✨Lừa đảo bitcoin Twitter năm 2020

Vào ngày 15 tháng 7 năm 2020, trong khoảng thời gian từ 20:00 đến 22:00 UTC, 130 tài khoản Twitter nổi tiếng đã bị các bên ngoài xâm nhập để quảng cáo lừa đảo bitcoin. Twitter và các nguồn phương tiện truyền thông khác xác nhận rằng thủ phạm đã có quyền truy cập vào các công cụ quản trị của Twitter để họ có thể tự thay đổi tài khoản và đăng các tweet trực tiếp. Họ dường như đã sử dụng kỹ thuật xã hội để có quyền truy cập vào các công cụ thông qua nhân viên Twitter. Ba cá nhân đã bị nhà chức trách bắt giữ vào ngày 31 tháng 7 năm 2020 và bị buộc tội gian lận điện tử, rửa tiền, đánh cắp danh tính và truy cập máy tính trái phép liên quan đến vụ lừa đảo.

Các tweet lừa đảo đã yêu cầu các cá nhân gửi tiền bitcoin đến một ví tiền điện tử cụ thể, với lời hứa của người dùng Twitter rằng số tiền được gửi sẽ được nhân đôi và trả lại như một nghĩa cử từ thiện. Trong vòng vài phút kể từ những dòng tweet đầu tiên, hơn 320 giao dịch đã diễn ra trên một trong các địa chỉ ví và bitcoin có giá trị hơn đã được gửi vào một tài khoản trước khi Twitter xóa tin nhắn lừa đảo. Ngoài ra, dữ liệu lịch sử tin nhắn đầy đủ từ tám tài khoản chưa được xác minh cũng được thu thập.

Dmitri Alperovitch, người đồng sáng lập công ty an ninh mạng CrowdStrike, mô tả vụ việc là "vụ hack tồi tệ nhất của một nền tảng truyền thông xã hội lớn". Cục Điều tra Liên bang (FBI) và các cơ quan thực thi pháp luật khác đang điều tra vụ lừa đảo và bảo mật được sử dụng bởi Twitter. Các nhà nghiên cứu bảo mật bày tỏ lo ngại rằng kỹ thuật xã hội được sử dụng để thực hiện vụ hack có thể ảnh hưởng đến việc sử dụng mạng xã hội trong các cuộc thảo luận trực tuyến quan trọng, bao gồm cả việc dẫn đến cuộc bầu cử tổng thống Hoa Kỳ năm 2020.

Sự kiện

Phân tích pháp y về vụ lừa đảo cho thấy các tin nhắn lừa đảo ban đầu được đăng lần đầu bởi các tài khoản có tên ngắn, một hoặc hai ký tự, chẳng hạn như "@ 6". Tiếp theo đó là cryptocurrency tài khoản Twitter vào khoảng 20:00 UTC trên 15 Tháng Bảy 2020, bao gồm những người trong Coinbase, CoinDesk và Binance. Vụ lừa đảo sau đó đã chuyển sang nhiều tài khoản nổi tiếng hơn với dòng tweet đầu tiên như vậy được gửi từ tài khoản Twitter của Elon Musk lúc 20:17 UTC. Các tài khoản dường như bị xâm phạm khác bao gồm tài khoản của những cá nhân nổi tiếng như Barack Obama, Joe Biden, Bill Gates, Jeff Bezos, MrBeast, Michael Bloomberg, Floyd Mayweather Jr., Kim Kardashian, và Kanye West; và các công ty như Apple, Uber và Cash App. Twitter tin rằng 130 tài khoản đã bị ảnh hưởng, mặc dù chỉ có 45 tài khoản thực sự được sử dụng để tweet thông báo lừa đảo; hầu hết các tài khoản bị truy cập trong vụ lừa đảo đều có ít nhất một triệu người theo dõi.

