Arnaque au bitcoin : les pirates auraient harponné des employés de Twitter 🆕

Mathieu Fouquet |

Véritable saga de l’été, l’affaire des comptes Twitter piratés — une escroquerie de grande ampleur qui visait à extorquer des bitcoins par l’intermédiaire de comptes Twitter vérifiés — n’a pas encore connu son dernier rebondissement.

Jusqu’ici, le scénario le plus probable s’axait sur la complicité d’employés de Twitter, qui aurait été obtenue grâce à des techniques d’ingénierie sociale. Autrement dit, des employés se seraient fait manipuler et auraient donné aux escrocs un accès direct ou indirect aux comptes touchés.

Twitter handle with care
« À manipuler avec précaution ». Image Ravi Sharma.

Twitter a hier confirmé ce scénario, mais surtout apporté des précisions sur son déroulement. Plutôt que de jeter leur filet au hasard en espérant attraper un poisson juteux, les pirates auraient utilisé une technique de harponnage, variante du phishing ciblant seulement quelques utilisateurs soigneusement sélectionnés.

La société à l’oiseau bleu a ajouté que deux conditions devaient être remplies pour que le piratage fonctionne : que les escrocs aient accès au réseau interne de Twitter, mais aussi à des autorisations spéciales donnant accès à des outils de support. Aussi, cibler le premier employé venu n’aurait pas nécessairement porté ses fruits. Les pirates ont donc dû se montrer plus malins que les mesures de sécurité de Twitter : puisque les employés initialement harponnés n’avaient pas accès aux bons outils, les pirates auraient utilisé leurs autorisations pour s’infiltrer dans le système et se renseigner sur le fonctionnement interne du réseau social.

Le compte d’une petite société californienne victime des pirates.

Munis de ces informations, ils auraient alors visé d’autres employés qui, eux, avaient bel et bien accès aux outils de support et donc aux comptes en question. Cette escroquerie quasi hollywoodienne aura touché un total de 130 comptes Twitter et rapporté aux pirates la somme finalement assez faible de 120 000 dollars (même avec les bons harpons, la pêche n’est pas toujours miraculeuse). Hier, Twitter s’engageait de nouveau à profondément revoir ses mesures internes de sécurité. Comme d’habitude, il faudra sans doute commencer par l’élément qui se trouve entre la chaise et le clavier.

Mise à jour — L'enquête s'accélère. La police a arrêté un adolescent américain basé en Floride qui serait le « cerveau » de toute cette opération rocambolesque.

Tags
avatar reborn | 

En piratant le compte de Trump il y avait la possibilité de faire laaargement plus d’argent en bourse 😄

avatar macinoe | 

En pouvant très facilement voir à qui celà profite. Donc non.

avatar reborn | 

@macinoe

C’est le président des US... 🤯

Un tweet ayant un impact sur l’économie mondial et le tour est joué.

Suffit d’avoir placé ses pions auparavant et d’anticiper la réaction des marchés.

avatar macinoe | 

Je parle de l'enquète.
Retrouver les coupables d'un délis d'initié, c'est simple. Il suffit de chercher à qui profite le crime.
La difficulté étant d'établir le délis d'initié, mais dans le cas d'un piratage de compte et de propagation de fausse information, il est avéré.

avatar vince29 | 

Bof. Il suffit de noyer ça au milieu d'opérations bénignes. Ou bien d'attendre pour prendre la vague (mais pas trop tard) et plaider le j'ai suivi le mouvement. Ou bien d'y aller franco et de blanchir le tout avant les conclusions de l'enquête. Les conclusions pouvant arriver 6 ans plus tard (cf AMF vs EDF Hinkley Point) ou jamais (attentats du 9/11)

avatar Sindanárië | 

"Retrouver les coupables d'un délis d'initié, c'est simple... "

