Кілька днів тому на платформі Twitter від імені підтверджених облікових записів, серед яких: Apple, Uber, Чанпен Чжао(Binance), Віталік Бутерін(Etherium), Чарлі Лі(Litecoin) Ілон Маск, Барак Обама, Джо Байден, Білл Гейтс, Джефф Безос та інші були розміщені повідомлення з адресою bitcoin-гаманця, в яких шахраї обіцяли подвоювати суми, переведені на цей гаманець.
Оригінальний зміст повідомлень: «Feeling grateful doubling all payments sent to my BTC address! You send $1,000, I send back $2,000! Тільки робить це для подальшого 30 хвилин.»
Переклад: «Буду радий подвоїти всі платежі, надіслані на мою BTC-адресу! Якщо ви відправите 1000 доларів, я відправлю 2000 доларів! Але лише протягом наступних 30 хвилин.»
На даний момент(17 липня) адреса шахраїв був поповнений на 12.8 BTC(≈ $117 000), за його участю здійснено 392 транзакції.
Зважаючи на все, атаку зробили зловмисники, тісно пов'язані з спільнотою, що спеціалізується на атаках заміною СМС з метою компрометації двофакторної аутентифікації(SIM swap scam). Так, незадовго до масового розсилання у Twitter, на сайті https://ogusers. com було опубліковано повідомлення, автор якого продавав email-адреса будь-якого облікового запису Twitter за $250.
Дещо пізніше були зламані деякі облікові записи з «примітними» адресами, один з перших подібних облікових записів — обліковий запис @6 померлого в 2018 році «бездомного хакера» Адріана Ламо. Доступ до облікового запису було отримано за допомогою адміністративних інструментів Twitter шляхом відключення двофакторної автентифікації та заміни адреси електронної пошти, що використовується для скидання пароля.
Так само було вкрадено обліковий запис @b. Вкрадений обліковий запис та адміністративні інструменти Twitter були зображені на цьому знімку. Усі повідомлення на самій платформі зі знімками інструментів адміністратора було видалено Twitter. Розширений знімок панелі адміністратора доступний тут.
Один із користувачів Twitter, @shinji (нині заблокований), опублікував коротке повідомлення: «follow @6», а також фото інструментів адміністратора.
Збереглися архівні записи профілю @shinji незадовго до подій зі зломом. Вони доступні за цими посиланнями:
- https://archive.vn/Abr3l
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/Abr3I
- http://archive.is/YGS0T
- http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/YGS0T
Цьому ж користувачу належать «примітні» облікові записи Instagram — j0e і dead:
- https://www.instagram.com/j0e/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/j0e
- https://www.instagram.com/dead/
- http://rlp5gt4d7dtkok3yaogocbcvrs2tdligjrxipsamztjq4wwpxzjeuxqd.onion/u/dead
стверджується, що облікові записи j0e і dead належать сумно відомому СМС-шахраю «PlugWalkJoe», який підозрюється у проведенні великих атак СМС-підміни протягом декількох років. Також стверджується, що він був і, можливо, залишається членом угруповання СМС-шахраїв «ChucklingSquad» і, ймовірно, був замішаний у злому акаунту CEO Twitter Джека Дорсі в минулому році. Злом акаунту Джека Дорсі був здійснений після проведення атаки СМС-підміною на AT&T, відповідальна за атаку та ж група «ChucklingSquad»
За межами мережі PlugWalkJoe, зважаючи на все, — 21-річний британський студент Джозеф Джеймс Коннор, який на даний момент перебуває в Іспанії без можливості виїзду через ситуацію з COVID-19.
PlugWalkJoe був об'єктом розслідування, під час якого було найнято слідчий для встановлення зв'язку з об'єктом. Слідчому вдалося домогтися встановлення відеозв'язку з об'єктом, переговори відбувалися на тлі басейну, фото якого пізніше було опубліковано від імені Instagram j0e.
До речі, існує досить старий minecraft-аккаунт plugwalkjoe.
Примітка: розслідування не завершено. До закінчення розслідування не слід таврувати будь-кого, оскільки не виключено, що @shinji - лише підставна особа.
Перше шкідливе повідомлення, яке стало широко відомим, було опубліковано 15 липня о 17 годині за UTC від імені Binance, воно мало наступне зміст: «Ми стали партнерами CryptoForHealth і повертаємо 5000 BTC» У повідомленні було посилання на сайт шахраїв, який приймав «пожертви». Незабаром на офіційному сайті Binance було опубліковано спростування.
Як повідомляє служба підтримки Twitter, «Ми виявили скоординовану атаку із застосуванням соціальної інженерії проти наших співробітників, які мають доступ до внутрішніх інструментів та систем. Нам відомо, що зловмисники використали цей доступ для перехоплення контролю над популярними (у тому числі підтвердженими) обліковими записами для публікації повідомлень від їхнього імені. Ми продовжуємо вивчати ситуацію та намагаємося визначити, які ще шкідливі дії були скоєні та до яких даних вони могли отримати доступ.
Як тільки нам стало відомо про інцидент, ми негайно заблокували порушені облікові записи та видалили шкідливі повідомлення. Крім того, ми також обмежили функціональність набагато більшої групи облікових записів, у тому числі всіх підтверджених.
Ми не маємо жодних доказів компрометації паролів користувачів. Зважаючи на все, користувачам не обов'язково оновлювати паролі.
Як додатковий запобіжний захід і для забезпечення безпеки користувачів, ми також заблокували всі облікові записи, від імені яких були зафіксовані спроби зміни пароля за останні 30 днів.»
17 липня служба підтримки опублікувала нові подробиці: «За наявними даними, приблизно 130 аккаутів були так чи інакше порушені зловмисниками. Ми продовжуємо з'ясовувати, чи торкнулися непублічні дані, і опублікуємо докладний звіт, якщо це сталося.»
Тим часом акції Twitter обрушилися на 3.3%.
Джерело: linux.org.ru