Các tweet liên quan đến vụ hack lừa đảo tuyên bố rằng người gửi, trong tổ chức từ thiện, sẽ trả lại cho bất kỳ người dùng nào gấp đôi giá trị của bất kỳ số bitcoin nào họ đã gửi vào các ví nhất định, thường là một phần của nỗ lực cứu trợ COVID-19. Các tweet theo sau việc chia sẻ các liên kết độc hại của một số công ty tiền điện tử; trang web lưu trữ các liên kết đã bị gỡ xuống ngay sau khi các tweet được đăng. Không rõ đây có phải là tiền được thêm vào bởi những người dẫn đầu vụ lừa đảo hay không, vì những kẻ lừa đảo bitcoin được biết là thêm tiền vào ví trước khi bắt đầu các âm mưu lừa đảo có vẻ hợp pháp. Trong số các quỹ được thêm vào, hầu hết đến từ các ví có quyền sở hữu của Trung Quốc, nhưng khoảng 25% đến từ các ví của Hoa Kỳ. Các tweet được dán nhãn là đã được gửi bằng ứng dụng Web Twitter. Một trong những cụm từ liên quan đến vụ lừa đảo đã được tweet hơn 3.000 lần trong khoảng thời gian bốn giờ, với các tweet được gửi từ các địa chỉ IP được liên kết với nhiều quốc gia khác nhau. Cụm từ được sử dụng lại cho phép Twitter dễ dàng loại bỏ các tweet vi phạm khi họ thực hiện các bước để ngăn chặn trò lừa đảo. Ngay sau đó, nó vô hiệu hóa khả năng tweet của một số tài khoản hoặc đặt lại mật khẩu của họ; Twitter chưa xác nhận tài khoản nào bị hạn chế, nhưng nhiều người dùng có tài khoản được Twitter đánh dấu là "đã xác minh" đã xác nhận rằng họ không thể tweet. Khoảng ba giờ sau các tweet lừa đảo đầu tiên, Twitter báo cáo rằng họ tin rằng họ đã giải quyết tất cả các tài khoản bị ảnh hưởng để khôi phục thông tin đăng nhập cho chủ sở hữu hợp pháp của họ. Cuối đêm đó, Giám đốc điều hành Twitter Jack Dorsey cho biết đây là một "ngày khó khăn đối với chúng tôi tại Twitter. Tất cả chúng tôi đều cảm thấy khủng khiếp khi điều này xảy ra. Chúng tôi đang chẩn đoán và sẽ chia sẻ mọi thứ có thể khi chúng tôi có hiểu biết đầy đủ hơn về chính xác những gì đã xảy ra. "

Ngoài việc gửi tweet, dữ liệu tài khoản của tám tài khoản bị xâm phạm đã được tải xuống, bao gồm tất cả các bài đăng đã tạo và tin nhắn trực tiếp, mặc dù không có tài khoản nào trong số này thuộc về người dùng đã xác minh. Twitter cũng nghi ngờ rằng ba mươi sáu tài khoản khác đã truy cập tin nhắn trực tiếp của họ nhưng không được tải xuống, bao gồm cả Đại diện Quốc hội Hà Lan Geert Wilders, nhưng tin rằng không có quan chức hiện tại hoặc cựu dân cử nào khác có quyền truy cập tin nhắn của họ.

Phương pháp tấn công

Khi Twitter đang làm việc để giải quyết tình hình vào ngày 15 tháng 7, Vice đã được liên hệ bởi ít nhất bốn cá nhân tuyên bố là một phần của trò lừa đảo và trình bày trang web với ảnh chụp màn hình cho thấy rằng họ đã có thể truy cập vào một công cụ quản trị Twitter, còn được biết đến. như một "công cụ tác nhân", cho phép họ thay đổi các cài đặt cấp tài khoản khác nhau của một số tài khoản bị xâm phạm, bao gồm cả email xác nhận cho tài khoản. Điều này cho phép họ đặt địa chỉ email mà bất kỳ người dùng nào khác có quyền truy cập vào tài khoản email đó có thể bắt đầu đặt lại mật khẩu và đăng các tweet. Người phát ngôn của Nhà Trắng tuyên bố rằng tài khoản của Tổng thống Donald Trump, có thể là mục tiêu, đã có các biện pháp bảo mật bổ sung được thực hiện trên Twitter sau một sự cố vào năm 2017 và do đó không bị ảnh hưởng bởi vụ lừa đảo.

