Las cuentas de Twitter de los ricos y famosos, incluidos Elon Musk, Bill Gates, Jeff Bezos y Joe Biden, fueron secuestradas simultáneamente el miércoles y utilizadas para impulsar estafas de criptomonedas.
A las 3:58 p. m., hora de California, una dirección de billetera utilizada para recibir la moneda digital de la víctima había recibido más de $118,000, aunque no estaba claro que todo proviniera de personas que cayeron en la estafa. El bitcoin provino de 356 transacciones que ocurrieron en un lapso de aproximadamente cuatro horas el martes. La dirección de la billetera apareció en tuits de al menos 15 cuentas, algunas con decenas de millones de seguidores, que promovían incentivos fraudulentos para transferir dinero. Al menos otra billetera de Bitcoin se usó en la estafa masiva.
“Estoy retribuyendo a todos mis seguidores”, decía un tuit ahora eliminado de la cuenta de Musk. “Estoy duplicando todos los pagos enviados a la dirección de Bitcoin a continuación. ¡Tú envías 0.1 BTC, yo envío 0.2 BTC de regreso!” Un tuit de la cuenta de Bezos decía lo mismo. “Todos me piden que retribuya, y ahora es el momento”, dijo un tuit de Gates. “Duplicaré todos los pagos enviados a mi dirección BTC durante los próximos 30 minutos. Tú envías $1,000, yo te devuelvo $2,000″.
Otra variación de la estafa promovió una iniciativa asociada que se comprometía a donar 5000 BTC a la comunidad e incluía un enlace de dominio para enviar dinero. El dominio fue rápidamente suspendido. Esta variación llegó temprano en la ola de secuestros y pareció afectar solo a las empresas relacionadas con las criptomonedas, incluidas Binance y Gemini.
Otras cuentas secuestradas pertenecían a Barack Obama, Mike Bloomberg, Apple, Kanye West, Kim Kardashian West, Wiz Khalifa, Warren Buffett, la personalidad de YouTube MrBeast, Wendy’s, Uber, CashApp y una gran cantidad de empresarios de criptomonedas. Aquí hay una muestra de algunos de los tweets fraudulentos:
A las 2:58 p. m., hora de California, la cuenta de Musk continuó emitiendo tuits fraudulentos, a pesar de que los secuestros masivos de cuentas tenían dos horas de antigüedad. Además, una captura de pantalla tuiteada por un investigador de seguridad mostró que los atacantes cambiaron las direcciones de correo electrónico asociadas de algunas de las cuentas secuestradas.
Que tantas cuentas de redes sociales hayan sido tomadas en tan poco tiempo y permanezcan secuestradas durante tanto tiempo es extraordinario, si no sin precedentes. Los secuestros anteriores que ocurrieron en una o dos cuentas de alto perfil para promover estafas fueron el resultado de ataques de phishing o de que las cuentas estuvieran protegidas por contraseñas débiles. Y en casi todos los casos, los titulares legítimos de las cuentas recuperaron rápidamente el control.
La capacidad de los atacantes para recuperar el control de las cuentas también fue muy inusual. El compromiso de tantas cuentas, muchas pertenecientes a personas experimentadas en la importancia de tener una buena higiene de seguridad, planteó serias dudas de que los compromisos fueran el resultado de una violación de la infraestructura de Twitter.
Una portavoz de Twitter dijo que el personal de la compañía está investigando la causa y responderá pronto.
Un comunicado emitido por Binance dijo que su personal «confirmó que esta violación de Twitter no fue causada por una vulnerabilidad de la plataforma o los miembros del equipo de Binance». La declaración no proporcionó ningún otro detalle sobre la causa del secuestro. Binance continuó diciendo: «Nuestro equipo de seguridad ha verificado que no hay cuentas/usuarios de Binance que hayan enviado fondos a las direcciones de billetera del pirata informático. Las billeteras de los piratas informáticos no están asociadas con Binance, y hemos evitado que todas las direcciones de billetera de Binance depositen activos en las direcciones del hacker».
Los correos electrónicos a algunos de los otros titulares de cuentas afectados no fueron respondidos de inmediato.
Una portavoz de la firma de seguridad RiskIQ dijo que los investigadores de la compañía pudieron rastrear la infraestructura que pertenece a la parte detrás del ataque a gran escala del miércoles. Hasta ahora, han compilado una lista de más de 400 dominios asociados que incluían cryptoforhealth.com. el sitio incluido en el tweet fraudulento de Binance y otras empresas de criptomonedas. Muchos de los dominios no respondieron, mientras que otros generaron advertencias en el navegador como la siguiente.
Mientras continuaban los secuestros, Twitter dijo que mientras investigaba, estaba suspendiendo la capacidad de muchos pero no todos los usuarios de Twitter para twittear o responder a tweets. Las cuentas pertenecientes a usuarios verificados no pudieron tuitear ni responder a otros tuits. En su lugar, recibieron un mensaje que decía: «Parece que esta solicitud podría estar automatizada. Para proteger a nuestros usuarios del spam y otras actividades maliciosas, no podemos completar esta acción en este momento. Vuelva a intentarlo más tarde». La suspensión no aplicó a los retuits ni a los mensajes directos. Las cuentas no verificadas funcionaron normalmente.
Esta es una historia en desarrollo. Esta publicación se actualizará a medida que haya más detalles disponibles.
