Un grave ataque contra Twitter secuestró las cuentas de Bill Gates, Musk, Apple y muchas más para...

Millones de usuarios de Twitter se sorprendían esta noche al contemplar que muchas de las cuentas más seguidas del mundo publicaban un mensaje invitando a mandar Bitcoins a una dirección concreta con la promesa de que cualquier donativo les sería devuelto por duplicado. Bill Gates, Elon Musk, Barack Obama, Warren Buffet, Jeff Bezos, Kim Kardashian, Uber e incluso Apple repetían este mensaje con distintas variaciones, afirmando que la COVID-19 les había vuelto generosos (Musk) o que querían "devolver a la comunidad" (Biden). También se sumaron las cuentas de Twitter de las principales criptodivisas y servicios asociados con las mismas, incluyendo Bitcoin, Ripple, Coindesk y Coinbase.

Evidentemente, se trataba de una estafa.

El suceso, posiblemente el ataque más grave jamás sufrido por Twitter, fue posible gracias a un "ataque coordinado de ingeniería social" que proporcionó a terceras personas "acceso a sistemas y herramientas" de la red social. Twitter se percató rápidamente y bloqueó la posibilidad de Twitter a todas las cuentas verificadas, eliminando los mensajes publicados por los atacantes.

Imagen

Imagen

Imagen

Como señala TechCrunch, este tipo de estafa es realmente antiguo, más que las criptodivisas y que la propia Internet, pero esta circunstancia da prueba de su efectividad. Lo que no es normal es el hackeo o secuestro en masa de cuentas verificadas mediante complejos ataques de ingeniería social (phising, por ejemplo), llegando a sustituir las direcciones de correo asociadas a las mismas para evitar su recuperación individual.

En el momento de escribir la noticia, la cartera principal utilizada en la estafa ha logrado obtener 12,86 Bitcoins, equivalentes a unos 103.000 euros, aunque es difícil conocer la cantidad real estafada, puesto que muchos delincuentes que utilizan este método tienden a realizar transferencias a sus propias direcciones para darles una pátina de veracidad.

La dificultad a la hora de trazar una transferencia de criptodivisas ha hecho que delincuentes individuales y grupos organizados busquen fallos de seguridad en todo tipo de sistemas, desde supercomputadoras a plataformas a intercambiadores, donde un ataque exitoso puede proporcionarles cientos de millones de euros.

El ataque a Twitter es muy diferente, puesto que además de ser tremendamente visible, no parece que haya sido particularmente rentable. Y tampoco es que sus responsables hayan sido muy discretos. Motherboard ha podido hablar con varias fuentes que aseguran que utilizaron "un representante que literalmente hizo todo el trabajo por nosotros".

Imagen

En algunos círculos también se han compartido capturas de pantalla de los paneles de control de cuentas secuestradas e incluso del panel de moderación de Twitter, utilizado para suspender y eliminar a los usuarios. Información que sin duda será apreciada por los investigadores de Twitter, que ya trabajan en dar con los atacantes.

Fuente: TechCrunch
En el momento de escribir la noticia, la cartera principal utilizada en la estafa ha logrado obtener 12,86 Bitcoins, equivalentes a unos 103.000 euros


Pos yasta, objetivo cumplido.
Creo que hay que ser un tonto para picar con las de Apple o Uber pero con la de Musk, por lo menos yo, podría haber picado pues da el pego de poder ser un tweet suyo perfectamente.
Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?
¿Recordais el dicho de "No hay mujeres en internet"? Un dicho que se usaba en los primeros años de la red de redes para advertir a los usuarios que "ligaban" por internet con una chica, de que esa chica probablemente fuese un gordo sudoroso en el sótano de sus padres haciendose pasar por una bella joven con el fin de conseguir dinero o cosas gratis de su víctima.
Pues a dia de hoy se puede cambiar el dicho por "No hay dinero gratis en internet". Cuando veas que regalaan dinero en internet, huye, huye y no pares de correr hasta que no puedas más (en mi caso 5 o 6 metros); porque es un timo si o si, el 100% de las veces.
neofonta escribió:Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?


No necesitan las contraseñas, cuando estas logeado tienes un token o una serie de ellos. Al parecer lo consiguieron hacer junto con ayuda de herramientas de trabajadores
neofonta escribió:Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?


Han dicho que han conseguido acceso a contraseñas de usuarios internos a través de "social engineering". Lo que significa que su personal de seguridad deja bastante que desear.

Y los protocolos también, ya que eso se debería haber detectado y deberían haber actuado bastante antes.
Sí, según cuenta un experto en seguridad han tenido ayuda o han utilizado alguna herramienta de alguien de dentro de Twitter. No ha sido un hackeo como tal porque es imposible que se hayan hecho con la contraseña de toda esa gente que desde luego tontos no son y tendrán activadas la verificación en dos pasos y otras medidas de seguridad.
El famoso timo de la estampita evolucionado y adaptado al 2020 [tomaaa]
No es un timo, yo también doblo lo que me mandes, soy un principe de Nigeria.
El ataque a Twitter es muy diferente, puesto que además de ser tremendamente visible, no parece que haya sido particularmente rentable


WHEN MOON?
Señores, tienen ustedes una herencia de un gritón de dolares que pueden optar a cobrar si pagan mis honorarios por tramitarlo.

