เมื่อไม่กี่วันก่อนบนแพลตฟอร์ม Twitter ในนามของบัญชีที่ได้รับการยืนยัน ได้แก่ Apple, Uber, Changpeng Zhao (Binance), Vitalik Buterin (Etherium), Charlie Lee (Litecoin), Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos และคนอื่น ๆ - ข้อความถูกโพสต์พร้อมที่อยู่ของกระเป๋าเงิน bitcoin ซึ่งนักต้มตุ๋นสัญญาว่าจะเพิ่มจำนวนเงินที่โอนไปยังกระเป๋าเงินนี้สองเท่า
เนื้อหาข้อความต้นฉบับ: “รู้สึกขอบคุณที่เพิ่มการชำระเงินทั้งหมดที่ส่งไปยังที่อยู่ BTC ของฉันเป็นสองเท่า! คุณส่ง $1,000 ฉันส่งกลับ $2,000! ทำเช่นนี้เพียง 30 นาทีข้างหน้าเท่านั้น"
การแปล: “ฉันยินดีที่จะเพิ่มการชำระเงินทั้งหมดที่ส่งไปยังที่อยู่ BTC ของฉันเป็นสองเท่า! ถ้าคุณส่ง $1000 ฉันจะส่ง $2000! แต่อีกแค่ 30 นาทีข้างหน้าเท่านั้น”
ขณะนี้ (17 ก.ค.) ที่อยู่ของผู้หลอกลวงคือ ถูกเติมเต็ม สำหรับ 12.8 BTC (ประมาณ $117) ธุรกรรม 000 รายการเสร็จสมบูรณ์โดยการมีส่วนร่วมของเขา
เห็นได้ชัดว่าการโจมตีดำเนินการโดยผู้โจมตีที่เกี่ยวข้องอย่างใกล้ชิดกับชุมชนที่เชี่ยวชาญด้านการโจมตีด้วยการปลอมแปลง SMS โดยมีเป้าหมายไปที่การประนีประนอมการตรวจสอบสิทธิ์แบบสองปัจจัย(กลโกงแลกซิม). ดังนั้นไม่นานก่อนที่จะมีการส่งจดหมายจำนวนมากบน Twitter บนเว็บไซต์ https://ogusers com มีการเผยแพร่ข้อความซึ่งผู้เขียนคือ ขายแล้ว ที่อยู่อีเมลของบัญชี Twitter ใด ๆ ในราคา $250
ต่อมาบางบัญชีที่มีที่อยู่ “โดดเด่น” ถูกแฮ็ก หนึ่งในบัญชีแรกๆ ดังกล่าวคือบัญชี @6 ของ “แฮ็กเกอร์ไร้บ้าน” ที่เสียชีวิตในปี 2018 เอเดรียน่า ลาโม. เข้าถึงบัญชีได้โดยใช้เครื่องมือการดูแลระบบ Twitter โดยปิดการใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยและการปลอมแปลงที่อยู่อีเมลที่ใช้ในการรีเซ็ตรหัสผ่าน
บัญชี @b. ถูกขโมยในลักษณะเดียวกัน บัญชี Twitter ที่ถูกขโมยและเครื่องมือการดูแลระบบถูกจับได้ ในภาพนี้. โพสต์ทั้งหมดบนแพลตฟอร์มพร้อมภาพรวมของเครื่องมือผู้ดูแลระบบถูกลบโดย Twitter มีภาพขยายของแผงผู้ดูแลระบบให้เลือกใช้ ที่นี่.
