Атака могла быть совершена лицами, специализирующимися на краже учетных записей путем подмены SIM-карт.

Ранее социальная сеть Twitter столкнулась с масштабной кибератакой. Оказались взломаны аккаунты ведущих политиков, бизнесменов и знаменитостей из США и других стран. От их имени были опубликованы сообщения о бесплатной раздаче криптовалюты. Как сообщили представители Twitter, в ходе кибератаки кто-то обманул или заставил сотрудника предоставить доступ к внутренним инструментам администрирования соцсети. Исследователь безопасности Брайaн Кребс поделился своими предположениями о том, кто мог стоять за атакой.

Первые признаки кибератаки появились, когда в Twitter-аккаунте криптоывлютно биржи Binance появилось сообщение о сотрудничестве с CryptoForHealth с целью вернуть сообществу 5 тыс. биткойнов со ссылкой на криптовалютный кошелек для пожертвований. Через несколько минут аналогичные сообщения были опубликованы в аккаунтах других бирж криптовалюты, а также ведущих политиков, бизнесменов и знаменитостей из США и других стран.

По словам специалистов из компании Elliptic, злоумышленники получили чуть более 400 платежей на сумму $121 тыс. Крупнейший платеж пришел от японской биржи и составил около $42 тыс. Около 25% средств, полученных хакерами, поступили со счетов в Северной Америке, и более 50% — со счетов в Азии.

По словам Кребса, существуют явные свидетельства того, что атака была совершена лицами, специализирующимися на краже учетных записей в социальных сетях с помощью методики подмены SIM-карт (SIM-swapping). Для подмены SIM-карты хакер связывается с мобильным провайдером от имени жертвы и утверждает, что потерял телефон, и нужно перенести старый (то есть текущий жертвы) номер на другую SIM-карту. В случае успеха мобильный оператор переносит номер на SIM-карту злоумышленника. После получения SIM-карты с номером жертвы двухфакторная аутентификация при помощи SMS кодов легко обходится, поскольку после авторизации проверочные SMS коды будут присылаться на телефон злоумышленника.

Перед атакой на Twitter некоторые злоумышленники продавали возможность изменить адрес электронной почты, привязанный к любой учетной записи Twitter. В сообщении на хакерском форуме OGusers пользователь, использующий псевдоним Chaewon, предлагал подобные услуги за $250 и мог предоставить прямой доступ к учетным записям по цене от $2 тыс. до $3 тыс. за штуку.

За несколько часов до кибератаки хакеры сосредоточили свое внимание на взломе нескольких учетных записей OG (original gangsters) с короткими названиями профиля, например «@B» или «@joe». Аккаунты с короткими названиями ценятся в среде SIM-свопперов и их стоимость при перепродаже может достигать нескольких тысяч долларов. Пользователь, использующий псевдоним Shinji, опубликовал в Twitter фотографии внутренней панели инструментов Twitter, демонстрирующие взломанные учетные записи «@ 6» и «@B». Как заявил Shinji, он владел двумя аккаунтами OG в Instagram — «j0e» и «dead», которые связаны с известным подменщиком SIM-карт, использующим псевдоним PlugWalkJoe.

Эксперты полагают, что PlugWalkJoe был ключевым участником группировки ChucklingSquad, связанной с подменой SIM-карт и взломом аккаунта генерального директора Twitter Джека Дорси в прошлом году. Напомним , в сентябре прошлого года администрация соцсети временно отключила возможность публикации твитов через текстовые сообщения в связи с несколькими инцидентами безопасности. Неизвестные воспользовались уязвимостями в Twitter via SMS и опубликовали ряд ложных сообщений от имени знаменитостей, в том числе главы Twitter Джека Дорси.

Источник: securitylab