Nguồn Vice và TechCrunch đã được chứng thực bởi The New York Times, người đã nói chuyện với những người tương tự tham gia vào các sự kiện, và các nhà nghiên cứu bảo mật khác đã được trao màn hình tương tự, và tweets của những màn hình đã được thực hiện, nhưng Twitter loại bỏ vì họ đã tiết lộ chi tiết cá nhân của các tài khoản bị xâm nhập. tuyên bố "Chúng tôi đã phát hiện ra những gì chúng tôi tin là một cuộc tấn công kỹ thuật xã hội phối hợp bởi những người đã nhắm mục tiêu thành công một số nhân viên của chúng tôi có quyền truy cập vào các hệ thống và công cụ nội bộ." Ngoài việc thực hiện các bước tiếp theo để khóa các tài khoản đã xác minh bị ảnh hưởng, Twitter cho biết họ cũng đã bắt đầu một cuộc điều tra nội bộ và giới hạn quyền truy cập của nhân viên vào các công cụ quản trị hệ thống của họ khi họ đánh giá tình hình, cũng như nếu bất kỳ dữ liệu bổ sung nào bị xâm phạm bởi người dùng độc hại.

Vào cuối ngày 17 tháng 7 năm 2020, Twitter khẳng định những gì đã học được từ các nguồn phương tiện truyền thông này, nói rằng "Những kẻ tấn công đã thao túng thành công một số lượng nhỏ nhân viên và sử dụng thông tin đăng nhập của họ để truy cập vào hệ thống nội bộ của Twitter, bao gồm cả việc thực hiện các biện pháp bảo vệ hai yếu tố của chúng tôi. Hiện tại, chúng tôi biết rằng họ đã truy cập các công cụ chỉ dành cho nhóm hỗ trợ nội bộ của chúng tôi. "

Bloomberg News, sau khi điều tra với các nhân viên Twitter cũ và hiện tại, đã báo cáo rằng có tới 1500 nhân viên và đối tác của Twitter có quyền truy cập vào các công cụ quản trị cho phép khả năng thiết lập lại tài khoản như đã được thực hiện trong vụ việc. Các cựu nhân viên Twitter đã nói với Bloomberg rằng ngay cả vào cuối năm 2017 và 2018, những người có quyền truy cập sẽ thực hiện trò chơi sử dụng các công cụ này để theo dõi những người nổi tiếng nổi tiếng mặc dù lượng dữ liệu hiển thị thông qua các công cụ chỉ giới hạn ở các yếu tố như địa chỉ IP và thông tin vị trí.. Một người phát ngôn của Twitter nói với Bloomberg rằng họ sử dụng "đào tạo bảo mật rộng rãi và giám sát quản lý" để quản lý nhân viên và đối tác có quyền truy cập vào các công cụ và rằng "không có dấu hiệu nào cho thấy các đối tác mà chúng tôi làm việc về dịch vụ khách hàng và quản lý tài khoản đóng một vai trò nào đó đây". Các cựu thành viên của bộ phận bảo mật của Twitter nói rằng kể từ năm 2015, công ty đã được cảnh báo về khả năng bị tấn công từ bên trong và các biện pháp an ninh mạng khác, nhưng những biện pháp này đã bị gạt sang một bên, ủng hộ các sáng kiến tạo doanh thu hơn. Diễn đàn OGUsers ("OG" có nghĩa là "xã hội đen gốc") được thành lập để bán và mua các tài khoản mạng xã hội có tên ngắn hoặc "hiếm" và theo chủ nhân của nó, nói với Reuters, hành vi buôn bán thông tin đăng nhập bị tấn công đã bị cấm. Ảnh chụp màn hình từ diễn đàn cho thấy nhiều người dùng trên diễn đàn đề nghị xâm nhập vào tài khoản Twitter với mỗi người. Krebs cho biết một trong những thành viên có thể đã bị ràng buộc với việc tiếp quản tài khoản Twitter của Giám đốc điều hành Twitter Jack Dorsey vào tháng 8 năm 2019. Chủ sở hữu OGUsers nói với Reuters rằng các tài khoản hiển thị trong ảnh chụp màn hình đã bị cấm.