Besis,
un saludo.
Yo le envío el dinero a través de mensajero de dhl germany, todo 100% asegurado y libre de impuestos para usted.

Usted tiene mi coordenada bancaria adjunta en el correo electrónico.
neofonta escribió:Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?

A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD
davoker escribió:
neofonta escribió:Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?

A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD


¿No se puede evitar esto con los captchas? Se crearon para eso precisamente, ¿no?
tan necesitados están en el partido demócrata?

[qmparto]
@hugoboss69x Obama regalando pasta? Ni que un presidente cobre tanto.
flipooooo que hayan podido hacer eso
gussman escribió:
davoker escribió:
neofonta escribió:Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?

A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD


¿No se puede evitar esto con los captchas? Se crearon para eso precisamente, ¿no?

Ni idea compañero, yo ni sabia que tenia ataques todos los dias a cualquier cosa que tenga una cuenta y sea medio importante, Steam, gmail, etc etc, seguro que algun compi sabe dodne se miraba en Steam, pero podias ver donde digo "intentos de logueo", muchos, a diario y de muchos paises, los sufren todos, pero no lo saben la mayoria, a mi cuando el compi me dijo donde mirar me quedé flipando, a ver si hablo con el y le pregunto donde era porque no me acuerdo xD pero fijo que muchos por aqui saben que digo, yo despues de ver eso aumente la verificacion en 2 pasos a 3 cosas en total, un coñazo si tienes que loguearte desde otro equipo o desde otro sitio, hasta necesito el movil porque recibo un mensaje con un boton para darle a SI y que me inicie sesion en Gmail por ejemplo, en Steam es por movil, contraseña y no se que otra cosa mas meti, o 2 mas xD ataques a diario, decenas y de muchos paises, hijos de puta vamos [uzi]
Un ataque interno de Twitter ya que mediante ingeniería social no sacarían nada (la mayoría de las cuentas las llevan agencias o asistentes). Un palo duro para la red social, casualmente en un momento de incertidumbre dentro de la misma
gussman escribió:
davoker escribió:
neofonta escribió:Me gustaría saber como han hackeado esas cuentas... ¿Contraseñas del tipo 123456?

A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD


¿No se puede evitar esto con los captchas? Se crearon para eso precisamente, ¿no?

Estoy seguro de que esta gente tiene sistemas de machine learning que han reventado los algoritmos de recaptcha.
Como idea, es una buena idea XD
davoker escribió:A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD


Hay una página que sirve para ver si han hackeado servicios asociados a alguno de los correos que usaste para registrarte. Se llama https://haveibeenpwned.com/
Ingeniería social... a alguien de Twitter le va a caer un buen puro por imbécil.
Que seguro es twitter (nótese la ironía)
Markuf escribió:
gussman escribió:
davoker escribió:A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD


¿No se puede evitar esto con los captchas? Se crearon para eso precisamente, ¿no?

Estoy seguro de que esta gente tiene sistemas de machine learning que han reventado los algoritmos de recaptcha.


Pero limitando el número de accesos por hora o por día ya evitas que puedan reventarte la clave por el método de la fuerza bruta, ¿no?.

Vamos, que yo entiendo que a día de hoy una contraseña larga y que no esté en un diccionario, como la que comenta el compañero davoker, con captcha y limitación de accesos, es poco menos que incrackeable.

Otra cosa sería saber que es el tema ese de la "ingeniería social" que menciona la noticia.
DKaiser escribió:
davoker escribió:A mi me han jodido una contraseña de 21 digitos, con numeros, letras mayusculas y minusculas, en Steam, de hecho hay ataques todos los dias pero no los miras, no recuerdo donde se miraba, me lo dijo un colega ("Nasio pa hackear", con esa frase alguno seguro que lo reconoce XD ), pero hay una opcion para ver eso y estas todos los dias recibiendo ataques de diferentes paises, Honkong, Holanda, Rusia, China y un larguisimo etc, lo intentan a diario a escala mundial hasta que un dia cuela y dan con tu contraseña, si no llega ser por la verificación en 2 pasos (aun que son mas de 2 pasos los que tengo puestos, hasta a mi me resulta coñazo xD) me habrian jodido la cuenta o vete a saber xD


Hay una página que sirve para ver si han hackeado servicios asociados a alguno de los correos que usaste para registrarte. Se llama https://haveibeenpwned.com/

¬_¬ 16 pwned [facepalm]
Del poco rédito que han conseguido, más parece un ataque contra twitter que un intento de estafa.
31 respuestas