Hacking de Twitter para obtener ganancias y los LoLs – Krebs on Security


Los New York Times la semana pasada realizó una entrevista con varios hombres jóvenes que afirmaron haber tenido contacto directo con los involucrados en el ataque épico de la semana pasada contra Twitter. Estas personas dijeron que solo eran clientes de la persona que tenía acceso a las herramientas internas de los empleados de Twitter, y que no eran responsables de la intrusión real o las estafas de bitcoin que tuvieron lugar ese día. Pero nueva información sugiere que al menos dos de ellos operaban un servicio que revendía el acceso a los empleados de Twitter con el propósito de modificar o tomar el control de los preciados perfiles de Twitter.

Como se informó por primera vez aquí el 16 de julio, antes de que los mensajes de estafa de bitcoin se eliminaran de cuentas de Twitter de alto perfil como @barackobama, @joebiden, @elonmusk y @billgates, varios nombres de cuentas de Twitter de caracteres cortos muy deseables cambiaron de manos, incluido @L , @ 6 y @W.

Una captura de pantalla de una discusión de Discord entre el pirata informático clave de Twitter "Kirk" y varias personas que buscan secuestrar cuentas de Twitter de alto valor.

Conocidos como cuentas de "gángster original" u "OG", los nombres de perfil de caracteres cortos confieren una medida de estatus y riqueza en ciertas comunidades en línea, y tales cuentas a menudo pueden obtener miles de dólares cuando se revenden en el subsuelo.

Las personas involucradas en la obtención de esas cuentas de OG el 15 de julio dijeron que las obtuvieron de una persona identificada solo como "Kirk", quien afirmó ser un empleado de Twitter. De acuerdo a Los tiempos, Kirk primero contactó al grupo a través de un hacker que usó el nombre de usuario "jajaja" en OGusers, un foro dedicado a ayudar a los usuarios a secuestrar y revender cuentas OG de Twitter y otras plataformas de redes sociales. De la historia de The Times:

"El pirata informático 'lol' y otro con el que trabajó, cuyo nombre en pantalla era muy ansioso ', le dijeron al Times que querían hablar sobre su trabajo con Kirk para demostrar que solo habían facilitado las compras y adquisiciones de direcciones de Twitter menos conocidas temprano en el día. Dijeron que no habían seguido trabajando con Kirk una vez que comenzó más ataques de alto perfil alrededor de las 3:30 p.m. Hora del este el miércoles.

'Lol' no confirmó su identidad en el mundo real, pero dijo que vivía en la costa oeste y tenía unos 20 años. "Muy ansioso" dijo que tenía 19 años y vivía en el sur de Inglaterra con su madre.

Kirk se conectó con "lol" el martes por la noche y luego "muy ansioso" en Discord el miércoles temprano, y les preguntó si querían ser sus intermediarios, vendiendo cuentas de Twitter al inframundo en línea donde eran conocidos. Tomarían un corte de cada transacción ".

Dos veces en el último año, el foro OGUsers fue pirateado, y en ambas ocasiones su base de datos de nombres de usuario, direcciones de correo electrónico y mensajes privados se filtró en línea. Una revisión de los mensajes privados para "lol" en OGUsers ofrece una visión del vibrante mercado para la reventa de cuentas OG preciadas.

En OGUsers, lol era conocido por otros miembros como alguien que tenía una conexión directa con una o más personas que trabajaban en Twitter y que podía usarse para ayudar a otros miembros a obtener acceso a los perfiles de Twitter, incluidos aquellos que habían sido suspendidos por una razón u otra. De hecho, así fue como lol se presentó a la comunidad OGUsers cuando se unió por primera vez.

"Tengo un contacto de Twitter de quien puedo obtener usuarios (hasta cierto punto) y creo que puedo obtener la verificación", explicó lol.

En un intercambio directo de mensajes en OGUsers de noviembre de 2019, a lol se le pide ayuda de otro miembro de OGUser cuya cuenta de Twitter había sido suspendida por abuso.

"Hola te vi hablando de un representante de Twitter, ¿podrías preguntar si podría ayudar a unsus (unsuspend) mi cuenta comercial principal y la de mis amigos pagarán 800-1k por cada uno", pregunta el perfil de OGUusers a lol.

Lol dice que no puede prometer nada, pero lo investigará. "Le envié eso, no estoy segura si recibiré una respuesta hoy porque es el fin de semana, pero te lo haré saber", dice Lol.

En otro intercambio, un ciudadano de OGUser cuestiona jajaja sobre su conexión de Twitter.

¿Cobra ella por las escaladas? ¿Y cómo la conoces / cuál es su departamento / trabajo? ¿Cómo te conectas con ellos si puedo preguntar?

