Roubo de conta do Twitter em 2020 - 2020 Twitter account hijacking

Roubo de conta do Twitter em 2020
Um tweet da Apple que diz: "Estamos retribuindo à nossa comunidade. Apoiamos o Bitcoin e acreditamos que você também deveria! Todos os Bitcoins enviados para nossos endereços serão devolvidos a você em dobro!"  Depois de um endereço de bitcoin, lê-se "Continuando apenas pelos próximos 30 minutos."
Um tweet de fraude representativo, da conta hackeada da Apple .
Encontro 15 de julho de 2020, 20h - 22h UTC
Causa Coordenado engenharia social ataque
Alvo Contas do Twitter verificadas de alto nível
Resultado Pelo menos 130 contas afetadas. Os endereços bitcoin envolvidos receberam cerca de US $ 110.000 em transações bitcoin.
Prisões 3, em 31 de julho de 2020

Em 15 de julho de 2020, entre 20h e 22h UTC , 130 contas do Twitter de alto perfil foram comprometidas por terceiros para promover um esquema de bitcoin . O Twitter e outras fontes de mídia confirmaram que os perpetradores obtiveram acesso às ferramentas administrativas do Twitter para que eles mesmos pudessem alterar as contas e postar os tweets diretamente. Eles pareciam ter usado a engenharia social para obter acesso às ferramentas por meio dos funcionários do Twitter. Três indivíduos foram presos pelas autoridades em 31 de julho de 2020 e acusados ​​de fraude eletrônica , lavagem de dinheiro , roubo de identidade e acesso não autorizado a computador relacionado ao golpe.

Os tweets fraudulentos pediam aos indivíduos que enviassem moeda bitcoin para uma carteira de criptomoeda específica , com a promessa do usuário do Twitter de que o dinheiro enviado seria dobrado e devolvido como um gesto de caridade. Poucos minutos depois dos tweets iniciais, mais de 320 transações já haviam ocorrido em um dos endereços de carteira, e bitcoin com um valor de mais de US $ 110.000 foram depositados em uma conta antes que as mensagens fraudulentas fossem removidas pelo Twitter. Além disso, dados completos do histórico de mensagens de oito contas não verificadas também foram adquiridos.

Dmitri Alperovitch , o cofundador da empresa de segurança cibernética CrowdStrike , descreveu o incidente como "o pior hack de uma grande plataforma de mídia social até agora". O Federal Bureau of Investigation (FBI) e outras agências de aplicação da lei estão investigando o esquema e a segurança usados ​​pelo Twitter. Os pesquisadores de segurança expressaram preocupação de que a engenharia social usada para executar o hack possa afetar o uso da mídia social em importantes discussões online, incluindo a preparação para a eleição presidencial de 2020 nos Estados Unidos .

Incidente

A análise forense do golpe mostrou que as mensagens iniciais do golpe foram postadas primeiro por contas com nomes curtos, de um ou dois caracteres, como "@ 6". Isso foi seguido por contas criptomoedas no Twitter por volta das 20:00 UTC de 15 de julho de 2020, incluindo as da Coinbase , CoinDesk e Binance . O golpe então mudou para contas mais importantes com o primeiro tweet enviado da conta de Elon Musk no Twitter às 20:17 UTC. Outras contas aparentemente comprometidas incluíam as de indivíduos conhecidos como Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian e Kanye West ; e empresas como Apple , Uber e Cash App . O Twitter acredita que 130 contas foram afetadas, embora apenas 45 tenham sido realmente usadas para tweetar a mensagem fraudulenta; a maioria das contas acessadas no golpe tinha pelo menos um milhão de seguidores.

