Graham Ivan Clark, un adolescente de Florida, hackeó las cuentas de Twitter de destacados políticos, celebridades y magnates de la tecnología para estafar a las personas de todo el mundo con más de 100 mil dólares en Bitcoin, informaron las autoridades.
El chico de 17 años fue arrestado el viernes en Tampa, donde la Fiscalía del Estado de Hillsborough procesará el caso. Enfrenta 30 cargos por delitos graves, según un comunicado de prensa.
El ataque consistió en el envío de tweets falsos desde las cuentas de Barack Obama, Joe Biden, Mike Bloomberg y varios multimillonarios tecnológicos, incluido el CEO de Amazon Jeff Bezos, el cofundador de Microsoft Bill Gates y el CEO de Tesla, Elon Musk. Las celebridades Kanye West y su esposa, Kim Kardashian West, también fueron hackeados.
Los tweets ofrecían enviar 2 mil dólares por cada mil dólares enviados a una dirección anónima de Bitcoin.
Twitter dijo anteriormente que los hackers usaron el teléfono para engañar a los empleados de la empresa de redes sociales para que les dieran acceso. Dijo que apuntó «a un pequeño número de empleados a través de un ataque telefónico de phishing».
«Este ataque se basó en un intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas para obtener acceso a nuestros sistemas internos», tuiteó la compañía.
Después de robar las credenciales de los empleados y entrar en los sistemas de Twitter, los piratas informáticos pudieron apuntar a otros empleados que tenían acceso a herramientas de soporte de cuentas, dijo la compañía.
Los hackers apuntaron a 130 cuentas. Se las arreglaron para tuitear desde 45 cuentas, acceder a las bandejas de entrada de mensajes directos de 36 y descargar los datos de Twitter desde siete. El legislador holandés anti-Islam Geert Wilders dijo que su bandeja de entrada estaba entre las personas a las que accedió.
Spear-phishing es una versión más específica de phishing, una estafa de suplantación de identidad que utiliza el correo electrónico u otras comunicaciones electrónicas para engañar a los destinatarios para que entreguen información confidencial.
Twitter dijo que proporcionaría un informe más detallado más adelante «dada la investigación policial en curso».
La compañía dijo anteriormente que el incidente fue un «ataque coordinado de ingeniería social» que tuvo como objetivo a algunos de sus empleados con acceso a sistemas y herramientas internos. No proporcionó más información sobre cómo se llevó a cabo el ataque, pero los detalles revelados hasta el momento sugieren que los piratas informáticos comenzaron a usar el método anticuado de hablar más allá de la seguridad.
El analista británico de ciberseguridad Graham Cluley dijo que su suposición era que un empleado o contratista específico de Twitter recibió un mensaje por teléfono pidiéndole que llame a un número.
«Cuando el trabajador llamó al número, podría haber sido llevado a un operador de servicio de asistencia convincente (pero falso), que luego pudo utilizar técnicas de ingeniería social para engañar a la víctima prevista para que entregara sus credenciales», escribió Clulely el viernes en su blog.
También es posible que los hackers pretendan llamar desde la línea de ayuda legítima de la compañía, falsificando el número, dijo.