Даже в 2020-м году достаточно людей, которые верят, что известные люди и компании вдруг начинают «разбрасываться» деньгами, раздают биткоины. Однако, именно на эту «приманку» в ночь с 15 на 16 июля «попались» многие пользователи Twitter. А злоумышленники заработали за несколько часов более 100 тысяч $.
Хакеру, которого называют «Kirk», удалось взять под свой контроль популярные учетные записи Twitter таких знаменитостей, как Билл Гейтс, Джефф Безос, Илон Маск, Барак Обама, Джо Байден, Уоррен Баффет, Канье Уэст и Ким Кардашьян. Индивидуум или намеренно позиционирующая себя в качестве хакера-одиночки преступная группа из Даркнета, захватил аккаунты компаний Apple и Uber, крупнейших криптовалютных бирж CoinDesk, Binance и Gemini.
Получив доступом к «звездным» аккаунтам и учетным записям известных миру брендов, злоумышленники объявили о начале аттракциона неслыханной щедрости. Устроили «раздачу биткоинов».
Рассылаемые хакерами сообщения сулили пользователям хорошую прибыль Правда, при условии, что желающие обогатиться за счет «щедрости» звезд и корпораций первоначально отправят немного биткоинов на определенный счет. Мол, для того, чтобы проверить, существует ли такой криптокошелек. Да и для того, чтобы «добрые дяди тети» не заморачивались указанием номеров криптокошельков, а провели обратную транзакцию по уже готовым реквизитам.
Джон Байден, а точнее его взломанный аккаунт, предлагал удвоить капитал, обещая вернуть 2 тысячи $, если на его счет положат тысячу. Все это нужно было сделать в течение получаса. Мол, таким образом, политик выполняет свой общественный долг.
Фактически, применялась классическая скамерская схема:
- вначале, обещая вернуть больше, просят прислать небольшую сумму денег;
- обещают ее удвоить и вернуть на кошелек.
Большая часть скомпрометированных учетных записей имела двухфакторную аутентификацию, но это не остановило хакеров. Попытки настоящих владельцев аккаунтов, как и админов Twitter, удалить все эти провокационные сообщения, оказались безуспешными. Сообщения тут же появлялись вновь. Некоторые из этих, автоматически возрождающихся твитов, имели ссылку на веб-ресурс, который сейчас уже удален (изображение скриншота ниже).
Все взломанные аккаунты «предлагали» сделать перевод на один и тот же криптокошелек. По имеющимся данным, на утро 16 июля злоумышленники получили от доверчивых пользователей около 13 BTC (приблизительно 120 тысяч $). Правда, не следует забывать, что подобные кампании часто сопровождаются имитацией активности привлеченных людей. Мошенники нередко сами делают транзакции, чтобы создать видимость естественности происходящего, активно проводимых платежей, чем и вызывают доверие пользователей.
Не понятно, как компания Twitter умудрилась допустить столь масштабную и эффективно завершенную атаку. В ночь с 15 на 16 июля специалисты компании даже на несколько часов:
- отключали функцию создания сообщений для взломанных аккаунтов;
- отменили функцию сброса паролей и некоторые иные опции, поскольку хакер успешно пользовался инструментом для «напоминания паролей» через e-mail, привязанным к затронутым атакой учетным записям (это кардинально затрудняло восстановление контроля владельца над своим аккаунтом).
Поэтому, не следует удивляться, что многие аккаунты будут сталкиваться с блокировкой и 16 июля. А может и следующие дни. В определенный момент социальная сеть в автоматическом режиме стала удалять сообщения, в которых указывался номер кошелька злоумышленников, на который призывалось перевести BTC, чтобы «получить» в несколько раз больше обратно. Удалялись любые сообщения, по структуре похожие на запущенное злоумышленником скам-послание (несколько шутников, которые создали и постили пародии на эти сообщения, были заблокированы).
