Взлом Twitter

good-penguin.png

Несколько дней назад на платформе Twitter от имени подтверждённых аккаунтов, среди которых: Apple, Uber, Чанпэн Чжао (Binance), Виталик Бутерин (Etherium), Чарли Ли (Litecoin) Илон Маск, Барак Обама, Джо Байден, Билл Гейтс, Джефф Безос и другие — были размещены сообщения с адресом bitcoin-кошелька, в которых мошенники обещали удваивать суммы, переведённые на этот кошелёк.

Оригинальное содержание сообщений: «Feeling grateful doubling all payments sent to my BTC address! You send $1,000, I send back $2,000! Only doing this for the next 30 minutes.»

Перевод: «Буду рад удвоить все платежи, отправленные на мой BTC-адрес! Если Вы отправите 1000 долларов, я отправлю 2000 долларов! Но только в течение следующих 30 минут.»

На данный момент (17 июля) адрес мошенников был пополнен на 12.8 BTC (≈ $117 000), с его участием совершено 392 транзакции.

Судя по всему, атаку произвели злоумышленники, тесно связанные с сообществом, специализирующемся на атаках подменой СМС с целью компрометации двухфакторной аутентификации (SIM swap scam). Так, незадолго до массовой рассылки в Twitter, на сайте https:// ogusers. com было опубликовано сообщение, автор которого продавал email-адрес любого аккаунта Twitter за $250.

Несколько позже были взломаны некоторые аккаунты с «примечательными» адресами, один из первых подобных аккаунтов — учётная запись @6 умершего в 2018 году «бездомного хакера» Адриана Ламо. Доступ к аккаунту был получен с помощью административных инструментов Twitter путём отключения двухфакторной аутентификации и подмены адреса электронной почты, используемого для сброса пароля.

Таким же образом был украден аккаунт @b. Украденная учётная запись и административные инструменты Twitter были запечатлены на этом снимке. Все сообщения на самой платформе со снимками инструментов администратора были удалены Twitter. Расширенный снимок панели администратора доступен тут.

Один из пользователей Twitter, @shinji (ныне заблокирован), опубликовал короткое сообщение: «follow @6», а также фото инструментов администратора.

Сохранились архивные записи профиля @shinji незадолго до событий со взломом. Они доступны по этим ссылкам:

Этому же пользователю принадлежат «примечательные» аккаунты Instagram — j0e и dead:

Утверждается, что аккаунты j0e и dead принадлежат печально известному СМС-мошеннику «PlugWalkJoe», который подозревается в проведении крупных атак СМС-подмены в течение нескольких лет. Также утверждается, что он был и возможно остаётся членом группировки СМС-мошенников «ChucklingSquad» и, вероятно, был замешан во взломе аккаунта CEO Twitter Джека Дорси в прошлом году. Взлом аккаунта Джека Дорси был произведён после проведения атаки СМС-подменой на AT&T, ответственна за атаку та же группа «ChucklingSquad»

За пределами сети PlugWalkJoe, судя по всему — 21-летний британский студент Джозеф Джеймс Коннор, на данный момент находящийся в Испании без возможности выезда из-за ситуации с COVID-19.

PlugWalkJoe был объектом расследования, во время которого была нанята следователь для установления связи с объектом. Следователю удалось добиться установления видеосвязи с объектом, переговоры происходити на фоне плавательного бассейна, фото которого позднее было опубликовано от имени Instagram j0e.

Кстати, существует достаточно старый minecraft-аккаунт plugwalkjoe.

Примечание: расследование не окончено. До окончания расследования не следует клеймить кого-либо, поскольку не исключено, что @shinji — лишь подставное лицо.

Первое вредоносное сообщение, ставшее широко известным, было опубликовано 15 июля в 17 часов по UTC от имени Binance, оно имело следующее содержание: «Мы стали партнёрами CryptoForHealth и возвращаем 5000 BTC». В сообщении содержалась ссылка на сайт мошенников, который принимал «пожертвования». Вскоре на официальном сайте Binance было опубликовано опровержение.

Как сообщает служба поддержки Twitter, «Мы обнаружили скоординированную атаку с применением социальной инженерии против наших сотрудников, имеющих доступ к внутренним инструментам и системам. Нам известно, что злоумышленники использовали этот доступ для перехвата контроля над популярными (в том числе подтверждёнными) учётными записями для публикации сообщений от их имени. Мы продолжаем изучать ситуацию и пытаемся определить, какие ещё вредоносные действия были совершены и к каким данным они могли получить доступ.

Как только нам стало известно об инциденте, мы немедленно заблокировали затронутые учётные записи и удалили вредоносные сообщения. Кроме того, мы также ограничили функциональность намного большей группы учётных записей, в том числе всех подтверждённых.

У нас нет никаких доказательств компрометации паролей пользователей. Судя по всему, пользователям не обязательно обновлять пароли.

В качестве дополнительной меры предосторожности и для обеспечения безопасности пользователей, мы также заблокировали все учётные записи, от имени которых были зафиксированы попытки смены пароля за последние 30 дней.»

17 июля служба поддержки опубликовала новые подробности: «По имеющимся данным, примерно 130 аккаутов были так или иначе затронуты злоумышленниками. Мы продолжаем выяснять, были ли затронуты непубличные данные, и опубликуем подробный отчёт, если это произошло.»

Тем временем, акции Twitter обрушились на 3.3%.

>>> Служба поддержки Twitter

©  Linux.org.ru