Alerta de pirateo: los cibercriminales se hacen cargo de las cuentas populares de Twitter para exponer a los usuarios a una estafa de Bitcoin

Prominent Twitter Accounts Compromised

¿Qué debe hacer si desea ganar más de $ 100 mil en unas pocas horas? Siempre que no te molesten cosas como infringir la ley y potencialmente ir a la cárcel si te atrapan, no es tan difícil en absoluto. Solo necesita secuestrar algunas cuentas populares en Twitter y ejecutar una estafa de bitcoin de proporciones sin precedentes.

Ayer, los hackers atacaron a algunos de los usuarios más influyentes de Twitter. Entre las víctimas estaban los políticos Barack Obama, Joe Biden y Mike Bloomberg, los empresarios Elon Musk, Jeff Bezos y Bill Gates, los músicos Kanye West y Wiz Khalifa, así como las cuentas corporativas de Apple y Uber. Algunas cuentas relacionadas con criptomonedas también fueron secuestradas, y todas fueron aprovechadas en lo que es una estafa decididamente simple de bitcoin.

Me das un bitcoin y yo te doy dos bitcoins

Los piratas informáticos utilizaron las cuentas comprometidas para prometer dinero a millones de seguidores a cambio de procesar una transacción de criptomonedas. Se les dijo a los usuarios que si envían algunos bitcoins a una dirección especificada en los tweets, recibirán el doble de esa cantidad en sus propias billeteras poco después. Además del hecho de que algunas cuentas citaron la crisis de COVID-19 como la razón del sorteo, mientras que otras afirmaron que se hizo por pura generosidad, todos los tweets fueron más o menos lo mismo.

Con las cuentas relacionadas con la criptomoneda, los piratas informáticos adoptaron una estrategia ligeramente diferente. En lugar de anunciar el sorteo en un tweet, vincularon dominios registrados recientemente que empujaron el mismo esquema con la misma dirección de bitcoin.

No fue la primera estafa de este tipo, pero es justo decir que nunca antes se había hecho a tal escala. Para dar a las personas un sentido de urgencia, la mayoría de los tweets afirmaron que el sorteo duraría solo 30 minutos, y esto parece haber valido la pena.

Los usuarios ingenuos envían más de $ 100 mil en criptomonedas a los estafadores

El ataque ciertamente no tenía precedentes, pero no había nada innovador en la estafa en sí. Los hackers ni siquiera se molestaron en usar múltiples direcciones de bitcoin para cubrir sus rastros de manera más eficiente.

Se podría pensar que la falta de sofisticación, junto con el hecho de que la gente realmente debería saber ahora que los esquemas de "dinero por nada" en Internet no funcionan, convertiría esto en una oportunidad enorme para los piratas informáticos. Este no es el caso.

Debido a que los piratas informáticos usaron una sola dirección de bitcoin, es bastante fácil ver cuánto dinero han enviado las personas. De acuerdo con Blockchain.info, al momento de la escritura, las transacciones entrantes en la billetera bitcoin de los ladrones suman un total de 12.8 BTC o alrededor de $ 117 mil. Algunos podrían argumentar que dada la enorme cantidad de víctimas potenciales, esto no es mucho, pero teniendo en cuenta el hecho de que algunos de los tweets de estafa se eliminaron unos minutos después de su publicación, no es un mal cheque de pago.

Twitter: fue un ataque de ingeniería social contra nuestros empleados

Twitter actuó rápidamente, lo que, dada la gran cantidad de cuentas de alto perfil involucradas, no debería ser una sorpresa. Los tweets se eliminaron de inmediato, y durante algunas horas, algunos de los propietarios de la cuenta no pudieron twittear o restablecer sus contraseñas mientras el equipo de seguridad de la plataforma de microblogging limpiaba el desastre.

No es sorprendente que la gente se preguntara cómo lograron entrar los hackers, y muchos recordaron el día en que Twitter anunció que había pegado accidentalmente las contraseñas de texto sin formato de todos sus 330 millones de usuarios en un archivo interno. En aquel entonces, la plataforma de redes sociales pedía a todos los usuarios que cambiaran sus contraseñas, aunque señalaba que solo los empleados tenían acceso a los datos de inicio de sesión. No hemos visto evidencia de fugas debido al error, pero cuando personas prominentes comenzaron a empujar la estafa de bitcoin ayer, algunos profesionales de seguridad pensaron que quizás, las contraseñas podrían haber llegado al mundo exterior después de todo. Sin embargo, resultó que el error de mayo de 2018 no tenía nada que ver con eso.

La investigación aún está en curso, pero el equipo de soporte de Twitter ya ha anunciado que los piratas informáticos organizaron "un ataque coordinado de ingeniería social" contra algunos de los empleados de las redes sociales. De hecho, poco después de que se publicaron los primeros tweets de estafa, aparecieron algunas capturas de pantalla, lo que sugiere que, aunque los piratas informáticos no tenían acceso a las contraseñas de las cuentas comprometidas, controlaban una herramienta de back-end que podía publicar en nombre de las víctimas. Según las fuentes de Motherboard, los delincuentes pueden haber obtenido acceso a estas herramientas después de sobornar a un empleado de Twitter.

Cualquiera sea el caso, si alguna vez te has preguntado cuánta influencia tienen las redes sociales en la vida de las personas, este debería ser un buen ejemplo. Los propietarios de importantes cuentas de Twitter y Facebook deben saber que cada palabra que publican puede provocar todo tipo de reacciones de sus seguidores y fanáticos, y deben tomar esta responsabilidad muy en serio. Los usuarios de las redes sociales deben aprender a no confiar en todo lo que ven en Internet, incluso cuando parece provenir de personas a las que admiran.

Mientras tanto, Twitter tiene mucha investigación que hacer y muchas lecciones que aprender.

July 16, 2020

Deja una respuesta