Взлом твиттера, вывод денег и как хакеров словили

AML расследование. Почему блокчейн, не анонимен. Расследуем Хак Твиттера и задержание самих хакеров.

Для начала задам 2 переменных

Что такое AML — Борьба с легализацией денежных средств (anti-money launderingAML) включает в себя комплекс мер, направленных на предотвращение использования финансовой системы страны или конкретного финансового учреждения для легализации средств, полученных преступным путем, или финансирования терроризма.

Что такое KYC — Знай своего клиента — термин банковского и биржевого регулирования для финансовых институтов и букмекерских контор, а также других компаний, работающих с деньгами частных лиц, означающий, что они должны идентифицировать и установить личность контрагента, прежде чем проводить финансовую операцию

Неизвестные злоумышленники взломали Twitter-аккаунты CEO Binance Чанпэна Чжао, Билла Гейтса, Джеффа Безоса, Илона Маска и многие другие страницы. Они разместили там сообщения о фейковой раздаче 5000 BTC от неизвестного сайта Cryptoforhealth. Так же объявили о раздаче криптовалюты, отправь мне 1 биткоин я верну в 2 раза больше.

На адрес злоумышленников уже отправили 12,86 BTC. Скорее всего, какую-то часть они прислали себе сами, чтобы создать видимость участия людей.

Bitcoin / Address / bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh — Blockchair

Check Bitcoin (BTC) address bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh balance and its transactions

Так в чем же основная проблема? Сейчас биржи активно обмениваются данными о клиентах. Биткоин миксеры не работают ибо существуют определенное ПО Которое найдет каждую вашу сатоши даже через 10000 адресов. Так как сама сеть блокчейн предполагает прозрачность. Ну и конечно же мое любимое это KYC. Сами пользователи этой системы сделали из нее полностью открытую сеть, тем что предоставляют свои Данные таких платформам как Binance, HitBTC Итд.

Полная метрика перемещения средств между адресами.

Казалось бы все, его биткоин адрес во всех черных списках на каждой бирже, за адресом активно следят активисты. Все пропало.

Но нет) благо есть майнеры, и майнинг пулы по типу Nicehash которые примут любое грязное говно и накопают вам чистые монеты.

Рекомендую прочитать Неизвестный пользователь заплатил за две транзакции комиссии в ETH на $5.2 млн

Так что же произошло и как парни грамотно отмыли $5.2 млнв Эфире? минуя все сканы, черные списки и так далее.

Все очень просто, Видимо обладатели этих средств договорились с одним из майнинг пулом, что именно они направят весь свой хешерйт на подтверждение данной транзакции. И что бы словить комиссию за данную транзакцию которую указал получатель

После чего он отправляет транзакцию и указаывает комиссию в размере $5.2 млн ETH. Майнинг пул который словил данную транзакцию, подтверждает ее и формирует новый блок, в котором и находиться комиссия от этой транзакции $5.2 млн. Для всех AML систем это выглядит так что некий майнер только что поймал Блок в сети эфириум и получил награду за свой майнинг. https://etherscan.io/tx/0xc215b9356db58ce05412439f49a842f8a3abe6c1792ff8f2c3ee425c3501023c

На выходе вы получаете кристально чистую крипту.

Некоторых людей новости о поимке подозреваемых в взломе твиттера наводит на мысль что это подстава. Дурням дали\продали доступ, они там своими хипстерскими кроссовочками наследили, затоптав следы настоящей атаки, а теперь еще и сядут.

Ладно, едем дальше. 17-летний подросток из Флориды задержан по подозрению во взломе Twitter

Полиция США задержала 17-летнего жителя Тампы Грэма Кларка, обвинив его в причастности к недавней атаке на социальную сеть Twitter и мошеннической раздаче биткоина. Об этом сообщил местный телевизионный канал WFLA. Грэм

Кларк подозревается в причастности к атаке на Twitter, во время которой были взломаны страницы Илона Маска, Билла Гейтса и других бизнесменов и знаменитостей. В ходе атаке злоумышленник устроил от их имени раздачу криптовалюты, получив незаконным образом около $120 000 в BTC.

Прокурор штата Флорида объявил Кларку 30 обвинений, включая участие в организованном мошенничестве, 17 мошеннических схем с применением современных электронных средств коммуникации, а также 11 преступлений, связанных с неправомерным использованием личных данных.

