Įspėjimas apie įsilaužimą: elektroniniai nusikaltėliai perima populiarias „Twitter“ paskyras, kad naudotojai būtų aprūpinti „Bitcoin“ sukčiavimu
Ką reikia daryti, jei per kelias trumpas valandas norite uždirbti daugiau nei 100 tūkst. USD? Jei nesijaudinsite dėl tokių įstatymų pažeidimo ir jei pateksite į kalėjimą, tai nėra taip sunku. Jums tiesiog reikia užgrobti keletą populiarių paskyrų „Twitter“ ir paleisti bitkoino sukčiavimą precedento neturinčiomis proporcijomis.
Vakar įsilaužėliai užpuolė keletą įtakingiausių „Twitter“ vartotojų. Tarp aukų buvo politikai Barackas Obama, Joe Bidenas ir Mike'as Bloombergas, verslininkai Elonas Muskas, Jeffas Bezosas ir Billas Gatesas, muzikantai Kanye Westas ir Wizas Khalifa, taip pat „Apple“ ir „Uber“ įmonių sąskaitos. Taip pat buvo užgrobtos kelios su kriptovaliuta susijusios sąskaitos ir jos visos panaudotos tam, kas yra neabejotinai paprastas „bitcoin“ sukčiavimas.
Table of Contents
Jūs man duosite vieną bitcoin, o aš duosiu jums du bitcoin
Piratai pasinaudojo sugadintomis sąskaitomis, kad pažadėtų milijonams sekėjų pinigų mainais į kriptovaliutos operacijos apdorojimą. Vartotojams buvo pasakyta, kad jei jie siųs bitkoinus tviteryje nurodytu adresu, netrukus jie gaus dvigubai daugiau pinigų savo piniginėse. Neskaitant to, kad kai kurios sąskaitos kaip dovanojimo priežastį nurodė COVID-19 krizę, kitos tvirtino, kad tai padaryta iš grynos dosnumo, visi tviteriai buvo beveik vienodi.
Turėdami su kriptovaliutomis susijusių sąskaitų, įsilaužėliai priėmė šiek tiek kitokią strategiją. Užuot reklamavę dovanas tviteryje, jie susiejo neseniai užregistruotus domenus, stumiančius tą pačią schemą, tuo pačiu bitcoin adresu.
Tai nebuvo pirmasis tokio tipo sukčiavimas, tačiau teisinga sakyti, kad anksčiau tokio masto dar nebuvo daroma. Norėdami suteikti žmonėms skubumo jausmą, dauguma tviterių tvirtino, kad dovanos truks tik 30 minučių, ir panašu, kad tai atsipirko.
Naivieji vartotojai sukčiams siunčia daugiau nei 100 tūkst. USD kriptovaliutos
Ataka tikrai buvo beprecedentė, tačiau pačiame sukčiavime nebuvo nieko naujoviško. Piratai net nesivargino naudoti kelių bitcoin adresų, kad efektyviau padengtų jų pėdsakus.
Jūs manytumėte, kad rafinuotumo stoka ir faktas, kad žmonės jau dabar turėtų žinoti, kad „nieko už pinigus“ schemos internete neveikia, pavers tai įsilaužėlių galimybe. Tai ne visai taip.
Kadangi įsilaužėliai naudojo vieną bitcoin adresą, gana lengva pamatyti, kiek pinigų žmonės atsiuntė. Remiantis Blockchain.info, rašymo metu gaunamos operacijos su sukčių bitkoinų pinigine iš viso sudarė 12,8 BTC arba maždaug 117 tūkst. USD. Kai kurie gali tvirtinti, kad atsižvelgiant į didžiulį potencialių aukų skaičių, tai nėra tiek jau daug, tačiau atsižvelgiant į tai, kad kai kurie sukčiavimo tviteriai buvo pašalinti tik keletą minučių po jų paskelbimo, tai nėra blogas atlyginimas.
„Twitter“: Tai buvo socialinės inžinerijos išpuolis prieš mūsų darbuotojus
„Twitter“ veikė greitai, o tai, atsižvelgiant į daugybę aukšto profilio paskyrų, tikrai neturėtų stebinti. „Twitter“ buvo ištrinti iš karto, o kelias valandas kai kurie paskyros savininkai negalėjo tweetuoti ar iš naujo nustatyti savo slaptažodžių, o mikroblogo platformos saugos komanda išvalė netvarką.
Nenuostabu, kad žmonėms buvo įdomu, kaip įsilaužėliams pavyko patekti, ir daugelis prisiminė dieną, kai „Twitter“ paskelbė, kad netyčia įklijavo visų savo 330 milijonų vartotojų slaptažodžius į vidinę bylą. Tuomet socialinės žiniasklaidos platforma paprašė visų vartotojų pakeisti slaptažodžius, nors ji vis dėlto atkreipė dėmesį, kad prisijungimo duomenis turėjo tik darbuotojai. Nematėme jokių nutekėjimų dėl klaidos, tačiau vakar garsūs žmonės ėmė spausti „bitcoin“ sukčiavimą, kai kurie saugumo specialistai pagalvojo, kad galbūt slaptažodžiai galėjo rasti kelią į išorinį pasaulį. Tačiau paaiškėjo, kad 2018 metų gegužės klaidos neturėjo nieko bendra.
Tyrimas vis dar tęsiasi, tačiau „Twitter“ palaikymo komanda jau paskelbė, kad įsilaužėliai surengė „suderintą socialinės inžinerijos išpuolį“ prieš kai kuriuos socialinės žiniasklaidos darbuotojus. Iš tiesų, netrukus po to, kai buvo paskelbti pirmieji sukčiavimo tviteriai, pasirodė keletas ekrano kopijų, leidžiančių manyti, kad nors įsilaužėliai neturėjo prieigos prie pažeistų paskyrų slaptažodžių, jie valdė užpakalinį įrankį, galintį paskelbti aukų vardu. Anot „ Motherboard“ šaltinių, sukčiai galėjo gauti prieigą prie šių priemonių papirkę „Twitter“ darbuotoją.
Kad ir kaip būtų, jei kada nors susimąstėte, kokią įtaką socialiniai tinklai daro žmonių gyvenimui, tai turėtų būti gana geras pavyzdys. Garsių „Twitter“ ir „Facebook“ paskyrų savininkai turi žinoti, kad kiekvienas jų paskelbtas žodis gali iššaukti bet kokią savo pasekėjų ir gerbėjų reakciją, ir jie turi labai rimtai imtis šios atsakomybės. Socialinės žiniasklaidos vartotojai turi išmokti nepasitikėti viskuo, ką mato internete, net tada, kai tai atrodo žmonės, kuriais žavisi.
Tuo tarpu „Twitter“ dar reikia daug ką ištirti ir išmokti daug pamokų.