ハッキング警告:サイバー犯罪者が人気のあるTwitterアカウントを乗っ取って、ユーザーをビットコイン詐欺にさらす
数時間で10万ドル以上を稼ぎたい場合、何をする必要がありますか?法律に違反したり、逮捕されたら刑務所に入るなどの心配が無ければ、それほど難しくはありません。 Twitterで人気のあるアカウントをハイジャックして、前例のないプロポーションのビットコイン詐欺を実行するだけです。
昨日、ハッカーはTwitterの最も影響力のあるユーザーの一部を攻撃しました。犠牲者の中には、政治家のバラク・オバマ、ジョー・バイデン、マイク・ブルームバーグ、起業家のエロン・マスク、ジェフ・ベゾス、ビル・ゲイツ、ミュージシャンのカニエ・ウェストとウィズ・カリファ、さらにアップルとユーバーの企業口座があった。かなりの数の暗号通貨関連のアカウントもハイジャックされ、それらはすべて、明らかにシンプルなビットコイン詐欺に利用されました。
Table of Contents
あなたは私に1つのビットコインを与えます、そして私はあなたに2つのビットコインを与えます
ハッカーは侵害されたアカウントを使用して、暗号通貨トランザクションの処理と引き換えに何百万人ものフォロワーにお金を約束しました。ユーザーは、ツイートで指定されたアドレスにビットコインを送信すると、その後すぐに自分のウォレットでその2倍の金額を受け取ると言われました。いくつかのアカウントがCOVID-19危機をプレゼントの理由として引用したという事実を除いて、他のアカウントはそれが純粋な寛大さから行われたと主張しましたが、すべてのツイートはほとんど同じでした。
暗号通貨関連のアカウントでは、ハッカーは少し異なる戦略を採用しました。彼らはツイートでプレゼントを宣伝する代わりに、同じビットコインアドレスで同じスキームをプッシュした最近登録されたドメインをリンクしました。
これはこのタイプの最初の詐欺ではありませんでしたが、そのような規模でこれまで行われたことはなかったと言っても過言ではありません。人々に緊迫感を与えるために、ほとんどのツイートはプレゼントが30分間しか続かないと主張しており、これは報われたようです。
ナイーブユーザーは、10万ドルを超える暗号通貨を詐欺師に送信します
攻撃は確かに前例のないものでしたが、詐欺自体に革新的なものはありませんでした。ハッカーは、トレースをより効率的にカバーするために複数のビットコインアドレスを使用することさえしませんでした。
洗練されていないことと、インターネット上の「何もないもの」の仕組みが機能しないことを人々が今までに知っておくべき事実が相まって、これがハッカーにとって大きなチャンスとなると思うでしょう。これはまったくそうではありません。
ハッカーは単一のビットコインアドレスを使用したため、人々が送った金額を簡単に確認できます。 Blockchain.infoによると、執筆時点で、詐欺師のビットコインウォレットへの着信トランザクションは合計12.8 BTC、つまり約11.7万ドルです。潜在的な被害者が膨大であることを考えると、それほど多くはないと主張する人もいますが、詐欺ツイートのいくつかは投稿されてから数分後に削除されたという事実を考えると、悪い給料ではありません。
Twitter:従業員に対するソーシャルエンジニアリング攻撃でした
Twitterは迅速に行動しました。関与した有名なアカウントの数が多いことを考えると、驚くことではありません。ツイートはすぐに削除され、数時間の間、アカウント所有者の何人かはツイートしたりパスワードをリセットしたりできず、マイクロブログプラットフォームのセキュリティチームが混乱を解消しました。
当然のことながら、人々はハッカーがどうやって侵入したのか不思議に思っていて、Twitter が 3億3,000万人のユーザー全員のプレーンテキストのパスワードを内部ファイルに誤って貼り付けたと発表した日を覚えていました。当時、ソーシャルメディアプラットフォームはすべてのユーザーにパスワードの変更を求めていましたが、ログインデータにアクセスできるのは従業員だけであると指摘していました。バグのためにリークの証拠は見られませんでしたが、著名な人々が昨日ビットコイン詐欺を押し始めたとき、一部のセキュリティ専門家はおそらくパスワードが外部の世界に到達したのではないかと考えました。しかし、2018年5月のバグはそれとは何の関係もないことが判明しました。
調査はまだ進行中ですが、Twitterのサポートチームは 、ハッカーがソーシャルメディアの従業員の一部に対して「調整されたソーシャルエンジニアリング攻撃」を組織したことをすでに発表しています。実際、最初の詐欺ツイートが投稿された直後にいくつかのスクリーンショットが表示され、ハッカーは侵害されたアカウントのパスワードにアクセスできなかったものの、被害者に代わって投稿できるバックエンドツールを制御していたことが示唆されました。 マザーボードの情報筋によると、詐欺師はTwitterの従業員に賄賂を贈った後、これらのツールにアクセスした可能性があります。
いずれにせよ、ソーシャルネットワークが人々の生活にどれほどの影響を与えるか疑問に思ったことがあるなら、これはかなり良い例でしょう。著名なTwitterおよびFacebookアカウントの所有者は、投稿するすべての単語がフォロワーやファンからあらゆる種類の反応を引き出すことができることを知っておく必要があり、この責任を非常に真剣に受け止める必要があります。ソーシャルメディアのユーザーは、自分が尊敬する人からのものであるように見えても、インターネットで目にするものすべてを信頼しないことを学ばなければなりません。
それまでの間、Twitterには多くの調査と学ぶべき多くの教訓があります。