Twitter nella bufera: hackerati account di Bezos, Gates, Musk per truffa Bitcoin

16 Luglio 2020 69

E' una giornata difficile per noi. Così il CEO di Twitter, Jack Dorsey, ha commentato quello che verrà ricordato come uno dei più estesi attacchi hacker messo a segno nei confronti del social network, o meglio di alcuni dei suoi più noti e conosciuti utenti. In breve, gli hacker sono riusciti a violare gli account personaggi noti, tra cui anche quello di Jeff Bezos, Bill Gates, Elon Musk e Barak Obama, per indurre i loro a cadere nella trappola di una truffa legata ai Bitcoin.

I FATTI

Tutto è partito da una serie di messaggi inviati nelle scorse ore dagli account twitter di personaggi pubblici (e aziende note) Il contenuto era sostanzialmente lo stesso: invito a inviare una certa quantità di bitcoin all'indirizzo indicato con la promessa che il quantitativo sarebbe stato restituito in misura raddoppiata. Ad esempio, il messaggio pubblicato da Elon Musk recitava:

Vi sono grato raddoppiando tutti i pagamenti inviati al mio indirizzo BTC
Voi mandate 1.000 dollari, io vi restituisco 2.000 dollari
Solo per i prossimi 30 minuti
bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

L'elenco delle personalità e delle aziende vittime della violazione è molto esteso, le segnalazioni riguardano (almeno) gli account di:

Barack Obama, Elon Musk. Apple, Joe Biden, Bill Gates, Wiz Khalifa, Warren Buffet, Uber, Jeff Bezos, MrBeast, Floyd Mayweather. ‘God’ (@TheTweetOfGod), Mike Bloomberg. XXXTentacion, Kim Kardashian, CoinDesk, Gemini, Gate.io, Cash App, Binance,, CZ_Binance, Tron, Justin Sun, Ripple, Charlie Lee, Coinbase, Coindesk,

Dai primi riscontri è emerso che all'indirizzo indicato dagli hacker sono confluiti in poche ore oltre 110.000 dollari. Più di qualcuno, evidentemente, è caduto nel tranello.

La situazione è tornata alla normalità con l'eliminazione di tutti i falsi tweet. Data la notorietà delle personalità coinvolte, però, le visualizzazioni sono state molto elevate.

INDAGINI IN CORSO

Dopo aver confermato la violazione, i gestori di Twitter sono intervenuti, per qualche ora gli utenti del social network non sono stati in grado di inviare messaggi o ripristinare la password, poi è arrivata la prima conclusione: si è trattato di un attacco coordinato di social engineering* messo a segno da persone che hanno preso di mira alcuni dipendenti di Twitter con accesso ai sistemi e agli strumenti interni riservati alla gestione del social network.

E' una spiegazione verosimile tenuto conto che in molti casi si è trattato di prendere il controllo di account verificati e protetti dall'autenticazione a due fattori e che in alcuni è stata modificato anche l'indirizzo email associato all'account. In altri termini, compiere la violazione presupponeva disporre degli strumenti che sono accessibili solo ai dipendenti di Twitter.

Il New York Times comunque ha definito l'attacco efficace ma amatoriale, e sostiene che sia stato frutto dell'opera di un singolo hacker e non di uno Stato. Twitter conferma che continuerà ad indagare per stabilire l'esatta dinamica del grave incidente.

*è l'insieme di tutte le tecniche utilizzate dagli hacker per indurre spontaneamente un utente a rivelare informazioni sensibili (es. password o dati bancari)


69

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Jfry

Comunque come cifra sembra altissima però ci sarebbe da capire quante persone ci sono cascate.
Perchè magari 110 persone hanno mandato $1.000 a testa, e a quel punto come percentuale sarebbe piccolissima rispetto ai milioni che hanno visualizzato il tweet.
E non mi meraviglierei se ci fosse anche qualche scemo che ha mandato $10.000 o più.

Luigi Melita

concordo, forse anche perché era su Twitter che ha un'utenza diversa. Fosse stato su Instagram avrebbero raccolto molto di più

i ritardati saranno ignorati

francamente pensavo si arrivasse a qualche decina di milioni.
Mi pare piuttosto un bel flop questo "hack"

Tizio

Pensa che bello se oltre religione ci fosse anche solo un ora a settimana per l'educazione digitale e la navigazione sul web.

È impensabile e preoccupante la mancanza di sensibilità per questo argomento nelle scuole.

