Hackean el Twitter de Google Suite para promover estafa de Bitcoin

En el último de una serie de ataques informáticos relacionados con la criptomoneda en Twitter, hackers han violado una cuenta oficial de Google para promocionar una estafa de obsequio de 0.12% de Bitcoin $ BTC a sus más de 800,000 seguidores. La cuenta oficial de G Suite en Twitter acaba de enviar el siguiente mensaje a cientos de miles de usuarios:

Hackean cuenta en Twitter de G Suite para promover estafa de Bitcoin

Hard Fork aún no ha confirmado por cuánto tiempo permaneció el tweet en el feed de G Suite; pero no fueron menos de 11 minutos como podáis notar en la captura de pantalla. (Actualización 19:52 UTC, 13 de noviembre: Ernst Mulders, quien proporcionó el captura de pantalla arriba, le dijo a Hard Fork que el tweet desapareció un par de minutos después de que tomara el screengrab).

Google aún no ha resuelto el contratiempo con una declaración oficial. (Hemos contactado para hacer comentarios. Actualizaremos este artículo en consecuencia si nos responden).

Con este desarrollo, Big G se une a la larga lista de víctimas; que ahora incluye numerosos gigantes minoristas, políticos y cuentas gubernamentales.

Targer también fue víctima

Anteriormente, el gigante minorista estadounidense Target fue víctima de la misma táctica maliciosa. De hecho, la compañía confirmó que un tweet vinculado a un sorteo de Bitcoin malicioso permaneció en su feed durante aproximadamente media hora.

Hackean cuenta en Twitter de G Suite para promover estafa de Bitcoin

El incidente de G Suite tuvo lugar momentos después de que Twitter le dijera a Hard Fork que está trabajando para frenar las fallas relacionadas con la criptomoneda en su plataforma.

«Temprano esta mañana, se accedió de manera inapropiada a la cuenta de Twitter de Target», dijo un portavoz de la compañía a Hard Fork en un correo electrónico. «El acceso duró aproximadamente media hora y se publicó un tweet falso durante ese tiempo sobre una estafa de Bitcoin».

«Estamos en contacto cercano con Twitter, hemos eliminado el tweet. También hemos bloqueado la cuenta mientras investigamos más», dijo el gigante minorista a Hard Fork. Desafortunadamente, el origen de la violación sigue sin estar claro.

Aprovechando sus casi dos millones de seguidores, los atacantes tuitearon enlaces a un sorteo falso; alentando a los usuarios a enviar pequeñas cantidades de criptomoneda para tener la oportunidad de ganar 5,000 BTC (más de $ 31 millones).

Vale la pena señalar que los atacantes también se habían apoderado de un montón de otras cuentas de alto perfil; tal vez en un esfuerzo por hacer que el enlace de sorteo publicado desde el perfil de Target parezca más legítimo.

La semana pasada, varias compañías minoristas en línea y la segunda compañía cinematográfica más grande de Europa, Pathé, cayeron víctimas del mismo ataque. Más recientemente, los piratas informáticos pudieron secuestrar las cuentas de políticos estadounidenses e israelíes, así como del Consulado de la India en Frankfurt, para engañar a los usuarios confiados de sus monedas.

Con este desarrollo, Big G se une a la larga lista de víctimas; que ahora incluye numerosos gigantes minoristas, políticos y cuentas gubernamentales.

Cómo llevan a cabo estas estafas

Estas estafas de «hacerse rico rápido» son bastante simples. Un hacker secuestra una cuenta verificada de Twitter con contraseñas robadas o filtradas. Luego, el pirata informático intercambia el nombre, la biografía y la foto de la cuenta; y posteriormente suelta una respuesta con «aquí es a dónde puede enviar su bitcoin» o algo similar.

El resultado final aparece como si la cuenta secuestrada estuviera respondiendo a su propio tweet; y empujando a los infortunados propietarios de bitcoin para que dejaran caer sus monedas en los cofres del estafador o acceder a sus supuestos sorteos.

Una de las últimas «víctimas» fue @FarahMenswear. El minorista de ropa, con unos 15.500 seguidores, fue pirateado la mañana del lunes para promover un «sorteo de bitcoins». En el corto tiempo que comenzó la estafa, la dirección de bitcoin ya tenía más de 100 transacciones y más de 5.84 bitcoins. Muchos usuarios de Twitter dijeron que los estafadores «promovieron» el tweet; amplificando la estafa para llegar a muchas más personas.

Por un lado, esta estafa es deprimentemente fácil de lograr que incluso yo podría haberlo hecho. Deprimiendo en el otro, porque eso es medio salario para el reportero promedio.

Aún así, esos $ 37,000 son una gota en el océano para algunos de los otros estafadores exitosos que existen. Un estafador la semana pasada, esta vez usando @PantheonBooks, ganó $ 180,000 en un solo día engañando a las personas para que entregaran su bitcoin y prometiendo grandes retornos.

¿Por qué la estafa es tan fácil?

De acuerdo, es inteligente. Pero es un problema generalizado que puede atribuirse en gran medida al enfoque despreocupado y laissez-faire de Twitter para la seguridad de las cuentas.

El hilo común de todas estas estafas de criptomonedas involucra el secuestro de cuentas. A menudo, los piratas informáticos utilizan el relleno de credenciales; es decir, que utilizan las mismas contraseñas robadas de otras infracciones en otros sitios y servicios; esto para acceder a las cuentas de Twitter.

En casi todos los casos exitosos, las cuentas de Twitter pirateadas no están protegidas con autenticación de dos factores. Las cuentas de marca compartidas por múltiples usuarios de redes sociales casi nunca usan dos factores, porque es difícil compartir tokens de acceso.

Un portavoz de Twitter dijo que ha mejorado la forma en que maneja las estafas de criptomonedas; y ha visto una reducción significativa en la cantidad de usuarios que ven tweets de estafa. La compañía también dijo que los estafadores están cambiando constantemente sus métodos; y Twitter está tratando de mantenerse un paso adelante. En muchos casos, estas estafas se eliminan del sitio incluso antes de que se informen.

Y, Twitter dijo que regularmente les recuerda a los propietarios de cuentas que activen configuraciones de seguridad más fuertes, como la autenticación de dos factores.

Bueno, ya basta, Twitter. Podéis llevar un caballo al agua pero no podéis hacer que beba. Tal vez sea hora de que acerques el agua un poco más.

Hasta que aparezca algo mejor, Twitter debería hacer que la autenticación de dos factores sea obligatoria para las cuentas verificadas; especialmente las de alto perfil, como los políticos. No es más que un inconveniente que cambiar dos factores para su bandeja de entrada de correo electrónico u otra cuenta de red social.

La configuración ya está allí; incluso implementó la autenticación más segura basada en la aplicación hace un año para dar a los usuarios la opción de cambiar del sistema de mensajes de texto menos seguro.

:)