Dopo un’indagine durata circa due settimane e condotta da FBI, IRS (Internal Revenue Service), U.S. Secret Service, forze dell’ordine della Florida e NCA (National Crime Agency) del Regno Unito, il 31 luglio sono stati individuati e arrestati gli autori dell’attacco informatico contro Twitter del 15 luglio. La mente dietro il più grande hack della storia del social network è un minorenne di Tampa (Florida).
Il Dipartimento di Giustizia degli Stati Uniti ha pubblicato un comunicato ufficiale con i nomi di due individui: Mason Sheppard (alias Chaewon), 19enne di Bognor Regis (Regno Unito), e Nima Fazeli (alias Rolex), 22enne di Orlando (Florida). Il primo è accusato di frode, riciclaggio di denaro e accesso intenzionale ad un computer protetto. Il secondo è accusato di aver favorito l’accesso intenzionale ad un computer protetto.
Il terzo cybercriminale, considerato la mente del gruppo, si chiama Graham Ivan Clark (alias Kirk), 17enne di Tampa (Florida). Il minorenne è accusato di oltre 30 reati, tra cui frode organizzata, uso fraudolento di informazioni personali, accesso non autorizzato ad un computer protetto e frode nelle comunicazioni. Se giudicati colpevoli, Sheppard e Fazeli rischiano 5 e 20 anni di carcere, rispettivamente. Non si conosce la massima pena prevista per Clark, ma verrà trattato come un adulto, in base alla legge della Florida.
L’indagine proseguirà nei prossimi giorni per individuare altre persone che potrebbero aver partecipato all’attacco contro Twitter. L’azienda californiana aveva spiegato che l’accesso ai tool interni era stato ottenuto tramite “phone spear phishing“. Un ricercatore di sicurezza che ha collaborato con l’FBI ha fornito nuovi dettagli sull’accaduto.
I cybercriminali hanno cercato su LinkedIn informazioni sui dipendenti di Twitter, in particolare il loro numero di telefono. Gli autori dell’attacco hanno quindi chiamato i dipendenti, facendogli credere di essere colleghi di lavoro e convincendoli ad inserire le loro credenziali di accesso (user ID, password e PIN dell’autenticazione in due fattori) in una pagina simile a quella del portale VPN di Twitter.
La tecnica di ingegneria sociale ha avuto successo perché i dipendenti lavorano in smart working (a causa della pandemia COVID-19), per cui non hanno potuto verificare l’identità dei (falsi) colleghi con le procedure di sicurezza presenti in ufficio.
Gli investigatori hanno scoperto i tre cybercriminali grazie alle loro discussioni sul forum OGUsers, il cui database con account, indirizzi email, post pubblici, messaggi privati e indirizzi IP era in possesso dell’FBI. Gli esperti della Cyber Crime Unit dell’IRS sono riusciti a trovare gli autori dell’hack attraverso gli indirizzi dei portafogli Bitcoin. Il caso rappresenta è un esempio classico del famoso “follow the money“.