"Están en el equipo de éxito del cliente", responde lol. "No, no cobran, y los conozco a través de una conexión".

En cuanto a cómo obtuvo acceso al empleado de Twitter, jajaja se niega a dar detalles, diciendo que es un método privado. "Es un método pequeño, lo siento, no puedo decir".

En otro mensaje directo, lol le pide a otro miembro de OGUser que edite un comentario en una discusión del foro que incluyó la cuenta de Twitter "@tankska", Diciendo que era su cuenta de Twitter IRL (en la vida real) y que no quería arriesgarse a que se descubriera o suspendiera (Twitter dice que esta cuenta no existe, pero una simple búsqueda de texto en Twitter muestra que el perfil estuvo activo hasta finales de 2019).

"¿Puedes editar ese comentario? @Tankska es un twitter de juegos mío y no quiero que esté en ogu: D '", escribió lol. "Simplemente no quiero que mi chica se suscriba".

Otro miembro de OGUser publicaría la información de identificación de lol en un hilo del foro, llamando a lol por su primer nombre, "Josh", en una publicación preguntando a lol qué podría ofrecer en una subasta para un nombre de OG específico.

"Bájeme por 100, pero no note mi nombre en el hilo, por favor", escribió lol.

QUIEN ES LOL?

La información en el perfil de registro de OGUsers de lol indica que probablemente estaba siendo sincero con The Times sobre su ubicación. La base de datos del foro pirateado muestra a un usuario "tankska" registrado en OGUsers en julio de 2018, pero solo hizo una publicación preguntando por el precio de una cuenta de Twitter anterior a la venta.

La persona que registró la cuenta de tankska en OGUsers lo hizo con la dirección de correo electrónico jperry94526@gmail.comy desde una dirección de Internet vinculada a Distrito escolar unificado de San Ramon en Danville, California

De acuerdo a 4iq.com, un servicio que indexa detalles de cuenta como nombres de usuario y contraseñas expuestos en violaciones de datos del sitio web, la dirección de correo electrónico jperry94526 se utilizó para registrar cuentas en varios otros sitios a lo largo de los años, incluido uno en la tienda de ropa Stockx.com con el nombre de perfil Josh Perry.

Tankska estuvo activo solo brevemente en OGUsers, pero la base de datos hackeada de OGUsers muestra que "lol" cambió su nombre de usuario tres veces a lo largo de los años. Inicialmente, era "freej0sh", seguido de solo "j0sh".

lol no respondió a las solicitudes de comentarios enviadas a direcciones de correo electrónico vinculadas a sus diversos perfiles OGU y cuentas de Instagram.

SIEMPRE EN DISCORD

La historia de la semana pasada en el compromiso de Twitter señaló que justo antes de que salieran los tweets de la estafa de bitcoin, varios nombres de usuario de OG cambiaron de manos. La historia trazó capturas de pantalla de herramientas de Twitter publicadas en línea a un apodo que es bien conocido en el círculo de OGUsers: PlugWalkJoe, un joven de 21 años del Reino Unido.

Hablando con Los tiempos, PlugWalkJoe, cuyo nombre real es Joseph O'Connor – dijo mientras adquiría una sola cuenta de OG Twitter (@ 6) a través de uno de los piratas informáticos en comunicación directa con Kirk, no estuvo involucrado en la conversación.

"No me importa", dijo O'Connor a The Times. “Pueden venir a arrestarme. Me reiría de ellos. No he hecho nada ".

En una entrevista con KrebsOnSecurity, O'Connor también afirmó su inocencia, sugiriendo al menos media docena de otros hackers que podrían haber sido Kirk o alguien que trabajó con Kirk el 15 de julio, incluyendo "Voku", "Crim / Criminal", " Promo "y" Aqua ".

"Esa captura de pantalla fue la primera vez en mucho tiempo que bromeé (d), y evidentemente no debería haberlo hecho", dijo. "Bromear es lo que me metió en este lío".

O’Connor compartió varias capturas de pantalla de un Discordia conversación de chat el día del ataque de Twitter entre Kirk y otros dos: "Viva", Que es otro identificador utilizado por lol, y"Siempre tan ansioso.El Times describió a ambos como intermediarios que buscaban revender los nombres de Twitter de OG obtenidos de Kirk. O’Connor se menciona en estas capturas de pantalla como "PWJ" y por su identificador de Discord, "Más allá de locos. "

Las negociaciones sobre los muy apreciados nombres de usuario de OG Twitter tuvieron lugar justo antes de que las cuentas de celebridades secuestradas tuitearan estafas de bitcoin.