Chirurgo Plastico

Alcuni articoli li leggo velocemente, ma guardo sempre i commenti. Il rischio è che se un altro sito catalizzasse l'attenzione di chi commenta questo morirebbe

makeka94

(Spero) Sicuramente molte delle persone che hanno inviato denaro lo hanno fatto con l'intendo di denunciare il miliardario di turno e ricavarne qualcosa.

Dajant

Mi sembra un po' diverso. I soldi li hanno inviati volontariamente

Dajant

Boh ma la gente che crede a una roba del genere, che arriva perfino da gente morta (rip X), non deve stare messa molto bene

Jfry

Ma ben li sta.
Se uno è messo così male magari gli servirà davvero come lezione e comincerà a ragionare.

Che poi sono anni che sotto gli account di questo calibro c'erano commenti simili creati con account cloni. Questo è solo un livello successivo di qualcosa che c'era in giro già, quindi se nonostante questo qualcuno ci è cascato peggio per lui, non mi dispiace.

Luke_Friedman

Hacking non è per forza informatica, però

MartinTech

cioè in pratica un truffatore si è spacciato per elon musk o jeff bezos, contattando direttamente l'assistenza di twitter e dicendo: hey ho dimenticato la pwd, per favore dammi le chiavi del mio account?

MartinTech
Dai primi riscontri è emerso che all'indirizzo indicato dagli hacker sono confluiti in poche ore oltre 110.000 dollari. Più di qualcuno, evidentemente, è caduto nel tranello.

questa cosa, se ci pensate, è veramente preoccupante. Fa capire che c'è gente disposta a fare di tutto, ad obbedire come cagnolini ammaestrati se glielo chiede un personaggio famoso o un influencer. Cioè immaginate che mancanza di personalità che deve avere questa gente.
Bill Gates o Kim Kardashian ti scrivono su twitter di mandare dei soldi ad un indirizzo X e tu, senza neanche spendere 2 secondi per verificare se c'è una qualche attendibilità o ufficialità alla cosa, obbedisci. 110.000 dollari.

Jfry

Sei talmente bravo da riuscire ad hackerare i profili più influenti di Twitter e cosa fai?
La truffa meno credibile dopo quella del principe nigeriano.

provolino

Credo si sottintenda follower

Code_is_Law

Poveri dipendenti coinvolti in questo attacco. Avranno il futuro presso altre aziende segnato a vita

T. P.

però bisogna ammettere che sono stati ingegnosi! :)

UnoQualunque

Si ok che la proposta è arrivata da account reali e autorevoli. Ma il dubbio dovrebbe venire lo stesso. Tra l'altro come ho appunto scritto, usare i bitcoin non è cosi semplice, se uno sa pagare in bitcoin credo che dovrebbe riuscire ad identificare queste truffe.

NOP7356

non proprio, sono stati usati account di gente che centra poco con i bitcoin, così il target è stato molto più ampio: gente che ha comprato bitcoin per holdarli o gente che ha comprato bitcoin perché gliel'ha detto l'amico e non sanno nullo dello schema di truffe attuale

Alex Neko

Penso forse anche con la complicità di un dipendente dalla mente instabile...
..Ma non capisco come delle persone che leggono un twit che dice dammi 1000 dollari in bitcoin e te li raddoppio... quello ci crede ci perde anche ore a fare una operazione di acquisto bitcoin che di solito chi non è esperto non è che sa farlo, come ad esempio acquistare un articolo su amazon.

UnoQualunque

Dipende, a volte, come ho scritto sopra, basta "solo" entrare in una casella email ed aspettare, altre volte basta invece avere informazioni corrette su quello che si vuole rubare e, se il bersaglio non sta attento riesce ad andare a segno.

UnoQualunque

Il social engineering è devastante, ho seguito a stretto giro un'azienda che è caduta in un tranello del genere perchè l'hacker stava tenendo sotto controllo le conversazioni email (la casella email del cliente era compromessa ma nessuno se ne era accordo perchè la usavano solo per leggere le email), ad un certo punto si è intromesso dirottando su un indirizzo email molto simile la richiesta di pagamento e si è fatto fare il bonifico su di un suo iban. Decine di migliaia di euro volatilizzati. Non so come sia andata in twitter ma non credo abbiano compromesso i loro sistemi ma, se un dipendente ha abboccato ad un phishing dando accesso ai sistemi è un pir***** come ancora più pir**** sono le persone che hanno versato i bitcoin. Ma come si fa ad essere cosi id10ti per crederci? Il bello che un pagamento in bitcoin non è cosi facile da fare, quindi è gente che è abituata ad usare un computer e dovrebbe aver capito l'andamento di certe truffe.

Ungarus

Cioè ora passare una mazzetta è diventata una branca dell'ingegneria?