Os tweets envolvidos no hack do esquema alegavam que o remetente, em caridade, pagaria a qualquer usuário o dobro do valor de qualquer bitcoin enviado para determinadas carteiras, geralmente como parte de um esforço de alívio do COVID-19 . Os tweets seguiram o compartilhamento de links maliciosos por várias empresas de criptomoedas; o site que hospeda os links foi retirado do ar logo após a publicação dos tweets. Embora esses golpes de "dobrar seu bitcoin" sejam comuns no Twitter antes, esta é a primeira grande ocorrência deles sendo usados ​​com contas de alto perfil. Especialistas em segurança acreditam que os perpetradores executaram o golpe como uma operação de " esmagar e agarrar ": sabendo que a intrusão nas contas seria encerrada rapidamente, os perpetradores provavelmente planejaram que apenas uma pequena fração dos milhões que seguem essas contas precisariam cair no o golpe naquele curto espaço de tempo para ganhar dinheiro rápido com isso. Várias carteiras de bitcoins foram listadas nesses sites; o primeiro observado recebeu 12 bitcoins de mais de 320 transações, avaliadas em mais de US $ 118.000 , e teve cerca de US $ 61.000 removidos, enquanto um segundo teve valores de apenas milhares de dólares enquanto o Twitter tomava medidas para interromper as postagens. Não está claro se esses foram fundos adicionados por aqueles liderados pelo golpe, já que os golpistas de bitcoin são conhecidos por adicionar fundos às carteiras antes de iniciar esquemas para fazer o golpe parecer legítimo. Dos fundos adicionados, a maioria teve origem em carteiras de propriedade chinesa, mas cerca de 25% vieram de carteiras dos Estados Unidos. Depois de adicionada, a criptomoeda foi posteriormente transferida por meio de várias contas como um meio de ocultar sua identidade.

Algumas das contas comprometidas postaram mensagens fraudulentas repetidamente, mesmo depois de excluir algumas das mensagens. Os tweets foram marcados como tendo sido enviados usando o aplicativo da Web do Twitter . Uma das frases envolvidas no golpe foi tuitada mais de 3.000 vezes no espaço de quatro horas, com tuítes enviados de endereços IP vinculados a muitos países diferentes. A frase reutilizada permitiu que o Twitter removesse os tweets ofensivos facilmente enquanto tomavam medidas para impedir o golpe.

Às 21:45 UTC, o Twitter divulgou um comunicado dizendo que estava "ciente de um incidente de segurança que afetou as contas do Twitter" e que estava "tomando medidas para corrigi-lo". Pouco depois, ele desativou a capacidade de algumas contas de tweetar ou de redefinir suas senhas; O Twitter não confirmou quais contas foram restritas, mas muitos usuários com contas que o Twitter marcou como "verificadas" confirmaram que não conseguiram twittar. Aproximadamente três horas após os primeiros tweets de esquema, o Twitter relatou que acreditava ter resolvido todas as contas afetadas para restaurar as credenciais de seus legítimos proprietários. Mais tarde naquela noite, o CEO do Twitter, Jack Dorsey, disse que foi um "dia difícil para nós no Twitter. Todos nos sentimos muito mal quando isso aconteceu. Estamos diagnosticando e compartilharemos tudo o que pudermos quando tivermos um entendimento mais completo do que aconteceu exatamente." Pelo menos uma bolsa de criptomoedas, a Coinbase, colocou os endereços bitcoin na lista negra para evitar que dinheiro fosse enviado. A Coinbase disse que interrompeu o envio de mais de 1.000 transações, totalizando mais de US $ 280.000 .

Além de enviar tweets, os dados da conta de oito contas comprometidas foram baixados, incluindo todas as postagens criadas e mensagens diretas, embora nenhuma dessas contas pertencesse a usuários verificados. O Twitter também suspeitou que 36 outras contas tiveram suas mensagens diretas acessadas, mas não baixadas, incluindo o deputado holandês Geert Wilders , mas acredita que nenhuma outra autoridade eleita atual ou anterior teve suas mensagens acessadas.

Método de ataque

Enquanto o Twitter trabalhava para resolver a situação em 15 de julho, a Vice foi contatada por pelo menos quatro indivíduos que alegavam fazer parte do esquema e apresentou ao site capturas de tela mostrando que haviam conseguido acesso a uma ferramenta administrativa do Twitter, também conhecida como uma "ferramenta de agente", que lhes permitiu alterar várias configurações de nível de conta de algumas das contas comprometidas, incluindo e-mails de confirmação para a conta. Isso permitiu que eles definissem endereços de e-mail que qualquer outro usuário com acesso a essa conta de e-mail poderia iniciar uma redefinição de senha e postar os tweets. Esses hackers disseram à Vice que haviam pago pessoas de dentro do Twitter para obter acesso à ferramenta administrativa para fazer isso.

