Un adolescent de Floride de 17 ans a été arrêté pour le piratage massif de Twitter qui ciblait des célébrités et des entreprises liées à la crypto-monnaie plus tôt en juillet. Les forces de l’ordre fédérales ont arrêté l’étudiant Graham Ivan Clark à Tampa vendredi après une enquête menée par le FBI et le DOJ.

Un communiqué de presse du bureau du procureur de l’État, Andrew Warren, indique que 30 accusations de crime ont été déposées contre Clark, qu’ils accusent d’avoir volé plus de 100000 dollars avec l’arnaque. Alors que les rapports initiaux suggéraient que le piratage Bit-Con aurait pu être effectué avec l’aide d’employés de Twitter, une enquête supplémentaire a révélé une autre voie d’attaque: le phishing ciblé.

Selon Ars Technica, Clark et les pirates avec lesquels il a travaillé ont récupéré des données de LinkedIn pour identifier les employés de Twitter susceptibles d’avoir accès aux outils backend qui pourraient être utilisés pour envoyer des Tweets à partir de divers comptes de célébrités de haut niveau. Les attaquants ont ensuite utilisé des outils de LinkedIn pour accéder aux numéros de téléphone portable des ingénieurs en question.

L’étape suivante consistait à contacter les employés et à leur demander de se connecter à une page de phishing qui imitait un VPN Twitter interne. Les pirates ont volé suffisamment de données d’historique de travail pour tromper les employés avec lesquels ils ont parlé, et le travail actuel des restrictions à la maison a également grondé les lignes de communication. Une fois que les employés ont tenté de se connecter au faux VPN Twitter, Clark et ses compatriotes ont volé les informations d’identification de leur compte et les ont utilisées pour accéder au site réel. L’authentification à deux facteurs a été contournée en faisant relayer les données du faux VPN aux pirates en temps réel, ce qui leur a permis de se connecter à un véritable Twitter quelques secondes après la génération des clés d’authentification 2FA. De là, il était relativement facile d’aller se défouler dans les parterres de fleurs.

Clark est accusé d’un chef de fraude organisée, de 11 chefs d’utilisation frauduleuse de renseignements personnels, de 17 chefs de fraude en matière de communications et d’un chef d’accès à un ordinateur sans permission. Il est poursuivi en Floride car il peut être jugé légalement à l’âge adulte pour des crimes financiers en vertu de la loi de Floride. Deux autres personnes ont également été inculpées: Mason Sheppherd (19 ans, Royaume-Uni) et Nima Fazeli (22 ans, Orlando).

Si Clark et ses co-conspirateurs avaient piraté Twitter simplement pour démontrer qu’ils pouvaient le faire, la situation dans son ensemble serait très différente. En ciblant autant de marques et d’entreprises de haut niveau, ils ont clairement indiqué qu’il ne s’agissait pas d’une tentative d’embarrasser Twitter ou d’exposer de mauvaises pratiques de sécurité. Il s’agissait d’une fraude financière délibérée perpétrée à un moment de grande anxiété financière où des personnes effrayées pourraient trouver ce genre de rumeur au moins un peu plus facile à croire qu’elles ne le feraient autrement.