Мошенник начинал с продажи доступа к аккаунтам знаменитостей в Twitter
Уже известно, что хакер «Kirk» начинал с продажи доступа к аккаунтам Twitter-знаменитостей. При выборе целей для атаки он выбирал учетные записи с короткими и узнаваемыми именами. Это не секрет, что подобный бизнес приносит приличный доход ряду преступных группировок из Даркнета. Даже просто украденное имя пользователя, как и дескриптор соцсетей, может стоить от нескольких сотен $ до нескольких тысяч.
Хакер даже пытался продать полученные данные на популярном среди трейдеров хакнутых соцсетей форуме OGUsers. «Kirk» настойчиво искал сообщника, чтобы продать украденные в Twitter имена. Однако, неожиданно планы злоумышленника поменялись. Вместо продажи учетных записей, он стал взламывать их в социальной сети.
Что сообщает социальная сеть Twitter?
Джек Дорси, глава Twitter пообещал провести тщательное расследование инцидента, сделав его результаты максимально «прозрачными».
Итак, что же известно на данный момент экспертам? Предварительные результаты расследования выглядят следующим образом:
- Twitter официально заявил, что фундаментом зафиксированного инцидента стала заранее подготовленная и скоординированная внешняя атака на сотрудников соцсети, в которой применялся весь набор инструментов социальной инженерии.
- Благодаря этому злоумышленники получили доступ к неназванным внутренним системам и инструментам, чем успешно и воспользовались, взяв под свой контроль большое количество популярных аккаунтов знаменитостей.
По мнению экспертов Darknet.Global, именно так и развивались события. Ночью даже появлялись сообщения, указывающие, что хакерам удалось добраться до админ-панели Twitter и взять ее под свой контроль.
Это позволило злоумышленникам «стать фальшивыми» сотрудниками Twitter, получить контроль над доступом пользователей к своим учетным записям, вплоть до изменения связанной с ней электронной почты. Естественно, что такой контроль позволял даже полностью приостановить работу пользователя в сети.
Администраторы соцсети практически моментально удаляли эти сообщения со скриншотами. Следовательно, наши подозрения об утрате контроля над админ-панелью, верны. Либо близки к истине.
Стремясь снизить риски для пользователей, а может, для репутации Twitter, инженеры решились на крайнюю меру. Применив «разрушительный» способ остановки мошеннической атаки. Они превентивно заблокировали огромный массив аккаунтов. Даже те учетные записи, которые на первый взгляд даже не подверглись атаке. Были ограничены и функция публикации и иные возможности пользователей.
Владельцам обещано вернуть доступ к аккаунтам после того, как станет понятно, что угроза устранена, учетные записи и информация находятся в безопасности.
Twitter заверяет, что предпринят комплекс мер, ограничивающий доступ к внутренним системам и инструментам социальной сети. Правда, расследование еще продолжается. Оно явно далеко от завершения.
В компании тщательно изучают, к какой информации пользователей хакеры могли получить доступ (личные сообщения, отложенные или сохраненные твиты).
Пока не известно, как хакер получил доступ к внутренним инструментам Twitter. Предполагается, что был захвачен корпоративный аккаунт одного из сотрудников компании. С этой украденной учетной записи сотрудника злоумышленник проник во внутреннюю сеть компании. Маловероятно, что в штате Twitter у преступной группировки из Даркнета был свой инсайдер, вовлеченный в процесс взлома учетных записи.
Первый удар эта хакерская кампания наносила по @binance. А затем, по непонятной причине, хакер переключился на популярные криптовалютные счета.
Многие специалисты информационной безопасности с мировым именем считают, что атака не столь проста, как представляется с первого взгляда. Получить доступ столь высокого уровня, а затем «взять», да и «потратить» его, запустив фейковую раздачу криптомонет… Вряд ли на это сознательно пошла бы преступная группа из Даркнета.
Ведь эта хакерская атака принесла немногим более сотни тысяч долларов, что довольно странно для тщательно подготовленной акции. Спокойная продажа учетных данных знаменитостей и имен пользователей Twitter на форумах Даркнета могла принести миллионы. Возможно, что истинной задачей хакеров было именно хищение данных? Ну не рассчитывать же на то, что киберпреступники, взявшие под контроль админ-панель Twitter, не слишком умные?