Ever So Anious le dijo a Kirk que su apodo de OGU era "Chaewon, "Que corresponde a un usuario en el Reino Unido. Justo antes del compromiso de Twitter, Chaewon anunció un servicio en el foro que podría cambiar la dirección de correo electrónico vinculada a cualquier cuenta de Twitter por alrededor de $ 250 en bitcoins. O'Connor dijo que Chaewon también opera bajo el alias de hacker "Masón. "

"Ever So Ansious" le dice a Kirk que su identificador de OGUsers es "Chaewon", y le pide a Kirk que modifique los nombres para mostrar de los diferentes identificadores de OG Twitter para leer "lol" y "PWJ".

En un momento de la conversación, Kirk le dice a Alive y Ever So Anxious que envíen fondos para cualquier nombre de usuario de OG que deseen. esta dirección de bitcoin. El historial de pagos de esa dirección muestra que, de hecho, también recibió aproximadamente $ 180,000 en bitcoins de la dirección de la billetera vinculada a los mensajes de estafa tuiteados el 15 de julio por las cuentas de celebridades comprometidas.

El pirata informático de Twitter "Kirk" le dijo a lol / Alive y Chaewon / Mason / Ever So Anious dónde enviar los fondos para las cuentas de Twitter de OG que querían.

NATACIÓN

Mi historia del 15 de julio observó que había fuertes indicios de que las personas involucradas en el pirateo de Twitter tienen conexiones con el intercambio de SIM, una forma cada vez más desenfrenada de crimen que implica sobornar, piratear o coaccionar a los empleados de las compañías de teléfonos móviles y redes sociales para que brinden acceso a un objetivo cuenta.

La cuenta "@shinji", también conocida como "PlugWalkJoe", tuiteó una captura de pantalla de la interfaz de herramientas internas de Twitter.

Se pensaba que el intercambio de SIM estaba detrás del secuestro de CEO de Twitter Jack DorseyCuenta de Twitter el año pasado. Como relatado por Wired.com, @jack fue secuestrado después de que los atacantes realizaron un ataque de intercambio de SIM contra AT&T, el proveedor de telefonía móvil para el número de teléfono vinculado a la cuenta de Twitter de Dorsey.

Inmediatamente después de que el nombre de Twitter de Jack Dorsey fuera secuestrado, los piratas informáticos tuitearon varios agradecimientos, incluido uno para @PlugWalkJoe. O'Connor le dijo a KrebsOnSecurity que nunca había estado involucrado en el intercambio de SIM, aunque esa declaración fue contradicha por dos fuentes policiales que rastrean de cerca tales crímenes.

Sin embargo, los mensajes privados de Chaewon en OGusers indican que él estuvo muy involucrado en el intercambio de SIM. El uso del término "intercambio de SIM" no estaba permitido en OGusers, y los administradores del foro crearon una secuencia de comandos automatizada que vería a cualquiera que intentara publicar el término en un mensaje privado o hilo de discusión.

El guión reemplazaría el término con "No apruebo actividades ilegales". Por lo tanto, a veces se usaba un portmanteau: "Swimping".

"¿Todavía estás nadando?" un miembro de OGUser le pregunta a Chaewon el 24 de marzo de 2020. "Si es así, conseguí targs y descubrí tu discordia". Chaewon responde afirmativamente y le pide al otro usuario que comparta su nombre de cuenta en Wickr, una aplicación de mensajería en línea encriptada que elimina automáticamente los mensajes después de unos días.

Chaewon / Ever So Anky / Mason no respondió a las solicitudes de comentarios.

O’Connor le dijo a KrebsOnSecurity que una de las personas que se cree está asociada con el hack de Twitter del 15 de julio, un joven que se conoce con el sobrenombre de "Voku", todavía participa activamente en el intercambio de SIM, particularmente contra clientes de AT&T y Verizon.

Voku es uno de los varios hackers utilizados por un joven de Canton, Michigan, cuya madre lo entregó a la policía local en febrero de 2018 cuando lo escuchó hablar por teléfono y pretender ser un empleado de AT&T. Los oficiales que respondieron al informe registraron la residencia y encontraron múltiples teléfonos celulares y tarjetas SIM, así como archivos en la computadora del niño que incluían "una extensa lista de nombres y números de teléfono de personas de todo el mundo".

Al mes siguiente, las autoridades de Michigan encontraron a la misma persona accediendo a los datos personales del consumidor a través de Wi-Fi público en una biblioteca local, y confiscaron 45 tarjetas SIM, una computadora portátil y una billetera Trezor, un dispositivo de hardware diseñado para almacenar datos de cuentas de criptomonedas. En abril de 2018, la madre de Voku volvió a llamar a la policía sobre su hijo, identificado solo como fuente confidencial n. ° 1 ("CS1") en la denuncia penal en su contra, diciendo que había obtenido otro teléfono móvil.

