16/11/2018

Oszustwa związane z kryptowalutą na Twitterze: sto Elonów Musków

Zagrożenia

W internecie pojawiło się oszustwo, w którym wykorzystywany jest temat kryptowalut. Ludzie dowiadują się, że na przykład jakaś firma ma okazję do świętowania, więc rozdaje swoim fanom bitcoiny. Teoretycznie wystarczy przesłać 0,01 BTC na podany adres portfela, a otrzyma się zwrot w wysokości 0,1 BTC.

Oczywiście gdy ktoś się nabierze i prześle jakieś pieniądze w postaci kryptowaluty do wskazanego portfela, nie otrzyma żadnego zwrotu. Tweety zostały wysłane w świat przez oszustów, którzy liczyli na łatwy zarobek (a niełatwo ich złapać — przypominamy, że świat bitcoinów zapewnia większą anonimowość). Kto się dał nabrać? Niestety wiele osób, szczególnie jeśli dowiedziały się one o tej „okazji” od kogoś, do kogo miały zaufanie.

Krótka historia oszustw na Twitterze z kryptowalutą w tle

Oszustwa wykorzystujące temat kryptowalut po raz pierwszy ujrzały światło dzienne, gdy osoby podszywające się pod Elona Muska, dyrektora generalnego firm Space X i Tesla, poinformowały o możliwości łatwego zdobycia kryptowaluty Ethereum. Powodem akcji miało być na przykład uruchomienie nowej rakiety Space X czy wyprodukowanie kolejnego samochodu marki Tesla.

Elon Musk dosyć często korzysta z Twittera, a śledzi go ponad 20 milionów użytkowników. Oszuści utworzyli konta, w których umieścili jego awatar i dane osobowe, jak również nadal im podobne nazwy użytkownika (np. @elonmask zamiast @elonmusk). Następnie przy pomocy tych kont odpowiedzieli na jego oryginalne tweety, promując fałszywe akcje rozdawnicze. Zwiększało to prawdopodobieństwo uznania, że pochodzą one od samego Muska — aby rozpoznać szwindel, należało dokładniej się przyjrzeć.

Technika okazała się być skuteczna, a oszustwo kryptowalutowe zaczęło nabierać rozpędu. W pewnym momencie Twitter zaczął prewencyjnie zamykać konta, których nazwa została zmieniona na „Elon Musk”.

Wobec tego oszuści zaczęli wykorzystywać popularność innych znanych osób, takich jak Bill Gates, Pawieł Durow (twórca sieci społecznościowej vk.com i aplikacji Telegram) czy Witalik Buterin (twórca kryptowaluty Ethereum). Ponadto zaangażowali boty, które rozpowszechniały łącza spamowe, śledziły inne fałszywe konta, przesyłały dalej tweety oraz klikały polubienia, aby promować oszustwo. Badacze z firmy Duo Security odkryli dużą sieć tych botów, które nawzajem się śledziły, klikały polubienia i przesyłały tweety.

Sytuacja dalej ewoluowała: oszuści zaczęli przechwytywać zweryfikowane konta, które następnie wykorzystywali do zwiększenia wiarygodności swoich postów. Gdy „kolejny” Ælon Müsk poinformował o rozdawnictwie, wiarygodności dodawały komentarze pochodzące od zweryfikowanych kont — zwłaszcza jeśli potwierdzały otrzymanie bitcoinów zwrotnych. Na przykład wśród niedawno zhakowanych kont znalazło się należące do konsulatu Indii we Frankfurcie oraz do firmy konsultingowej Capgemini.

Niektórzy oszuści próbowali zmienić nazwę innych zhakowanych zweryfikowanych kont, tak aby przypominały nazwę konta Elona Muska (wykorzystując przy tym literę „o” w cyrylicy lub podobną, by nie zwracać uwagi Twittera, co mogłoby skutkować zamknięciem konta). Jak można się domyśleć, używali ich do informowania o oszustwach związanych z kryptowalutą, a także aby oszustwo wyglądało na bardziej wiarygodne.

Najnowsza technologia: reklamy ze zweryfikowanych kont

Na tym etapie opisywanego oszustwa jego autorzy zaczęli zastępować tweety reklamami publikowanymi w imieniu wspomnianych wcześniej zweryfikowanych, lecz fałszywych kont. Pomysł ten również okazał się trafiony: w serwisie Twitter nie można umieszczać komentarzy pod reklamami, zatem nie ma jak ostrzec innych ludzi, którzy mogą stać się potencjalnymi ofiarami.

Oszuści poszli jeszcze dalej, a stosowany przez nich najnowszy trik sprawia, że całe zamieszanie wygląda jeszcze bardziej wiarygodnie. Włamali się niedawno na konto firmy Target na Twitterze, ale zamiast publikować zwykłe tweety (które z pewnością szybko dostrzegliby pracownicy i fani firmy), oszuści zdecydowali się udostępniać reklamy promujące ich akcję.

Wyglądało to naprawdę wiarygodnie:

  • reklama miała charakter oficjalny,
  • pochodziła z oficjalnego, zweryfikowanego konta należącego do firmy Target.

Niestety firma Target nie była ostatnią ofiarą: ktoś zhakował konto na Twitterze należącego do Google’a pakietu zwiększającego produktywność oraz umożliwiającego pracę grupową, G Suite, a następnie użył go do tego samego celu, publikując reklamy do kolejnego oszustwa opartego na kryptowalucie.

Co ciekawe, oszustwa te docierają również do osób należących do społeczności, które nie są powiązane ze światem IT i technologii. Atakujący zhakowali również konta włoskiego tenisisty, sklepu z kosmetykami The Body Shop, uczelnianej drużyny sportowej w Hiszpanii i wiele więcej.

Bądźcie czujni i nie wierzcie w żadne akcje związane z kryptowalutami — i nie ważne, kto się pod nimi podpisuje. Przy okazji, sprawdźcie zabezpieczenia swoich kont. Czy hasło jest długie i unikatowe? Czy do logowania wykorzystywana jest weryfikacja dwuetapowa? W przypadku wątpliwości możecie posiłkować się naszym postem, w którym opisaliśmy, jak zabezpieczyć konto na Twitterze.