Análisis del retorno de una estafa ya conocida, ahora en Twitter

Era 5 de junio y los teléfonos y servidores de correos electrónicos de QuantiKa14 estaban que arden con la gran cantidad de víctimas que habían sido afectadas por una estafa en Internet.

La metodología que usaban los ciberdelincuentes consiste en suplantar la identidad del empresario Elon Musk y crear varias webs para exponer su trampa de miel. ¿Cómo lo hacían?

Usaban vídeos de Youtube y páginas webs. Sin embargo, han dado un salto exponencial a niveles estratosféricos. Ayer 15 de julio por la noche han realizado varias intrusiones en cuentas verificadas de Twitter con muchos seguidores (Elon Musk, Apple, Bill Gates, Barack Obama, Uber, Bitcoin, etc) y han publicado un Tweet para engañar a los usuarios.

¿Qué sabemos de este grupo de cibercriminales?

De igual manera que sabemos que son los mismos por su forma de operar, lo más seguro es que no sea una persona aislada, sea un grupo organizado que entiende perfectamente del asunto y lo han planificado al detalle.

1. El 5 de junio ya identificamos que estas estafas por Internet (https://quantika14.com/2020/06/05/estafa-online-inunda-internet-usando-la-imagen-de-elon-musk/) y siguen libres los autores. Demostrando que no se ha investigado o las líneas realizadas no han sido suficientes
2. Como hemos comentado anteriormente: pensamos que hablamos de un grupo de personas por su nivel de complejidad en las operaciones que están realizando. Hablamos de que en la última consiguieron mucho más dinero; hablamos de millones de euros. Evidencia que han evolucionado y es muy posible que continúen estafando. Además, como han usado en 2 ocasiones el mismo modus operandi cambiarán haciéndolo más impredecible.
3. En la primera operación usaron diferentes monederos, en esta ocasión han decidido usar dos (bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l y bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh). Como se puede ver en todos los tweets.
4. La motivación es el dinero y usan Bitcoin por su valor y mayor uso de los usuarios como criptodivisa. También han usado Ethereum, por los mismos motivos.
5. Las cuentas afectadas son de celebridades, famosos y de criptodivisas.

¿Qué ha podido suceder?

Es difícil saberlo desde fuera de los sistemas de Twitter. Ellos han publicado que sus trabajadores han podido sufrir un ataque de Phishing y alguien caer víctima permitiendo a los atacantes tener acceso a una aplicación de administración. También se baraja la posibilidad de que algún trabajador haya podido ser sobornado.

Otras posibilidades que podemos barajar son:

1. Phishing a las diferentes cuentas afectadas
2. Spear phishing a un trabajador de Twitter
3. 0 Day en Twitter o algún malware
4. Las cuentas no disponían de doble factor de autenticación y las contraseñas están en leaks

Algunos medios como Vice han afirmado que ha sido a través de una aplicación interna de Twitter. Es más, que en la red social se ha expuesto en varios tweets capturas de pantallas. Más información aquí: https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos

Afectados

• @cz_binance
• @AngeloBTC
• @binance
• @Gemini
• @coinbase
• Bill Gates
• Elon Musk
• Jeff Bezos
• Floyd Mayweather
• Barack Obama
• Biden
• Apple
• Uber

¿Dónde están los bitcoins estafados?

El primer monedero tiene un total de 376 transacciones y un poco menos de 13 BTC:

En el segundo monedero encontramos menos transacciones:

Por suerte para algunos muchas transacciones no están confirmadas y quizás puedan recuperar su dinero. Para otros, recomendamos que denuncien y si necesitan ayuda pueden contactar con nosotros a través del Chatbot o formulario de contacto que ponemos a su disposición en nuestra web.