Жертвами одного из этих преступлений стали как минимум 30 человек, которым был причинен ущерб на сумму более $100 000. На данный момент Грэм Кларк находится под стражей. Помимо него полиция задержала еще двух подозреваемых: 19-летнего гражданина Великобритании Мэйсона Шеппарда и 22-летнего американца Нима Фазели.

Первый обвиняется в организованном мошенничестве с применением электронных средств и отмывании денег, второй — в содействии противоправному получению доступа к компьютерным системам.

Напомним, 15 июля хакеры взломали ряд Twitter-аккаунтов и разместили в них сообщения о фейковой раздаче биткоинов. В компании заявили, что злоумышленники смогли завладеть учетными записями благодаря атаке с применением социальной инженерии, нацеленной на сотрудников соцсети, обладающих доступом к внутренним системам. Позже платформа сообщила, что хакеры скомпрометировали 45 аккаунтов знаменитостей путем сброса пароля. Согласно последней официальной информации, атаковавшие Twitter хакеры получили доступ к внутренним инструментам соцсети посредством фишинга, направленного на мобильные телефоны сотрудников. По данным Elliptic, более половины биткоинов, полученных благодаря взлому аккаунтов знаменитостей, злоумышленники пропустили через миксеры ChipMixer и Wasabi Wallet.

Небольшое расследование расследования по делу хакера, взломавшего Twitter!

Наверное, все помнят, как около 2 недель назад были взломаны более 50 крупных Twitter-аккаунтов (Маска, Гейтса, Обамы, Apple и др).

Правоохранители задержали троих подозреваемых – 17-летнего Graham Clark и 22-летнего Nima Fazeli («Rolex») из Флориды, а также 19-летнего Mason Sheppard («Chaewon») из Великобритании.

Во всей этой истории меня заинтересовало то, как вычислили реальных персонажей, стоящих за этой атакой. А точнее одного персонажа Mason Sheppard с ником «Chaewon».

Перед атакой на Twitter, пользователь «Chaewon» разместил на форуме «OGUsers» объявление о продаже услуги замены адреса эл. почты для Twitter-аккаунтов.

К несчастью для хакеров, данный форум был взломан 31.03.2020 г. (и до этого в конце 2018 г.), а его дамп находится в паблике.

Об этом и пишет спецагент налоговой службы США Tigran Gambaryan (Тигран Гамбарян) в своем отчете (PDF).

В дампе форума для пользователя «Chaewon» был найден адрес эл. почты (kpopisepic51@gmail.com) и IP-адреса (79.66.149.155 и 82.132.236.55).

С одного из этих IP также зарегистрирован пользователь «mmm» (f77twitter@gmail.com). Судя по нашей информации пароль этого пользователя «Mason123». С точно таким же паролем на форуме находится пользователь «Ghoxl» (20fdisciplina@gmail.com). Кстати, у «Chaewon» в мессенджере Kik имя «MasyOGF», такое же, как и у «mmm, о чем оба пользователя сообщали на форуме сами.

И вот тут начинаются странности с отчетом спецагента Тиграна Гамбаряна. Он пишет про связь «Chaewon» с неким пользователем «Mas» (masonhppy@gmail.com) по IP-адресу на том же самом форуме «OGUsers». Однако, никакого «Mas» с адресом masonhppy@gmail.com там нет, а есть связанные «mmm» и «Ghoxl» (см. выше) и пользователь «mas» (poop987@protonmail.com).

Пользователь «Chaewon» действительно оставлял сообщение на форуме с текстом “IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS!@”, как пишет спецагент. Кстати, “BRY” это сокращение от “BRYSON”, пользователь «Bryson» заблокирован на данном форуме за мошенничество.

Если внимательно анализировать дамп форума, то видно, что 15.05.2019 пользователь «mas» сменил имя на «Chaewon», а спустя почти месяц 19.06.2019 имя «mas» занял пользователь «wasdwasd123».

Далее спецагент находит адрес masonhppy@gmail.com в базе «Coinbase» и видит там имя/фамилию «mason sheppard».

Адрес masonshppy@gmail.com был засвечен в другом дампе «OGUsers», полученным в результате взлома этого форума 26.12.2018.

Если вы обратите внимание, то в отчете спецагента этот адрес в одном месте написан как masonshppy@gmail.com, а в другом месте как masonhppy@gmail.com. Эта досадная опечатка привела к тому, что адрес не нашелся в старом дампе с первого раза.

Спасибо asakyra & ashotog.

Отправить
Добавить

1 комментарий