FBI thông báo ngày 16 tháng 7 họ đang mở một cuộc điều tra về vụ lừa đảo, vì nó được sử dụng để "tiếp tục gian lận tiền điện tử", một tội hình sự. Giám đốc điều hành BitTorrent Justin Sun đã công bố một khoản tiền thưởng chống lại các tin tặc, với tài khoản Twitter của công ty anh ta nói rằng "Anh ấy sẽ trả tiền cá nhân cho những người truy tìm thành công và cung cấp bằng chứng để đưa ra công lý, những tin tặc / người đứng sau vụ hack này ảnh hưởng đến cộng đồng của chúng tôi. "

Bộ Tư pháp Hoa Kỳ đã thông báo về việc bắt giữ và buộc tội ba cá nhân có liên quan đến vụ lừa đảo vào ngày 31 tháng 7 năm 2020. Một thanh niên 19 tuổi đến từ Vương quốc Anh bị buộc tội nhiều tội danh âm mưu lừa đảo qua điện thoại, âm mưu rửa tiền và cố ý truy cập vào một máy tính được bảo vệ, và một thanh niên 22 tuổi đến từ Florida bị buộc tội trợ giúp và tiếp tay cho việc tiếp cận quốc tế. Cả hai sẽ được xét xử tại Tòa án Quận Hoa Kỳ cho Quận phía Bắc của California. Một cá nhân thứ ba, một trẻ vị thành niên từ Florida, cũng bị truy tố nhưng do tuổi tác của họ, các cáo buộc đã được niêm phong tại tòa án vị thành niên ở Florida. Tiểu bang sẽ xét xử anh ta khi trưởng thành với hơn 30 tội danh liên quan đến các trọng tội, bao gồm gian lận có tổ chức, gian lận liên lạc, đánh cắp danh tính và hack, theo luật của bang cho phép họ kết tội trẻ vị thành niên về các trường hợp gian lận tài chính. Thiếu niên Florida đã cam kết không phạm tội với các cáo buộc. Một số văn phòng dự báo của Dịch vụ Thời tiết Quốc gia không thể đăng cảnh báo thời tiết khắc nghiệt, với Cơ quan Thời tiết Quốc gia Lincoln, Illinois ban đầu không thể đăng cảnh báo lốc xoáy. Chiến dịch của Joe Biden tuyên bố với CNN rằng họ "liên lạc với Twitter về vấn đề này", và tài khoản của anh ấy đã bị "khóa".

Trong sự cố, giá cổ phiếu của Twitter, Inc. đã giảm 4% sau khi thị trường đóng cửa. Vào cuối ngày hôm sau, giá cổ phiếu của Twitter, Inc. kết thúc ở mức 36,40 đô la, giảm 38 xu, tương đương 0,87%.

Các chuyên gia bảo mật bày tỏ lo ngại rằng mặc dù vụ lừa đảo có thể tương đối nhỏ về ảnh hưởng tài chính, nhưng khả năng mạng xã hội bị xâm phạm thông qua tấn công phi kỹ thuật liên quan đến nhân viên của các công ty này gây ra mối đe dọa lớn trong việc sử dụng mạng xã hội, đặc biệt là ở đầu -đến cuộc bầu cử tổng thống Hoa Kỳ năm 2020 và có thể gây ra một sự cố quốc tế.

Mặc dù không phải là một phần của vụ việc trên Twitter, Steve Wozniak và mười bảy người khác đã khởi kiện Google vào tuần sau, khẳng định rằng công ty đã không thực hiện các bước đầy đủ để xóa các video lừa đảo Bitcoin tương tự được đăng lên YouTube sử dụng tên của anh ấy và các nguyên đơn khác, gian lận tuyên bố chống lại sự lừa đảo. Khiếu nại của Wozniak xác định rằng Twitter có thể hành động ngay trong ngày, trong khi anh và các nguyên đơn khác yêu cầu Google chưa bao giờ được thực hiện.