ผู้ใช้ Twitter รายหนึ่ง @shinji (ตอนนี้ถูกบล็อกแล้ว) ได้โพสต์ข้อความสั้น ๆ ว่า "ติดตาม @6" และเช่นกัน ภาพถ่าย เครื่องมือของผู้ดูแลระบบ
การบันทึกโปรไฟล์ @shinji ที่เก็บถาวรได้รับการเก็บรักษาไว้ไม่นานก่อนเกิดเหตุการณ์การแฮ็ก สามารถดูได้ที่ลิงค์เหล่านี้:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
ผู้ใช้รายเดียวกันเป็นเจ้าของบัญชี Instagram ที่ "โดดเด่น" - j0e และตายแล้ว:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
ที่ได้รับการอนุมัติบัญชี j0e และบัญชีที่ตายแล้วเป็นของนักต้มตุ๋นทาง SMS ชื่อดัง "PlugWalkJoe" ซึ่งต้องสงสัยว่าทำการโจมตีด้วยการปลอมแปลง SMS ขนาดใหญ่เป็นเวลาหลายปี มีการกล่าวหาว่าเขาเคยเป็นและอาจยังคงเป็นสมาชิกของกลุ่มฉ้อโกงทาง SMS ของ ChucklingSquad และอาจมีส่วนเกี่ยวข้องกับ การแฮ็กบัญชีของ Jack Dorsey ซีอีโอ Twitter ปีที่แล้ว. บัญชีของ Jack Dorsey ถูกแฮ็กหลังจากนั้น การโจมตีด้วยการปลอมแปลง SMS บน AT&T กลุ่มเดียวกัน “ChucklingSquad” มีหน้าที่รับผิดชอบในการโจมตี
นอกเครือข่าย PlugWalkJoe เห็นได้ชัดว่าคือโจเซฟ เจมส์ คอนเนอร์ นักเรียนชาวอังกฤษวัย 21 ปี ซึ่งปัจจุบันอยู่ในสเปนโดยไม่มีความเป็นไปได้ที่จะออกไปเนื่องจากสถานการณ์โควิด-19
PlugWalkJoe ตกเป็นเป้าของการสืบสวนในระหว่างที่มีการจ้างนักสืบให้ติดต่อกับบุคคลดังกล่าว ผู้ตรวจสอบสามารถสร้างการเชื่อมต่อวิดีโอกับวัตถุได้ มีการเจรจาโดยมีฉากหลังเป็นสระว่ายน้ำ ภาพถ่าย ซึ่งต่อมาถูกโพสต์ภายใต้ชื่อ Instagram j0e
ยังไงก็ตามมีบัญชี minecraft ที่ค่อนข้างเก่า Plugwalkjoe.
หมายเหตุ: การสอบสวนยังไม่สิ้นสุด จนกว่าการสอบสวนจะเสร็จสิ้น ไม่ควรตีตราใคร เนื่องจากเป็นไปได้ว่า @ชินจิ อาจเป็นเพียงหุ่นเชิดเท่านั้น
ข้อความอันตรายแรกที่กลายเป็นที่รู้จักอย่างกว้างขวางถูกเผยแพร่เมื่อวันที่ 15 กรกฎาคม เวลา 17:XNUMX UTC ในนามของ Binance โดยมีดังต่อไปนี้ เนื้อหา: “เราได้ร่วมมือกับ CryptoForHealth และกำลังส่งคืน 5000 BTC” ข้อความดังกล่าวมีลิงก์ไปยังไซต์หลอกลวงที่ยอมรับ "การบริจาค" ในไม่ช้ามันก็ถูกเผยแพร่บนเว็บไซต์อย่างเป็นทางการของ Binance การหักล้าง.
ตามการสนับสนุนของ Twitter “เราได้ตรวจพบการโจมตีทางวิศวกรรมสังคมที่ประสานงานกับพนักงานของเราด้วยการเข้าถึงเครื่องมือและระบบภายใน เรารู้ว่าผู้โจมตีได้ใช้การเข้าถึงนี้เพื่อยึดการควบคุมบัญชียอดนิยม (รวมถึงบัญชีที่ได้รับการยืนยันแล้ว) เพื่อเผยแพร่ข้อความในนามของพวกเขา เรากำลังตรวจสอบสถานการณ์อย่างต่อเนื่องและพยายามพิจารณาว่ามีการกระทำที่เป็นอันตรายอื่นๆ ใดบ้าง และข้อมูลใดที่พวกเขาอาจเข้าถึงได้
ทันทีที่เราทราบถึงเหตุการณ์ดังกล่าว เราก็ระงับบัญชีที่ได้รับผลกระทบทันทีและลบข้อความที่เป็นอันตรายออก นอกจากนี้ เรายังจำกัดการทำงานของกลุ่มบัญชีที่ใหญ่กว่ามาก รวมถึงบัญชีที่ได้รับการยืนยันทั้งหมดด้วย
เราไม่มีหลักฐานว่ารหัสผ่านของผู้ใช้ถูกบุกรุก เห็นได้ชัดว่าผู้ใช้ไม่จำเป็นต้องอัปเดตรหัสผ่านของตน
เพื่อเป็นการป้องกันไว้ก่อนและเพื่อความปลอดภัยของผู้ใช้ เราได้บล็อกบัญชีทั้งหมดที่พยายามเปลี่ยนรหัสผ่านในช่วง 30 วันที่ผ่านมา"
เมื่อวันที่ 17 กรกฎาคม บริการสนับสนุนได้เผยแพร่รายละเอียดใหม่: “ตามข้อมูลที่มีอยู่ บัญชีประมาณ 130 บัญชีได้รับผลกระทบจากผู้โจมตี เรายังคงสอบสวนต่อไปว่าข้อมูลที่ไม่เปิดเผยต่อสาธารณะได้รับผลกระทบหรือไม่ และจะเผยแพร่รายงานโดยละเอียดหากเป็นกรณีนี้”
ในขณะเดียวกัน Twitter ก็แชร์ ลดลง 3.3%.
ที่มา: linux.org.ru