Il mercato nero degli account verificati

Buongiorno cari lettori, oggi vi andremo a parlare del mercato nero del verificato di Twitter.

Il 15 agosto, un’e-mail allarmante è apparsa nella casella di posta di Diana Pearl, una redattrice di notizie con sede a New York. Qualcuno a Mosca aveva effettuato l’accesso al suo account Twitter verificato, si diceva. Pearl conosceva il tema del contenuto dell’e-mail in quanto somigliava alla precedente corrispondenza automatizzata di Twitter, con uno sfondo bianco minimo, testo nero e collegamenti blu.

Temendo per la sicurezza del suo account, Pearl ha fatto clic sul collegamento all’interno dell’e-mail che presumibilmente le avrebbe consentito di proteggere immediatamente il suo account e ha inserito la sua password esistente nella pagina Web seguente per aggiornarla.

Qualche istante dopo, è arrivato un messaggio in un gruppo di Telegram. Tutto ciò che conteneva era uno screenshot del profilo Twitter di Pearl e un collegamento. Tre ore dopo, l’amministratore ha scritto: “Venduto”.

Pearl era caduta preda di un attacco di phishing. L’e-mail non proveniva da Twitter ma da un hacker che aveva copiato l’aspetto di un messaggio ufficiale di Twitter. Pearl era fuori quando l’e-mail è arrivata e ha pensato che non poteva permettersi di aspettare fino a quando non fosse tornata a casa per leggerla sul suo computer. Inoltre, il tono urgente dell’e-mail ha spinto Pearl a reagire senza verificarne i dettagli. Se l’avesse fatto, avrebbe potuto notare l’indirizzo e-mail sospetto da cui proveniva o il fatto che il collegamento non portava all’URL ufficiale di Twitter. 

AD

L’account di Pearl era solo una vendita in un mercato nero vasto e altamente redditizio per gli handle verificati di Twitter. In questo particolare gruppo Telegram, il controllo di un account verificato di solito costa un paio di centinaia di dollari, che gli acquirenti di solito sperano di recuperare promuovendo truffe NFT. Tali furti si verificano regolarmente, con dozzine di profili che perdono ogni giorno se la frequenza delle nuove inserzioni sui mercati per i profili verificati è una prova. E nonostante anni di prove, le piattaforme sembrano impotenti a fermare il commercio in corso.

Quando l’account dello scrittore di The Atlantic Jacob Stern è stato compromesso a maggio all’inizio di quest’anno, è stato utilizzato per indurre i proprietari di Moonbirds NFT a trasferire i loro token nel portafoglio dell’hacker. In poche ore, l’hacker ha inviato centinaia di tweet annunciando un nuovo “drop” con un link di phishing, che ha spinto gli acquirenti a trasferire una somma di criptovaluta in cambio di un falso NFT o del tutto assenti. Il profilo della giornalista di MPR News Dana Ferguson è stato rinominato in modo simile ad agosto, ad eccezione del nome utente, che avrebbe revocato il badge di verifica, per rubare gli NFT di Killabears. Entrambi i compromessi si ricollegavano allo stesso gruppo Telegram, dove gli account erano messi in vendita.

Alcuni hacker arruolano persino artisti NFT più piccoli nella truffa. Quando la scrittrice californiana Marissa Wenzke è stata hackerata, il suo account ha condotto una campagna promozionale per il gruppo dietro la collezione NFT chiamata “Meta Battlebots”, un vero progetto artistico NFT senza ovvie truffe associate. Quando è stato informato che erano stati promossi da un account compromesso, l’ account Twitter ufficiale di Meta Battlebots ha risposto: “Nessun problema”. Un attimo dopo, hanno bloccato l’account del giornalista, ponendo fine alla conversazione.

Dipanjan Das, un ricercatore di sicurezza presso l’UC Santa Barbara che ha condotto uno studio approfondito sulle frodi NFT, afferma che un badge di verifica aggiunge un timbro di autenticità e un truffatore con un profilo Twitter verificato può attirare un’attenzione molto più forte e avere un impatto maggiore. E prendendo di mira l’ecosistema NFT multimiliardario, sia gli hacker che gli acquirenti o i truffatori possono recuperare i loro costi in pochi tweet prima che i proprietari dell’account avviino il processo di recupero.

Ampio è il modo in cui gli hacker si intromettono:

La maggior parte degli hacker dietro i furti di Twitter con il verificato si affida a un attacco chiamato “credential stuffing”,in questo tipo di attacco, gli hacker iniziano con un vasto database trapelato di combinazioni di nome utente e password, che non sono più difficili da trovare, grazie all’aumento di violazioni su larga scala. L’intruso usando la “forza bruta” per il nome utente e le password dalle credenziali abbinate sul modulo di accesso di Twitter e mette in vendita i successi di successo nei loro gruppi.

Un ex hacker di nome “Owen”, che ha lavorato allo sviluppo di programmi di riempimento delle credenziali, ha detto che in un dato momento decine di profili verificati sono compromessi e cercano un acquirente. In una conversazione DM che ho visto, un potenziale acquirente ha detto che stava cercando qualcuno con esperienza nel furto di NFT con profili verificati. “Posso fornirti circa 500 ‘verificati’ entro il prossimo mese”, ha aggiunto e mentre i compromessi individuali possono essere un fastidio per utenti come Pearl, è abbastanza strano che le piattaforme non sembrino turbate dal commercio di account per questi scopi.