DanD

Autorevolezza della fonte... Se uno dei personaggi più in vista al mondo fa una promessa è verosimile che provi a mantenerla per non distruggere la sua immagine.

Poi io non li avrei mandati in ogni caso, ma è un altro discorso

darthrevanri

Siamo ai livelli di watch dogs 2 lol

disqus_L1rfxnMKEH
marco

ultimamente la qualità degli articoli è incommetabile, e questo "ultimamente" non è nemmeno un lasso di tempo così ristretto. ormai apro gli articoli per i commenti! :D

PassPar2_

Resta il fatto che la fuori c'è gente che sa scrivere ma che non lavora.

istricerotto

Non ti buttare giù, i tuoi genitori ti amano anche se hai evidenti problemi.

i ritardati saranno ignorati

sì: chiunque accusi le vittime lo è.

ed è pure segnalato e bloccato ora.

istricerotto

Non ti buttare così per terra, mammina crede in te e ti vuole bene.

istricerotto

Ritardato di nome e di fatto.

Like a virgin

"per indurre i loro" chi?

Dark!tetto

Hai ragione, ma esistono degli strumenti online che calcolano l'indice di leggibilità di un testo, non serve una laurea per usarli, lo fanno persino i ragazzini per i loro blog.

i ritardati saranno ignorati

guardate che le transazioni SONO PUBBLICHE
9 ore fa erano state fatte 354 transazioni

PassPar2_

Quando dei "giornalisti" non sono scelti per la quantità di lauree ma per altri criteri questo è il risultato.

Dark!tetto

Ragazzi, ma uno strumento per la verifica del testo ? Complessità, comprensione, uso di termini comuni etc etc perchè non usarlo ?

Ci sono protocolli e tecnologie che possono aiutare ad impedire i danni dell'ingegneria sociale. Questo è un attacco molto grave, probabilmente Twitter non ha molti livelli di sicurezza per gli accessi dei propri dipendenti.

Dark!tetto

E' una spiegazione verosimile tenuto conto che in molti casi si è
trattato di prendere il controllo di account verificati e protetti
dall'autenticazione a due fattori e che in alcuni è stata modificato
anche l'indirizzo email associato all'account.

Possibile che nessuno avesse la 2FA?

i ritardati saranno ignorati

"non richiede ne usa nessuna capacita' informatica."

Infatti essere hacker non lo richiede.
Manco le basi eh?

Maurizio Mugelli

non richiede ne usa nessuna capacita' informatica.
quando rubano i gioielli alle vecchine e' hacking?

Paolo

Suppongo che twitter ha iniziato ad avere dei dubbi quando ha visto apple scrivere "dammi 1 ti do 2" giacché è una cagn4ccia

i ritardati saranno ignorati

1) probabile ma non si sa ancora
2) l'ingegneria sociale è hacking

Maurizio Mugelli

ingegneria sociale, non hacking - ovvero dei truffatori hanno convinto degli addetti di Twitter a dargli le chiavi di accesso ai propri account, non e' molto diverso dal classico finto addetto del gas che si fa aprire la porta di casa dalla vecchietta di turno e la rapina.

questo genere di truffe bypassa qualsiasi sistema di sicurezza, non li viola.

Artemis DeWitt

Copia > traduttore > incolla > pubblica

i ritardati saranno ignorati

lesa maestà all'immagine delle crittomonete!1233

DarkVenu

Nel titolo bisognerebbe aggiungere per Truffa con riscatto in Bitcoin, o per truffa chiedendo Bitcoin.
Che è molto diverso dal significato attuale.

Anche perché il 99.9% delle truffe, traffico di droga ecc viene fatto con monete Fiat, come dollaro, euro ,yen,yuan, rublo.

L'accostamento Bitcoin-cryptomonete a truffa è vomitevole.

i ritardati saranno ignorati

Bella la tua variante di "portava la gonna corta... se lo meritava"
Complimenti per confondere vittima e carnefici.

Pip

In effetti forse lui era l'unico lontanamente credibile...

i ritardati saranno ignorati

fra tre giorni non se lo ricorderà nessuno.
Esattamente come succede con le quotidiane falle di sicurezza di pari o peggiore gravità.

Abbiamo provato i nuovi Galaxy Z Fold4 e Z Flip4, ecco le novità! | VIDEO

Copertura 5G, a che punto siamo davvero? La nostra esperienza in città

Spotify, Apple Music e gli altri: chi vincerà sul ring dello streaming musicale?

Xiaomi 11T ufficiale con Pro, 11 Lite NE e Pad 5. PREZZI e disponibilità Italia