Arnaque au bitcoin : les pirates auraient harponné des employés de Twitter 🆕

Mathieu Fouquet |

Véritable saga de l’été, l’affaire des comptes Twitter piratés — une escroquerie de grande ampleur qui visait à extorquer des bitcoins par l’intermédiaire de comptes Twitter vérifiés — n’a pas encore connu son dernier rebondissement.

Jusqu’ici, le scénario le plus probable s’axait sur la complicité d’employés de Twitter, qui aurait été obtenue grâce à des techniques d’ingénierie sociale. Autrement dit, des employés se seraient fait manipuler et auraient donné aux escrocs un accès direct ou indirect aux comptes touchés.

Twitter handle with care
« À manipuler avec précaution ». Image Ravi Sharma.

Twitter a hier confirmé ce scénario, mais surtout apporté des précisions sur son déroulement. Plutôt que de jeter leur filet au hasard en espérant attraper un poisson juteux, les pirates auraient utilisé une technique de harponnage, variante du phishing ciblant seulement quelques utilisateurs soigneusement sélectionnés.

La société à l’oiseau bleu a ajouté que deux conditions devaient être remplies pour que le piratage fonctionne : que les escrocs aient accès au réseau interne de Twitter, mais aussi à des autorisations spéciales donnant accès à des outils de support. Aussi, cibler le premier employé venu n’aurait pas nécessairement porté ses fruits. Les pirates ont donc dû se montrer plus malins que les mesures de sécurité de Twitter : puisque les employés initialement harponnés n’avaient pas accès aux bons outils, les pirates auraient utilisé leurs autorisations pour s’infiltrer dans le système et se renseigner sur le fonctionnement interne du réseau social.

Le compte d’une petite société californienne victime des pirates.

Munis de ces informations, ils auraient alors visé d’autres employés qui, eux, avaient bel et bien accès aux outils de support et donc aux comptes en question. Cette escroquerie quasi hollywoodienne aura touché un total de 130 comptes Twitter et rapporté aux pirates la somme finalement assez faible de 120 000 dollars (même avec les bons harpons, la pêche n’est pas toujours miraculeuse). Hier, Twitter s’engageait de nouveau à profondément revoir ses mesures internes de sécurité. Comme d’habitude, il faudra sans doute commencer par l’élément qui se trouve entre la chaise et le clavier.

Mise à jour — L'enquête s'accélère. La police a arrêté un adolescent américain basé en Floride qui serait le « cerveau » de toute cette opération rocambolesque.

Tags
avatar jujulec | 

Accroche-toi au clavier, je retire la chaise !

avatar pocketalex | 

J'ai lu de passionnant articles chez la concurrence faisant état de nouvelles remontées utilisateurs faisant mumuse avec le Kit de développement Mac mini ARM et constatant des performances proches d'un MBP 2017 (à 85%) ce qui est extrêmement encourageant pour l'avenir des Macs.

Mais c'est sur, les fraudes au bitcoin sur Twitter, c'est bien aussi

avatar reborn | 

@pocketalex

Les sources les sources les sources 🤓🤓

avatar IceWizard | 

@reborn
"Les sources les sources les sources 🤓🤓"

Pour remonter à la source, il faut suivre les saumons. Sauf que là, c'est les avocats marchant dans la rue avec de gros dossiers marqués "NDA Confidential - Fail" sous le bras qu'il faut repérer.

avatar vincentn | 

@reborn

"Les sources les sources les sources 🤓🤓"

Ces sources barbues et bidouilleuses sont en train de se faire exorciser pour avoir oser pensé et écrire que l'avenir d'Apple est finalement peut-être rose et que les futurs Mac Apple Silicon seront peut-être de chouettes machines performantes. Alors que tout le monde sait qu'Apple c'était mieux il y a 20 ans, et que depuis ce ne sont que des mauvais choix concernant les Mac au détriment d'iGadget. 😜

avatar Bigdidou | 

@pocketalex

« constatant des performances proches d'un MBP 2017 (à 85%) ce qui est extrêmement encourageant pour l'avenir des Macs. »

Oui, je suis enthousiaste.
En 2020, un truc qui me donne 85% des performance d’un mac 2017, c’est inespéré : c’est vraiment l’événement que j’attendais et qui mérite que quelqu’un sorte les trompettes.

Au fait, 85% des performance d’un mac de 2017, ça nous doit nous ramener aux 100% d’un mac de quelle époque ? :D

avatar OuaisVoilaQuoi | 

@Bigdidou :

Et l'ancien Mac Pro Xeon, quand il a lu ça je te dis pas, il a tiré une gueeeeeuuuuleee !!!

#OK_Biloute :D :D :D

avatar Nesus | 

En fait la solution est simple, je l’avais appliquée sur mon forum, l’impossibilité pour un modérateur de modifier un texte ou d’écrire à sa place. C’est simple comme bonjour.
Un problème ? On efface et c’est tout. En appliquant cette mesure, ça devient tout à coup beaucoup moins intéressant comme attaque. Vous me direz, oui mais ils peuvent modifier le mot de passe, et bien si c’est fait correctement non. Un mot de passe hacher, le changement de mot de passe uniquement par mail et impossibilité de changer le mail à part pour le possesseur du compte qui valide le changement après réception du mail.

C’est tout bête, ça fait des plombes que beaucoup fonctionne comme ça, sauf dans les réseaux sociaux où ils veulent le contrôle absolu sur vos données (pour rien qui plus est).

Pages

CONNEXION UTILISATEUR