Ang Malaking Twitter Hack noong nakaraang Linggo ay Mga Taon sa Paggawa

Si Brenna Smith ay isang open source na researcher at contributor para sa investigative web site na Bellingcat, kung saan nag-publish siya ng lingguhang newsletter tungkol sa mga cryptocurrencies, na tinatawag na CryptOsint.

Ang mahusay na Twitter hack ng 2020 (o hindi bababa sa ngayon) ay nakakagulat sa lahat, lalo na sa kumpanya ng social media mismo. Pero, T dapat. Nagkaroon ng trail ng mga palatandaan para sa mga buwan na humahantong sa kaganapan na sumasaklaw sa maraming mga social network at iba pang mga mapagkukunan na magagamit sa publiko.

Balikan natin ang simula ng Hunyo. Nakaupo sa aking sopa na walang isip na nag-i-scroll sa Twitter, nadatnan ko isang post tungkol sa isang pekeng SpaceX Youtube account na may hawak na livestream habang naglalako rin ng ELON Musk crypto-giveaway.

Ito ay napakalinaw na isang scam na nadama na katawa-tawa. Ang isang account na may 55,000 subscriber, isang uri ng anime character bilang ICON nito, at isang "tungkol sa pahina" na nakasulat sa Korean ay sinasabing SpaceX?

"Sino ba ang mahuhulog niyan?" naisip ko.

Daan-daang tao, tila.

Sa oras na bumalik ako makalipas ang isang oras, pinataas ng mga scammer ang kanilang laro. Itinampok na ngayon ng account ang logo ng SpaceX, ang hitsura ng isang lehitimong "tungkol sa pahina," at higit sa 36,000 mga manonood sa live stream. Sa huli, $200,000 ang ninakaw.

Nagawa nilang i-hijack ang isang medyo sikat, ngunit medyo tulog, Kpop fan account at ginawa itong isang mapagkakatiwalaang SpaceX dupe. At kahit na hindi ka sumasang-ayon kung ito ay nakakumbinsi o hindi, ang bisa ay mahirap ipagtanggol kapag ang pagnakawan ay umabot sa anim na numero.

Kahit na nakakagulat ang hack na ito, ang pag-hijack ng isang tunay na account ay ang susunod na natural na hakbang sa pagpapatakbo ng isang pekeng celebrity account.

Sa sahig, at bahagyang humanga, ako ginugol ang susunod na dalawang linggo pag-aaral hangga't kaya ko tungkol sa cryptoscams. Natuklasan ko na ang mga scammer ay nagbago nang malaki mula noong mga araw ng mga email ng sextortion (na bagay pa rin).

Mahalaga mula noong umpisa ng Bitcoin, mga cybercriminal at scammer naka-capitalize sa pera upang i-funnel ang mga nalikom mula sa mga email scam, pekeng website at mga panukala sa mga chat forum.

Pagkatapos, sinimulan nilang gamitin ang mga pangunahing platform ng social media at pagpapanggap bilang mga kilalang tao. Ang mga pangunahing platform ng social media at celebrity ay nagbibigay ng dalawang kritikal na sangkap sa isang kumikitang hack: isang malaking audience at isang pagkakatulad ng kredibilidad.

Tulad ng pekeng SpaceX account noong Hunyo, naging mahilig din ang mga scammer sa pag-hijack ng mga sinusundan ngunit hindi nababantayang mga account upang higit pang linlangin ang mga tao na isipin na sila ay mga lehitimong celebrity. Pag-hijack ng mga na-verify na account naging tanyag pamamaraan ng scam noong Pebrero 2018. Kadalasan ang tanging pagkakaiba sa pagitan nila at ng lehitimong account ay isang idinagdag na numero o titik sa username.

Ang mga paboritong target ng Cryptoscammers ay karaniwang mga kilalang tech entrepreneur, gaya ng ELON Musk. Ayon sa data mula sa mga ulat ng user sa BitcoinWhosWho, mayroon nang 225 na naiulat na mga pagkakataon ng mga scam sa ELON Musk sa Twitter, Facebook, at Youtube noong 2020. Ang iba pang karaniwang target ay sina Vitalik Buterin, Bill Gates at Jeff Bezos.

Espesyalista sa seguridad ng MyCrypto na si Harry Denley natagpuan na 333 user ng Twitter ang nagpe-pedaling ng mga cryptoscam noong 2019. Ginawa nila ang kanilang mga pakana gamit ang mga random na bot account, na-hijack ang mga na-verify na account, mga burner account na nag-tweet ng mga nadoktor na larawan at mga account na nagdidirekta sa mga user sa mga pribadong profile na may mga link sa website sa bio.

Ngayon, alam ko na kung ano ang iniisip mo: Ang mga numerong ito ay T napakalaki. Bakit dapat binigyang pansin ng Twitter o alam na may problema?

Well, sa ONE bagay, umaasa ako sa data mula sa mga ulat ng user. Iyon ay isang window lamang sa lahat ng cryptoscam na ginagawa sa Twitter. Ngunit higit sa lahat, ang Twitter ay T lamang naglalagay ng mga scam sa sarili nitong social media platform. Kadalasan, ang mga user ay magbabahagi at magpo-post ng mga scam na nangyayari sa YouTube o Facebook sa Twitter upang bigyan ng babala ang iba, na kung paano ako personal na nakakatagpo ng karamihan sa mga scam.

Kaya sa maraming paraan, ang Twitter ay nasa perpektong posisyon upang KEEP at labanan ang mga scam na ito dahil mayroon itong access sa isang mas kumpletong larawan na higit pa sa platform nito.

Fast forward to last Thursday, kung kailan diumano isang rag-tag team ng 20-something hackers Tinanggal ang Twitter ng ONE na-verify na account sa isang pagkakataon. Kahit na nakakagulat ang hack na ito, ang pag-hijack ng isang tunay na account ay ang susunod na natural na hakbang sa pagpapatakbo ng isang pekeng celebrity account.

Ang mga Cryptoscammer ay kumikita ng napakalaking halaga gamit ang mga passable fake account. Kaya ano ang mangyayari kung mahawakan nila ang mga tunay? (Isang humigit-kumulang $180,000 sa kaso ng mga Events noong nakaraang linggo , na pinagtatalunan ng marami ay isang maliit na kinalabasan kung isasaalang-alang ang laki ng pag-atake.)

Upang maging malinaw, sa palagay ko ay hindi mahuhulaan ng Twitter na ang Slack nito ay papasukin at hahantong sa pag-hijack. Ang mahuhulaan sana nito ay ang gana sa mga cryptoscam sa platform nito ay hindi lamang lumalaki ngunit nagiging mas sopistikado.

Nandoon ang mga mumo ng tinapay. Ang kailangan lang gawin ng Twitter ay Social Media sila. Ngunit sa kasamaang-palad, ang mga hacker ay unang nakarating sa kanila, na nagpapahintulot sa iba pang mga platform ng social media na tumakbo nang libre, kahit na marahil ay hindi nagtagal.