“I am giving back to my community due to Covid-19!”
dal profilo Twitter di Barack Obama
Mercoledì sera di metà Luglio. Non è particolarmente caldo, stasera, complice una perturbazione che ha portato piogge e temporali in gran parte dell’Italia. Sarà però una nottata calda su Twitter, che inizia intorno alle 23:00 ora italiana (UTC +2).
Da svariati account Twitter verificati di personalità importanti del mondo politico, imprenditoriale e dello spettacolo statunitensi arriva un invito a inviare i propri BitCoin a un certo indirizzo, con la promessa che saranno restituiti “raddoppiati”.
Su Twitter scoppia il caos (e il caso). I tweet vengono subito ricondivisi e rimbalzati in ogni parte del network, tra cui non mancano le richieste di chiarimenti a @TwitterSupport. Parte subito l’hashtag #twitterhacked.
Nel frattempo aumentano le transazioni sull’indirizzo BitCoin indicato, la cui prima transazione nota risale alle 21:03 del 15 luglio 2020-07-15. Al momento sono 376 transazioni, per un totale di 12.86584703 BTC ricevuti (equivalenti, al cambio attuale, a oltre 117.000$. Poco più di 100.000€).
Anche se l’indirizzo è stato quasi subito segnalato sul Bitcoin Abuse Database, la promessa del raddoppio sembra sia riuscita a raccogliere un bel po’ di soldi. Un bottino niente male, anche se sarà tutta da verificare la reale entità della truffa messa in atto. Qualcuno già la chiama la più grande truffa (“scam”) coordinata via Twitter, che vede coinvolte personalità (quantomeno i loro account Twitter) del calibro dell’ex presidente Obama, Bill Gates, Elon Musk, Jeff Bezos…
Quali saranno le conseguenze per il popolare social network non lo sappiamo ed è sicuramente presto per dirlo. Sarà interessante capire come sia stato possibile, ovviamente. Nel frattempo Twitter ha bloccato tutti gli account verificati, che da ieri sera non possono più postare (certe volte è bello “essere nessuno”). Sicuramente questo attacco massiccio agli utenti di Twitter (come ogni scam, fa leva sulla credibilità del presunto autore del post per indurre gli utenti a inviare denaro) avrà delle conseguenze pesanti sulla sua reputazione.
Alle 4:38 del mattino del 16 Luglio 2020, arriva una prima risposta da @TwitterSupport:
Our investigation is still ongoing but here’s what we know so far:
@TwitterSupport
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools. We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. We’re looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.
Once we became aware of the incident, we immediately locked down the affected accounts and removed Tweets posted by the attackers. We also limited functionality for a much larger group of accounts, like all verified accounts (even those with no evidence of being compromised), while we continue to fully investigate this. This was disruptive, but it was an important step to reduce risk. Most functionality has been restored but we may take further actions and will update you if we do. We have locked accounts that were compromised and will restore access to the original account owner only when we are certain we can do so securely. Internally, we’ve taken significant steps to limit access to internal systems and tools while our investigation is ongoing. More updates to come as our investigation continues.
Se fosse confermato il data breach (“who successfully targeted some of our employees with access to internal systems and tools”) le dimensioni del disastro sarebbero enormi. Spero che la password del Vostro account Twitter non sia utilizzata anche per altri account, perché potrebbe -potenzialmente- essere stata compromessa, insieme a tutti gli altri dati personali che avete inserito.
Alla fine, il consiglio per non cadere nelle truffe è sempre lo stesso: non credete mai ciecamente a ciò che leggete su Internet, soprattutto quando vi chiedono denaro. Che sia per una presunta sanzione, regalo, donazione, fate sempre le necessarie e opportune verifiche prima di cadere nella trappola: ciò che inviate, spesso e volentieri, è già perso.