O TechCrunch relatou de forma semelhante, com base em uma fonte que afirmou que algumas das mensagens eram de um membro de um fórum de hackers chamado "OGUsers", que alegou ter ganho mais de US $ 100.000 com isso. De acordo com a fonte do TechCrunch , este membro "Kirk" teria obtido acesso à ferramenta administrativa do Twitter provavelmente por meio de uma conta de funcionário comprometida e, após inicialmente se oferecer para assumir qualquer conta a pedido, mudou de estratégia para contas de criptomoeda, começando com Binance e depois os de perfil mais alto. A fonte não acredita que Kirk tenha pago a um funcionário do Twitter para ter acesso.

O Twitter "@ 6" pertencia a Adrian Lamo , e o usuário que mantinha a conta em nome da família de Lamo relatou que o grupo que executou o hack foi capaz de contornar vários fatores de segurança configurados na conta, incluindo dois fatores autenticação , indicando ainda que as ferramentas administrativas foram usadas para contornar a segurança da conta. Porta-vozes da Casa Branca afirmaram que a conta do presidente Donald Trump , que pode ter sido um alvo, teve medidas extras de segurança implementadas no Twitter após um incidente em 2017 e, portanto, não foi afetado pelo golpe.

Vice ' s e TechCrunch ' s fontes foram corroborados por The New York Times , que falou com pessoas semelhantes envolvidos com os eventos, e de outros pesquisadores de segurança que tinham sido dadas telas semelhantes, e tweets dessas telas foram feitas, mas o Twitter removido estes, uma vez que revelaram detalhes pessoais das contas comprometidas. O New York Times afirmou ainda que o vetor do ataque estava relacionado à maioria das empresas que trabalhavam em casa em meio à pandemia de COVID-19; os membros do OGUsers puderam acessar o canal de comunicação Slack dos funcionários do Twitter, onde os processos de informações e autorização para acessar os servidores da empresa remotamente de casa foram fixados.

O Twitter posteriormente confirmou que o golpe envolvia engenharia social , afirmando "Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que alvejaram com sucesso alguns de nossos funcionários com acesso a sistemas e ferramentas internos." Além de tomar outras medidas para bloquear as contas verificadas afetadas, o Twitter disse que também iniciou uma investigação interna e limitou o acesso dos funcionários às ferramentas administrativas do sistema enquanto avaliam a situação, bem como se quaisquer dados adicionais foram comprometidos pelo usuários mal-intencionados.

No final de 17 de julho de 2020, o Twitter afirmou o que havia sido aprendido com essas fontes de mídia, afirmando que "Os invasores manipularam com sucesso um pequeno número de funcionários e usaram suas credenciais para acessar os sistemas internos do Twitter, incluindo passar por nossas proteções de dois fatores . A partir de agora, sabemos que eles acessaram ferramentas disponíveis apenas para nossas equipes de suporte interno. " O Twitter conseguiu confirmar em 30 de julho que o método usado foi o que eles chamaram de "ataque de phishing por telefone": eles usaram inicialmente a engenharia social para violar as credenciais de funcionários de nível inferior do Twitter que não tinham acesso às ferramentas de administração e, em seguida, usando essas contas de funcionários, engajou-se em ataques adicionais de engenharia social para obter as credenciais para as ferramentas de administração dos funcionários que tinham autorização para seu uso.