La cooperación de Voku con las autoridades los llevó a estallar una conspiración que involucra al menos a nueve personas que robaron millones de dólares en criptomonedas y otros artículos de valor de sus objetivos.

CONSPIRACIÓN

Samy Tarazi, un investigador de la Oficina del Fiscal de Distrito del Condado de Santa Clara, ha pasado cientos de horas rastreando a jóvenes hackers durante su mandato con REACT, un grupo de trabajo creado para combatir el intercambio de SIM y llevar a los swappers ante la justicia.

Según Tarazi, múltiples actores en el mundo del cibercrimen se dirigen constantemente a personas que trabajan en roles clave en las principales redes sociales y plataformas de juegos en línea, desde Twitter e Instagram hasta Sony, Playstation y Xbox.

Tarazi dijo que algunas personas involucradas en esta actividad buscan cortejar a sus objetivos, a veces ofreciéndoles sobornos a cambio de la solicitud ocasional de desbancar o cambiar la propiedad de cuentas específicas.

Sin embargo, con demasiada frecuencia, los empleados de estas redes sociales y plataformas de juegos se encuentran objeto de ataques personales extremadamente hostiles y persistentes que los amenazan a ellos y a sus familias a menos y hasta que cedan ante las demandas.

"En algunos casos, simplemente están golpeando a los empleados diciendo:" Oye, tengo una oportunidad de negocio para ti, ¿quieres ganar algo de dinero? '", Explicó Tarazi. "En otros casos, han hecho de todo, desde intercambiar tarjetas SIM y abofetear a la víctima muchas veces hasta publicar sus datos personales en línea o extorsionar a las víctimas para darles acceso".

Allison Nixon es director de investigación en Unidad 221B, una compañía de investigaciones cibernéticas con sede en Nueva York. Nixon dice que no compra la idea de que PlugWalkJoe, lol y Ever So Anxious son de alguna manera menos culpables en el compromiso de Twitter, incluso si sus afirmaciones de no estar involucrados en la estafa de bitcoin de Twitter del 15 de julio son precisas.

"Tienes a los piratas informáticos como Kirk, que pueden obtener los bienes, y a las personas que pueden ayudarlos a obtener ganancias: los compradores y los revendedores", dijo Nixon. "Sin los compradores y los revendedores, no hay incentivo para hackear todas estas redes sociales y compañías de juegos".

Mark Rasch, El abogado general de la Unidad 221B y un ex fiscal federal de EE. UU., Dijeron que todos los jugadores involucrados en el compromiso de Twitter del 15 de julio pueden ser acusados ​​de conspiración, un concepto legal en el estatuto penal que establece que cualquier co-conspirador es responsable de los actos. de cualquier otro co-conspirador para promover el crimen, incluso si no saben quiénes son esas otras personas en la vida real o qué más pueden haber estado haciendo en ese momento.

"La conspiración ha sido llamada amiga del fiscal porque convierte el acuerdo en el delito", dijo Rasch. "Es un delito separado además del delito subyacente, ya sea irrumpir en una red, robo de datos o toma de cuenta. La excusa "Acabo de comprar algunos nombres de usuario y se los di o vendí a otra persona" está mal porque es una conspiración y estas personas obviamente no se dan cuenta de eso ".

En una declaración En su investigación en curso sobre el incidente del 15 de julio, Twitter dijo que resultó de la manipulación de un pequeño número de empleados a través de un esquema de ingeniería social. Twitter dijo que al menos 130 cuentas fueron atacadas por los atacantes, que lograron enviar tweets no autorizados de 45 de ellos y que pudieron ver información adicional sobre esas cuentas, como mensajes directos.

En ocho de las cuentas comprometidas, dijo Twitter, los atacantes lograron descargar el historial de la cuenta utilizando la herramienta Your Twitter Data. Twitter agregó que está trabajando con la policía y está implementando capacitación adicional en toda la compañía para protegerse contra las tácticas de ingeniería social.


Etiquetas: Allison Nixon, aqua, Beyond Insane, Chaewon, Crim, Ever So Anxious, Joseph O'Connor, Josh Perry, lol, mark rasch, Mason, ogusers, PlugWalkJoe, Promo, Samy Tarazi, SIM swapping, tankska, Unit 221B, Voku

Esta entrada se publicó el miércoles 22 de julio de 2020 a las 4:25 p.m. y se archiva en A Little Sunshine, Ne'er-Do-Well News.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original