Análisis del retorno de una estafa ya conocida, ahora en Twitter

Era 5 de junio y los teléfonos y servidores de correos electrónicos de QuantiKa14 estaban que arden con la gran cantidad de víctimas que habían sido afectadas por una estafa en Internet.
La metodología que usaban los ciberdelincuentes consiste en suplantar la identidad del empresario Elon Musk y crear varias webs para exponer su trampa de miel. ¿Cómo lo hacían?
Usaban vídeos de Youtube y páginas webs. Sin embargo, han dado un salto exponencial a niveles estratosféricos. Ayer 15 de julio por la noche han realizado varias intrusiones en cuentas verificadas de Twitter con muchos seguidores (Elon Musk, Apple, Bill Gates, Barack Obama, Uber, Bitcoin, etc) y han publicado un Tweet para engañar a los usuarios.

ÍNDICE. No pierdas el tiempo y accede directamente al contenido que te interesa.
¿Qué sabemos de este grupo de cibercriminales?
De igual manera que sabemos que son los mismos por su forma de operar, lo más seguro es que no sea una persona aislada, sea un grupo organizado que entiende perfectamente del asunto y lo han planificado al detalle.
- El 5 de junio ya identificamos que estas estafas por Internet (https://quantika14.com/2020/06/05/estafa-online-inunda-internet-usando-la-imagen-de-elon-musk/) y siguen libres los autores. Demostrando que no se ha investigado o las líneas realizadas no han sido suficientes
- Como hemos comentado anteriormente: pensamos que hablamos de un grupo de personas por su nivel de complejidad en las operaciones que están realizando. Hablamos de que en la última consiguieron mucho más dinero; hablamos de millones de euros. Evidencia que han evolucionado y es muy posible que continúen estafando. Además, como han usado en 2 ocasiones el mismo modus operandi cambiarán haciéndolo más impredecible.
- En la primera operación usaron diferentes monederos, en esta ocasión han decidido usar dos (bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l y bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh). Como se puede ver en todos los tweets.
- La motivación es el dinero y usan Bitcoin por su valor y mayor uso de los usuarios como criptodivisa. También han usado Ethereum, por los mismos motivos.
- Las cuentas afectadas son de celebridades, famosos y de criptodivisas.
¿Qué ha podido suceder?
Es difícil saberlo desde fuera de los sistemas de Twitter. Ellos han publicado que sus trabajadores han podido sufrir un ataque de Phishing y alguien caer víctima permitiendo a los atacantes tener acceso a una aplicación de administración. También se baraja la posibilidad de que algún trabajador haya podido ser sobornado.

Otras posibilidades que podemos barajar son:
- Phishing a las diferentes cuentas afectadas
- Spear phishing a un trabajador de Twitter
- 0 Day en Twitter o algún malware
- Las cuentas no disponían de doble factor de autenticación y las contraseñas están en leaks
Algunos medios como Vice han afirmado que ha sido a través de una aplicación interna de Twitter. Es más, que en la red social se ha expuesto en varios tweets capturas de pantallas. Más información aquí: https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos
Afectados
- @cz_binance
- @AngeloBTC
- @binance
- @Gemini
- @coinbase
- Bill Gates
- Elon Musk
- Jeff Bezos
- Floyd Mayweather
- Barack Obama
- Biden
- Apple
- Uber
¿Dónde están los bitcoins estafados?
El primer monedero tiene un total de 376 transacciones y un poco menos de 13 BTC:

En el segundo monedero encontramos menos transacciones:

Por suerte para algunos muchas transacciones no están confirmadas y quizás puedan recuperar su dinero. Para otros, recomendamos que denuncien y si necesitan ayuda pueden contactar con nosotros a través del Chatbot o formulario de contacto que ponemos a su disposición en nuestra web.

10 años de experiencia en forense informático y OSINT. Apasionado de la ciberseguridad y programación en Python. Desde muy joven empecé a trabajar en el sector de la informática y terminé creando mi propia empresa, llamada QuantiKa14. Actualmente soy CTO del grupo Lazarus Technology y realizo diferentes labores y trabajos: DFIR, peritajes informáticos, desarrollo de aplicaciones y auditoría de seguridad. También he realizado ponencias en congresos y eventos como PyConEs, OpenExpo, Hack&Beers, EastMadHack, Sec/Admin, etc. Y soy socio 116 y vocal de la Asociación de Peritos Tecnológicos de Andalucía (APTAN).
Mi lado divulgador no se queda únicamente en dar charlas, también he estado 4 años como colaborador en Canal Sur Radio y he escrito varios artículos de opinión e investigación en Internet que se han publicado en diversos medios (ElPlural, lamarea.com, etc). Además he escrito más de 400 artículos en mi blog. Fundador de la comunidad con más actividad en Sevilla sobre ciberseguridad, Happy Hacking Sevilla y co-organizador del congreso de inteligencia, ciberseguridad y OSINT, llamado OSINTCITY.
Director del curso de verano sobre ciberdelincuencia de género y profesor en el curso de detectives en la Universidad Pablo de Olavide en el año de 2017 sobre investigación digital. También he impartido formación a cuerpos de seguridad a través de la Escuela Pública de Seguridad Pública de Andalucía (ESPA) y otros cursos.
Co-autor del primer protocolo institucional en España ante la violencia de género en las redes sociales en Andalucía y autor del protocolo de actuación para la búsqueda de personas desaparecidas a través de las TIC.
Y, sobre todo, de Triana.