izvršnega direktorja Twitterja Jacka Dorseyja lansko leto. V račun Jacka Dorseyja so vdrli Napadi ponarejanja sporočil SMS na AT&T je za napad odgovorna ista skupina "ChucklingSquad".
Zunaj omrežja PlugWalkJoe je očitno 21-letni britanski študent Joseph James Connor, ki je trenutno v Španiji brez možnosti odhoda zaradi situacije s COVID-19.
PlugWalkJoe je bil predmet preiskave, med katero je bil najet preiskovalec, da bi vzpostavil stik z subjektom. Preiskovalcu je uspelo vzpostaviti videopovezavo s predmetom, pogajanja so potekala v ozadju bazena, fotografija ki je bil kasneje objavljen pod naslovom Instagram j0e.
Mimogrede, obstaja precej star račun za minecraft plugwalkjoe.
Opomba: preiskava še ni končana. Dokler preiskava ni zaključena, naj se ne ožigosa nihče, saj je možno, da je @shinji le figura.
Prvo zlonamerno sporočilo, ki je postalo splošno znano, je bilo objavljeno 15. julija ob 17:XNUMX UTC v imenu Binance in je imelo naslednje содержание: "Sodelovali smo s CryptoForHealth in vračamo 5000 BTC." Sporočilo je vsebovalo povezavo do prevarantskega mesta, ki je sprejemalo "donacije". Kmalu je bil objavljen na uradni spletni strani Binance zavrnitev.
Glede na podporo Twitterju: »Zaznali smo usklajen napad socialnega inženiringa na naše zaposlene z dostopom do notranjih orodij in sistemov. Vemo, da so napadalci ta dostop uporabili za prevzem nadzora nad priljubljenimi (vključno s preverjenimi) računi za objavo sporočil v njihovem imenu. Še naprej preiskujemo situacijo in poskušamo ugotoviti, katera druga zlonamerna dejanja so bila storjena in do katerih podatkov so morda dostopali.
Takoj ko smo izvedeli za incident, smo nemudoma začasno ukinili prizadete račune in odstranili zlonamerna sporočila. Poleg tega smo omejili tudi funkcionalnost veliko večje skupine računov, vključno z vsemi preverjenimi računi.
Nimamo dokazov, da so bila uporabniška gesla ogrožena. Očitno uporabnikom ni treba posodobiti svojih gesel.
Kot dodatno previdnost in zaradi zagotavljanja varnosti uporabnikov smo blokirali tudi vse račune, ki so v zadnjih 30 dneh poskušali spremeniti svoje geslo."
17. julija je služba za podporo objavila nove podrobnosti: »Po razpoložljivih podatkih so napadalci nekako prizadeli približno 130 računov. Še naprej preiskujemo, ali so bili prizadeti nejavni podatki, in bomo objavili podrobno poročilo, če je bilo temu tako."
Medtem Twitter deli padla za 3.3 %.
Vir: linux.org.ru