A Bloomberg News , após investigação com ex e atuais funcionários do Twitter, relatou que cerca de 1.500 funcionários e parceiros do Twitter tiveram acesso às ferramentas de administração que permitiriam a capacidade de redefinir contas como havia sido feito durante o incidente. Ex-funcionários do Twitter disseram à Bloomberg que mesmo no final de 2017 e 2018, aqueles com acesso fariam um jogo de usar essas ferramentas para rastrear celebridades famosas, embora a quantidade de dados visíveis apenas pelas ferramentas fosse limitada a elementos como endereço IP einformações de geolocalização . Um porta-voz do Twitter disse à Bloomberg que eles usam "amplo treinamento de segurança e supervisão gerencial" para gerenciar funcionários e parceiros com acesso às ferramentas, e que não havia "nenhuma indicação de que os parceiros com os quais trabalhamos no atendimento ao cliente e gerenciamento de contas tenham desempenhado algum papel aqui". Ex-membros dos departamentos de segurança do Twitter afirmaram que, desde 2015, a empresa foi alertada para o potencial de um ataque interno e outras medidas de segurança cibernética, mas estas foram deixadas de lado, em favor de mais iniciativas de geração de receita.

Ars Technica obteve um relatório mais detalhado de um pesquisador que trabalhou com o FBI na investigação. De acordo com este relatório, os invasoresvasculharam o LinkedIn em busca de funcionários do Twitter que provavelmente tinham ferramentas de titular de conta com privilégios de administrador. Em seguida, os invasores obtiveram os números de telefone celular desses funcionários e outras informações de contato privadas por meio de ferramentas pagas que o LinkedIn disponibiliza aos recrutadores. Depois de escolher as vítimas para o próximo estágio, os invasores contataram os funcionários do Twitter, a maioria trabalhando em casa como resultado da pandemia de COVID-19 e, usando as informações do LinkedIn e de outras fontes públicas, fingiram ser funcionários do Twitter. Os invasores direcionaram as vítimas a fazer login em uma falsa VPN interna do Twitter. Para contornar a autenticação de dois fatores, os invasores inseriram credenciais roubadas no portal VPN do Twitter real e "segundos depois de os funcionários inserirem suas informações no portal falso" e pediram às vítimas o código de autenticação de dois fatores.

Perpetradores

O pesquisador de segurança Brian Krebs corroborou com a fonte do TechCrunch e com informações obtidas pela Reuters que o golpe parece ter se originado no grupo "OGUsers". O fórum OGUsers ("OG" que significa "original") foi criado para vender e comprar contas de mídia social com nomes curtos ou "raros" e, segundo seu proprietário, falando à Reuters, a prática de tráfico de credenciais hackeadas era proibida. Capturas de tela do fórum mostram vários usuários no fórum se oferecendo para invadir contas do Twitter por US $ 2.000 a 3.000 cada. Krebs afirmou que um dos membros pode estar vinculado à aquisição, em agosto de 2019, da conta do Twitter do CEO do Twitter, Jack Dorsey. O proprietário do OGUsers disse à Reuters que as contas mostradas nas imagens foram banidas.

O FBI anunciou em 16 de julho que estava iniciando uma investigação sobre o golpe, visto que era usado para "perpetuar a fraude de criptomoeda", um crime. O Comitê de Inteligência do Senado também planejou pedir ao Twitter informações adicionais sobre o hack, como afirmou o vice-presidente do comitê, Mark Warner , "A capacidade de atores mal-intencionados assumirem contas importantes, mesmo que momentaneamente, sinaliza uma vulnerabilidade preocupante neste ambiente de mídia , explorável não apenas para golpes, mas para esforços mais impactantes para causar confusão, destruição e danos políticos ". O Centro Nacional de Segurança Cibernética do Reino Unido disse que seus oficiais entraram em contato com o Twitter a respeito do incidente. O CEO da BitTorrent , Justin Sun, anunciou uma recompensa de US $ 1 milhão contra os hackers, com a conta de sua empresa no Twitter afirmando "Ele pagará pessoalmente aqueles que rastrearem com sucesso e fornecerá evidências para levar à justiça os hackers / pessoas por trás desse hack que afeta nossa comunidade. "

