La cuenta de Twitter verificada de la distribuidora de cine británica Pathe Films ha sido hackeada. Esta mañana los hackers han cambiado el nombre de la cuenta para el de Elon Musk y colocaron la misma foto que el tiene puesta en su cuenta del CEO para que pareciera real. Seguidamente, para darle un aire de credibilidad, retuitearon aproximadamente una docena de tweets de Elon Musk. Además, publicaron un tweet con un enlace de estafa de bitcoin.
Estafa de Bitcoin a través de Twitter
No intentando ser original, el hacker utilizó la estafa“giveaways”.
La estafa “giveaways”de criptomonedas consiste en que el estafador intenta convencer a los usuarios de Twitter mediante el uso de cuentas falsas que si le envían una pequeña cantidad de criptomonedas, este se compromete a devolverles el valor aumentado diez veces. Sin embargo, esto nunca ocurre. El estafador desaparece con los activos enviados por los usuarios de Twitter quienes nunca recuperan las criptomonedas.
Específicamente, pide a los usuarios un envío de 0,1 btc prometiendo que posteriormente recibirán 20 btc por la inversión.
La cuenta de Twitter de la editorial Pantheon Books fue comprometida por la misma estafa antes de que Pathe Films consiguiera recuperar el control de su cuenta.
Los tweets ya han sido borrados, estos decían: “¡Estoy dando 10.000 Bitcoin (BTC) a toda la comunidad! Dejé el puesto de director de Tesla, ¡gracias a todos por su apoyo! Decidí hacer el mayor sorteo de criptografía del mundo para todos mis lectores que usan Bitcoin. Participa en sorteos – musk.plus«.
Sin embargo, la cuenta todavía lleva su nombre y los retweets de SpaceX y Musk permanecen.
6 bitcoins en 24 horas
Tal como hemos mencionado, en enlace dirige a los usuarios a una página web no segura en la que se les solicita que verifiquen su dirección enviando 0.1 Bitcoin para obtener 20 a cambio. En la página se muestra una barra de progreso que muestra la cantidad de bitcoins que supuestamente queda. Además de la barra de disponibilidad disminuyendo lentamente, también muestra las actualizaciones que pretenden mostrar transacciones en vivo.
Aunque todo indicase que se trata de una estafa, el hecho de que Musk apareciese como nombre de la cuenta le daba cierta credibilidad. A Musk se le conoce por hacer bromas en Twitter. Un ejemplo de ello es una publicación reciente en la que afirmaba que había comprado el popular juego Fortnite y lo eliminó.
Otro punto que pudo llevar a sus seguidores a confiar en el tweet es uno de los trucos anteriores de Musk. En este su Boring Company vendía 20.000 lanzallamas.
Varias personas creyeron en la estafa hasta el punto de realizar el envía de 0,1 bitcoin. La publicación ganó miles de «me gusta» y «retweets». Fossbytes informa que se enviaron 6 btc (aproximadamente $ 38.000) a la wallet del pirata informático dentro de las 24 horas.
Verificación de Twitter
«Obtener acceso a una cuenta de redes sociales es un excelente método para entregar contenido malicioso, especialmente una cuenta verificada», explica Ed Williams, director de EMEA en SpiderLabs en Trustwave, una empresa de ciberseguridad.
«La marca azul en este escenario implica una cuenta de confianza. Consideraría que este es un ataque de baja tecnología, aunque sospecho que tendrá éxito en el corto plazo».
Ed Williams aconsejó proteger las cuentas en redes sociales con MFA (autenticación multifactor) y una cuenta sólida no compartida. Alertó también que utilizar un SMS en el MFA no es aconsejable ya que es un método débil para los hackers.
Otros casos
El nombre de Elon Musk ya ha sido usado por hackers en otras ocasiones. Su nombre ha sido usado por estafadores de criptomonedas anteriormente. Este año, en marzo, la BBC informó que había muchos perfiles falsos de Musk que promovían estafas criptográficas.
Hace apenas unos meses bitcoin.es publicó que la cuenta de Twitter verificada de un programa de televisión suspendido se estaba usando para promocionar una estafa de criptomonedas. Los estafadores esta vez escogieron suplantar la identidad de Justin Sun, el fundador y CEO de la compañía blockchain china TRON.
Un poco después bitcoin.es también publicó que un hacker había comprometido la cuenta de Twitter de un jugador británico de rugby y la había dejado igual que la de Donald Trump. En esta ocasión también se utilizó la estafa “giveaways”.