För några dagar sedan på Twitter-plattformen på uppdrag av verifierade konton, inklusive: Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos och andra - meddelanden postades med adressen till en bitcoin-plånbok, där bedragarna lovade att fördubbla beloppen som överfördes till denna plånbok.
Ursprungligt meddelandeinnehåll: "Känner mig tacksam över att fördubbla alla betalningar som skickas till min BTC-adress! Du skickar 1,000 2,000 $, jag skickar tillbaka 30 XNUMX $! Gör detta bara under de kommande XNUMX minuterna."
Översättning: "Jag dubblar gärna alla betalningar som skickas till min BTC-adress! Om du skickar $1000, skickar jag $2000! Men bara under de kommande 30 minuterna."
För tillfället (17 juli) är bedragarnas adress fylldes på för 12.8 BTC (≈ $117 000) genomfördes 392 transaktioner med hans deltagande.
Uppenbarligen utfördes attacken av angripare nära förknippade med en community som specialiserat sig på sms-spoofingattacker som syftar till att äventyra tvåfaktorsautentisering(SIM-swap-bedrägeri). Så, strax före massutskicket på Twitter, på webbplatsen https://ogusers. com ett meddelande publicerades, vars författare var såld e-postadress till ett Twitter-konto för $250.
Något senare hackades några konton med "anmärkningsvärda" adresser; ett av de första sådana kontona var @6-kontot för en "hemlös hacker" som dog 2018. Adriana Lamo. Åtkomst till kontot fick man med hjälp av Twitters administrativa verktyg genom att inaktivera tvåfaktorsautentisering och förfalska e-postadressen som användes för att återställa lösenordet.
@b.-kontot stals på samma sätt. Det stulna Twitter-kontot och administrativa verktyg fångades på på det här fotot. Alla inlägg på själva plattformen med ögonblicksbilder av adminverktyg har tagits bort av Twitter. En utökad bild av adminpanelen är tillgänglig här.
En Twitter-användare, @shinji (nu blockerad), postade ett kort meddelande: "följ @6" och även foto administratörsverktyg.
Arkiverade inspelningar av @shinji-profilen bevarades kort före hackningshändelserna. De finns på dessa länkar:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Samma användare äger de "anmärkningsvärda" Instagram-kontona - j0e and dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
Godkändatt kontona j0e och dead tillhör den ökända sms-bedragaren "PlugWalkJoe", som misstänks ha utfört stora sms-spoofingattacker under flera år. Det påstås också att han var och kan fortfarande vara medlem i ChucklingSquad SMS-bedrägerigruppen och troligen var inblandad i hacka på Twitters vd Jack Dorseys konto förra året. Jack Dorseys konto hackades efter Sms-spoofingattacker på AT&T är samma grupp "ChucklingSquad" ansvarig för attacken
Utanför PlugWalkJoe-nätverket finns tydligen den 21-årige brittiske studenten Joseph James Connor, som för närvarande befinner sig i Spanien utan möjlighet att lämna på grund av situationen med COVID-19.
PlugWalkJoe var föremål för en utredning där en utredare anlitades för att etablera kontakt med ämnet. Utredaren lyckades upprätta en videoförbindelse med föremålet; förhandlingar ägde rum mot bakgrund av en pool, foto som senare postades under Instagram-handtaget j0e.
Det finns förresten ett ganska gammalt minecraft-konto plugwalkjoe.
Obs: Utredningen är inte avslutad. Tills utredningen är klar ska ingen brännmärkas, eftersom det är möjligt att @shinji bara är en galjonsfigur.
Det första skadliga meddelandet som blev allmänt känt publicerades den 15 juli kl. 17:XNUMX UTC på uppdrag av Binance, det hade följande innehåll: "Vi har samarbetat med CryptoForHealth och ger tillbaka 5000 XNUMX BTC." Meddelandet innehöll en länk till en bluffsajt som accepterade "donationer". Snart publicerades det på den officiella Binance-webbplatsen vederläggning.
Enligt Twitter-support, "Vi har upptäckt en koordinerad social ingenjörsattack mot våra anställda med tillgång till interna verktyg och system. Vi vet att angripare har använt denna åtkomst för att ta kontroll över populära (inklusive verifierade) konton för att publicera meddelanden å deras vägnar. Vi fortsätter att undersöka situationen och försöker fastställa vilka andra skadliga handlingar som begicks och vilken data de kan ha kommit åt.
Så snart vi blev medvetna om incidenten stängde vi omedelbart av de berörda kontona och tog bort de skadliga meddelandena. Dessutom har vi också begränsat funktionaliteten för en mycket större grupp konton, inklusive alla verifierade konton.
Vi har inga bevis för att användarlösenord har äventyrats. Uppenbarligen behöver användare inte uppdatera sina lösenord.
Som en extra försiktighetsåtgärd och för att säkerställa användarnas säkerhet har vi även blockerat alla konton som har försökt ändra sitt lösenord under de senaste 30 dagarna."
Den 17 juli publicerade supporttjänsten nya detaljer: "Enligt tillgängliga data påverkades cirka 130 konton på något sätt av angripare. Vi fortsätter att undersöka om icke-offentlig data påverkades och kommer att publicera en detaljerad rapport om så var fallet.”
Under tiden delar Twitter sjönk med 3.3 %.
Källa: linux.org.ru