O Departamento de Justiça dos Estados Unidos anunciou a prisão e as acusações de três indivíduos ligados ao golpe em 31 de julho de 2020. Um jovem de 19 anos do Reino Unido foi acusado de várias acusações de conspiração para cometer fraude eletrônica, conspiração para cometer dinheiro lavagem e acesso intencional a um computador protegido, e um jovem de 22 anos da Flórida foi acusado de ajudar e encorajar o acesso internacional. Ambos serão julgados no Tribunal Distrital dos Estados Unidos para o Distrito Norte da Califórnia . Um terceiro indivíduo, um menor da Flórida, também foi indiciado, mas, devido à sua idade, as acusações foram seladas no tribunal de menores na Flórida. O estado irá julgá-lo como adulto por mais de trinta acusações relacionadas a crimes, incluindo fraude organizada, fraude de comunicação, roubo de identidade e hacking, de acordo com a lei estadual que permite condenar menores como adultos por casos de fraude financeira. O adolescente da Flórida se declarou inocente das acusações em 4 de agosto de 2020. O adolescente aceitou um acordo de confissão em março de 2021, que incluía cumprir três anos de prisão incluindo o tempo servido como "infrator juvenil", embora tivesse completado 18 anos durante o tentativas.

Um quarto indivíduo, um jovem de 16 anos de Massachusetts, foi identificado como possível suspeito do golpe pelo FBI. Embora os agentes federais tenham conduzido uma busca autorizada em seus bens no final de agosto de 2020, nenhuma acusação foi feita ainda.

Reação e consequências

Os usuários afetados só podiam retuitar o conteúdo, levando a NBC News a criar uma conta temporária não verificada para que eles pudessem continuar a tweetar, retuitando "atualizações significativas" em sua conta principal. Alguns escritórios de previsões do Serviço Meteorológico Nacional não conseguiram tweetar avisos de clima severo, com o Serviço Meteorológico Nacional de Lincoln, Illinois, inicialmente incapaz de tweetar um aviso de tornado . A campanha de Joe Biden afirmou à CNN que eles estavam "em contato com o Twitter sobre o assunto" e que sua conta havia sido "bloqueada". O Google desabilitou temporariamente seu carrossel do Twitter em seu recurso de pesquisa como resultado desses problemas de segurança.

Durante o incidente, o preço das ações do Twitter, Inc. caiu 4% após o fechamento dos mercados . No final do dia seguinte, o preço das ações do Twitter, Inc. terminou em US $ 36,40, uma queda de 38 centavos, ou 0,87%.

Os especialistas em segurança expressaram preocupação com o fato de que, embora o golpe possa ter sido relativamente pequeno em termos de impacto financeiro, a capacidade de mídia social ser assumida por meio de engenharia social envolvendo funcionários dessas empresas representa uma grande ameaça no uso de mídia social, especialmente na liderança -até a eleição presidencial dos Estados Unidos de 2020 , e pode causar um incidente internacional. Alex Stamos da Universidade de Stanford 's Centro para a Segurança e Cooperação Internacional disse: 'Twitter se tornou a plataforma mais importante quando se trata de discussão entre as elites políticas, e tem vulnerabilidades reais.'

O Twitter optou por atrasar o lançamento de sua nova API após os problemas de segurança. Em setembro, o Twitter afirmou que havia implementado novos protocolos para evitar ataques de engenharia social semelhantes, incluindo intensificação das verificações de histórico para funcionários que teriam acesso aos principais dados do usuário, implementação de chaves de segurança resistentes a phishing para usar neste dia e ter todos os funcionários envolvidos no suporte ao cliente participe de treinamento para estar ciente de futuros golpes de engenharia social.

Embora não tenha feito parte do incidente do Twitter, Steve Wozniak e dezessete outros iniciaram um processo contra o Google na semana seguinte, afirmando que a empresa não tomou medidas suficientes para remover vídeos semelhantes de golpes de Bitcoin postados no YouTube que usavam seus nomes e os de outros demandantes, alegando fraudulentamente apoiar o golpe. A reclamação de Wozniak identificou que o Twitter foi capaz de agir no mesmo dia, enquanto ele e os pedidos dos outros reclamantes ao Google nunca foram atendidos.

Em 29 de setembro de 2020, o Twitter contratou Rinki Sethi como CISO e VP da empresa após a violação.

Referências

links externos