💭 En revanche pas de recel de déliT d’initié sur l’orthographe ici 😬

avatar Mathieu Fouquet | 

@reborn

Il est très probable que le compte de Trump ait des formes de sécurité supplémentaires (ex : impossibilité de tweeter depuis un appareil non-vérifié). Cela expliquerait certainement pourquoi les pirates n’en ont pas profité.

avatar IceWizard | 

@mathieufouquet

« Il est très probable que le compte de Trump ait des formes de sécurité supplémentaires (ex : impossibilité de tweeter depuis un appareil non-vérifié). Cela expliquerait certainement pourquoi les pirates n’en ont pas profité. »

Il y a beaucoup d’autres cibles intéressantes que Trump. Un seul post de Musk a perturbé le cours de l’action Tesla, à tel point qu’il s’est chopé une enquête de la COB pour « manipulation des cours ».

avatar vince29 | 

Il suffit de cibler un secteur d'activité et pas une société et de le faire avec des montants raisonnables (pas comme pour le 11 septembre)

avatar IceWizard | 

@reborn

« En piratant le compte de Trump il y avait la possibilité de faire laaargement plus d’argent en bourse 😄 »

C’est clair. C’est louche cette histoire. Une attaque aussi complexe et bien ficelée pour finir par une offre aussi stupide que « donnez-moi 10.000 $, je vous en retourne 20.000 juste après », c’est bien surprenant. Quelques idiots ont suivi, pour 120.000 $ mais c’est peanuts par rapport à ce qu’une manipulation boursière aurai rapporté.

Cela ressemble plus à une démonstration technologique, ou une action spectaculaire pour montrer la vulnérabilité d’un processus administratif.

#OnNousMentOnNousManipule
#laZone52existe

avatar raoolito | 

@IceWizard

ou plus simplement le compte de Trump aurait des securités plus importantes encore ? genre une source (son telephone portable) validée ?

avatar marc_os | 

Bien fait pour ceux qui utilisent les bitcoins, cette monnaie de truands.

avatar Fahrenheit | 

@marc_os

Ok boomer

avatar vince29 | 

Ok Millenull.

Ouah c'est vachement pratique ça évite d'avoir à argumenter.
Merci pour l'astuce !

avatar DamienLT | 

@vince29

🤣🤣🤣🤣

avatar Alex Giannelli | 

@vince29

Pour argumenter, il faudrait déjà y avoir des arguments en face 😉

avatar Sindanárië | 

@Fahrenheit

Ok newbie

avatar oboulot | 

@Fahrenheit

+1 😂

avatar Alex Giannelli | 

@Fahrenheit

+1 😄

avatar raoolito | 

@marc_os

on vous a connu plus libertaire cher Marc_os :)

avatar marc_os | 

@ raoolito

Les bitcoins n'ont absolument rien à voir avec le fait d'être « libertaire » ou non.
Les bitcoins sont une monnaie privée opaque mille fois pire que les monnaies « d'Etat » dont on sait par qui elles sont gérées et selon quels critères.

avatar vince29 | 

Ah bon quelqu'un sait suivant quels critères cela fonctionne ?
Quelle cohérence entre un plafond de 1000 euro pour un paiement en liquide en France et un nolimit en Allemagne ?

avatar oboulot | 

@marc_os

Bitcoin monnaie de truand 😂alors que c’est la monnaie la plus surveillée et surtout elle n’est pas anonyme comme peuvent l’être d’autre crypto...

avatar Alex Giannelli | 

@oboulot

Oh mais laisse tomber… pour dire ça (bitcoin monnaie de truand), c'est qu'on est ignare, et qu'on veut le rester 😌

avatar marc_os | 

@oboulot
« c’est la monnaie la plus surveillée »
Voilà : Sans surveillance, elle serait à 100% une monnaie de truand.

« surtout elle n’est pas anonyme comme peuvent l’être d’autre crypto »
Sans surveillance, ces monnaies sont des monnaies de truands.

L'ensemble des monnaies "crypto" sont de plus une hérésie écologique.

Pages

CONNEXION UTILISATEUR