Le piratage majeur de Twitter de la semaine dernière a nécessité des années de préparation

Brenna Smith est une chercheuse open source et collaboratrice pour le site Web d'investigation Bellingcat, où elle publie unbulletin hebdomadairesur les crypto-monnaies, appelé CryptOsint.

Le grand piratage de Twitter de 2020 (du moins jusqu'à présent) a été un choc pour tout le monde, et plus particulièrement pour le réseau social lui-même. Mais cela n'aurait T dû l'être. De nombreux signes ont été détectés pendant les mois précédant l'événement, sur plusieurs réseaux sociaux et autres sources accessibles au public.

Retournons au début du mois de juin. Assis sur mon canapé, parcourant Twitter sans réfléchir, je suis tombé surun post à propos d'un faux compte YouTube SpaceX organisant un livestream tout en vendant un cadeau cryptographique d' ELON Musk.

C'était tellement évident qu'il s'agissait d'une arnaque que c'en était risible. Un compte avec 55 000 abonnés, une sorte de personnage d'anime en guise d' ICON et une page « À propos » rédigée en coréen prétendait être SpaceX ?

« Qui pourrait tomber dans le panneau ? » me suis-je demandé.

Des centaines de personnes, apparemment.

Lorsque j'ai vérifié à nouveau une heure plus tard, les escrocs avaient intensifié leurs efforts. Le compte affichait désormais le logo de SpaceX, une page « À propos » légitime et plus de 36 000 spectateurs suivaient le flux en direct. Au final, 200 000 dollars avaient été volés.

Ils ont réussi à détourner un compte de fan de K-pop plutôt populaire, mais relativement inactif, et à le transformer en une copie crédible de SpaceX. Et même si l'on peut ne pas être convaincu, son efficacité est difficile à contester lorsque le butin atteint six chiffres.

Aussi surprenant que ce piratage puisse paraître, le piratage d’un vrai compte est l’étape naturelle suivante pour gérer un faux compte de célébrité.

Abasourdi et légèrement impressionné, jepassé les deux semaines suivantesJ'ai appris tout ce que je pouvais sur les cryptoarnaques. J'ai découvert que les escrocs ont considérablement évolué depuis l'époque des e-mails de sextorsion (qui sont toujours d'actualité).

Essentiellement depuis la création de Bitcoin, les cybercriminels et les escrocsont capitalisésur la monnaie pour canaliser les bénéfices des escroqueries par courrier électronique, des faux sites Web et des propositions sur les forums de discussion.

Ils ont ensuite commencé à exploiter les principaux réseaux sociaux et à se faire passer pour des célébrités. Ces plateformes et célébrités offrent deux atouts essentiels à un piratage lucratif : une large audience et un semblant de crédibilité.

Comme pour le faux compte SpaceX en juin, les escrocs ont pris l'habitude de détourner des comptes bien suivis, mais non protégés, pour tromper encore plus les gens et leur faire croire qu'il s'agissait de véritables célébrités.est devenu populairetechnique d'escroquerie vers février 2018. Souvent, la seule distinction entre eux et le compte légitime était un numéro ou une lettre ajouté au nom d'utilisateur.

Les cibles préférées des crypto-escrocs sont généralement des entrepreneurs technologiques connus, comme ELON Musk. Selon les données recueillies auprès des utilisateurs, BitcoinWhosWho, il y a déjà eu 225 cas signalés d'escroqueries d' ELON Musk sur Twitter, Facebook et YouTube en 2020. D'autres cibles courantes sont Vitalik Buterin, Bill Gates et Jeff Bezos.

Harry Denley, spécialiste de la sécurité MyCryptoa constaté queEn 2019, 333 utilisateurs de Twitter ont colporté des crypto-arnaques. Ils ont perpétré leurs stratagèmes en utilisant des comptes de robots aléatoires, des comptes vérifiés piratés, des comptes jetables tweetant des images trafiquées et des comptes dirigeant les utilisateurs vers des profils privés avec des liens vers des sites Web dans la biographie.

Je sais ce que vous pensez : ces chiffres ne sont T énormes. Pourquoi Twitter aurait-il dû y prêter attention ou savoir qu'il y avait un problème ?

Tout ONE' abord, je me base sur les données des rapports d'utilisateurs. Ce n'est qu'un aperçu de toutes les arnaques aux cryptomonnaies perpétrées sur Twitter. Mais surtout, Twitter ne se contentait T de diffuser des arnaques sur son propre réseau social. Souvent, les utilisateurs partagent et publient sur Twitter des arnaques se déroulant sur YouTube ou Facebook pour alerter les autres, et c'est ainsi que je suis personnellement confronté à la plupart des arnaques.

Ainsi, à bien des égards, Twitter était dans une position idéale pour KEEP et combattre ces escroqueries, car il avait accès à une image plus complète au-delà de sa seule plateforme.

Avance rapide jusqu'à jeudi dernier, quand aurait prétendumentune équipe hétéroclite de hackers d'une vingtaine d'années Twitter a supprimé un compte vérifié après l'autre. Aussi surprenant que ce piratage puisse paraître, le piratage d'un vrai compte est l'étape suivante pour gérer un faux compte de célébrité.

Les crypto-escrocs gagnaient des sommes colossales grâce à de faux comptes. Que se passerait-il s'ils parvenaient à mettre la main sur les vrais comptes ? (Approximativement 180 000 $ dans le cas des Événements de la semaine dernière, ce qui, selon beaucoup, est un résultat dérisoire compte tenu de l'ampleur de l'attaque.)

Soyons clairs : je ne pense pas que Twitter aurait pu prédire que son Slack serait infiltré et mènerait au piratage. Ce qu'il aurait pu prédire, c'est que l'appétit pour les crypto-arnaques sur sa plateforme est non seulement croissant, mais aussi de plus en plus sophistiqué.

Les miettes de pain étaient là. Il suffisait à Twitter de les Réseaux sociaux . Malheureusement, les pirates les ont découverts en premier, permettant ainsi aux autres plateformes de réseaux sociaux de se développer librement, mais probablement pas pour longtemps.