Sahte bir Bitcoin promosyonu kullanarak yapılan Twitter saldırısının ardında 21 yaşındaki bir SIM takasçısının olduğu iddia edildi.
Saygın güvenlik araştırmacısı Brian Krebse göre Amazon CEOsu Jeff Bezos başkan adayı Joe Biden Tesla CEOsu Elon Musk milyarder yatırımcı Warren Buffett ve kripto borsaları Coinbase ve Binanceın hesaplarını da ele geçiren saldırı SIM takas topluluğu.
İlk tweet Krebs’e göre Binanceden geldi ve dakikalar sonra düzinelerce başka hesap sahte korsanlara verilen 130 bin dolardan fazla olan sahte bitcoin promosyonlarını tanıtmaya başladı.
SIM Değiştirme ve Twitter “OG” Hesapları
Brian Krebse göre SIM takas topluluğu “Orijinal Gangster” ın kısaltması olan “OG” sosyal medya hesaplarını yeraltı pazarlarında binlerce dolara satılabilecek ödüller olarak görüyor. @B gibi bir veya iki harfli hesaplar OG hesapları olarak görülüyor.
Hesabın ele geçirilmesine adanmış bir forumda “Chaewon” adlı bir kullanıcı herhangi bir Twitter hesabının e-postasını değiştirebileceğini duyurdu ve 2.000 ila 3.000 $ arasındaki hesaplara doğrudan erişim sağladı. Kullanıcı şunu gönderdi:
Bu bir yöntem DEĞİLDİR herhangi bir nedenle e-posta / @ verilmezse size tam bir geri ödeme yapılacaktır ancak askıya alınırsa sorumlu tutulmayacağım.
Binance hesabı sahte kripto para birimini tweetlemeden önce bir OG hesabı hacklendi New York Times’ın ağına girdiği bilinen ve şimdi hayatta olmayan hacker Adrian Lamoya ait olan @ 6 isimli hesaptı. Hesap Lucky225ten geçen bir güvenlik araştırmacısı olan uzun zamandır arkadaşı tarafından yönetiliyor.
Lucky225 @ 6 hesabı için bir şifre onay kodu aldığını açıkladı; bu SIM Takasçısı hesabın arkasındaki e-postayı değiştirmeyi ve iki faktörlü kimlik doğrulamasını (2FA) devre dışı bırakmayı başardığı için saldırıya uğradı. Kısa bir süre sonra başka bir OG hesabı olan @b hacklendi ve Twitter’ın dahili kontrol panelinin görüntülerini tweetlemeye başladı.
Aynı zamanda @shinji Twitter hesabı Twitter’ın dahili araçlarının ekran görüntülerini gösteriyordu. Dakikalar sonra bu hesaplar feshedildi ancak kapanmadan önce “follow @ 6” yı tweetlediler.
Shinji hesabının arşivlenmiş sürümleri iki OG Instagram hesabının – “J0e” ve “dead” olduğunu iddia ettiğini gösteriyor. Bu hesaplar isimsiz bir kaynağa göre Brian Krebsin “ABD merkezli en büyük mobil taşımacılık şirketlerinden biri” nden bahsettiği gibi “PlugWalkJoe” tarafından bilinen kötü şöhretli SIM takasçısınaa ait.
PlugWalkJoe ve “Yüksek Dolar Bitcoin Soygunları”
Krebs kaynağın araştırmacıların PlugWalkJoeyu “yüksek dolarlık bitcoin soygunlarından” önce gelen çoklu SIM değiştirme saldırılarına katıldığını izlediğini belirtti. Eklenen kişi Twitter CEOsu Jack Dorseyin hacklenmesinin arkasında olabilecek “ChucklingSquad” ile giden bir grup SIM takasçısının bir parçası.
Araştırmacılara göre PlugWalkJoe Joseph James Connor adında İngilterenin Liverpool şehrinden 21 yaşındadır. İspanyada üniversite okuyor ve bir kadın araştırmacının görüntülü sohbeti kabul etmesini başardıktan sonra bulundu. Görüntülü sohbet PlugWalkJoenun Instagram hesabında fotoğraflarını yayınladığı arka planda kendine özgü bir yüzme havuzu gösteriyordu.
Güvenlik uzmanlarına göre Twitter güvenlik ihlali sahte hediyenin “diğer kötü niyetli etkinlikleri” gizlemek için bir örtünün parçası olduğunu görebilirdi. Sahte bitcoin hediyesinde tanıtılan adresin arkasındaki kişi de Coinbase ve BitPay ile etkileşime girdiğinden takip edilebilir.