En juillet 2020, un piratage de comptes de Twitter avait fait grand bruit en touchant des comptes de personnalités et entreprises dont Barack Obama, Bill Gates, Jeff Bezos, Elon Musk, Joe Biden, Uber ou encore Apple.
Sur les comptes usurpés, des messages frauduleux avaient été publiés pour demander l'envoi d'une somme en bitcoins à une adresse, avec la promesse d'en gagner le double en échange. Trois jeunes hommes ont été inculpés par la justice américaine.
Capture ; crédits : Krebs on Security
Mineur à l'époque des faits et considéré comme le cerveau de l'opération, un habitant de Floride aujourd'hui âgé de 18 ans a plaidé coupable. Il a accepté une peine de trois ans dans une prison pour jeunes adultes. Il évite une peine d'un minimum de dix ans de prison s'il avait été condamné en tant qu'adulte.
Selon le Tampa Bay Times, le jeune homme aura interdiction d'utiliser un ordinateur sans la supervision des forces de l'ordre. Il devra en outre se soumettre à une fouille de ses biens et donner tous les mots de passe de comptes qu'il contrôle.
Une attaque rondement menée
L'arnaque au don de Bitcoin avait été à hauteur de plus de 100 000 dollars. Dans cette affaire, Twitter avait déterminé que des attaquants avaient pris pour cible un petit nombre d'employés du groupe via du spear phishing par téléphone après avoir glané tout un ensemble de renseignements sur eux, notamment sur LinkedIn et d'autres sources publiques.
Les attaquants avaient profité du contexte de la pandémie de coronavirus et d'une organisation de télétravail avec des procédures inhabituelles afin de gagner la confiance des employés. Ces derniers ont été dirigés vers une page de phishing imitant un VPN interne de Twitter afin d'obtenir des identifiants et un accès à des outils internes.
Par la suite, Twitter a assuré avoir renforcé la protection de ses outils internes contre des abus potentiels et les contrôles auxquels les employés concernés doivent se soumettre, avec en outre des justifications spécifiques pour l'accès à des données.
