Les escrocs piratent des comptes vérifiés et les utilisent pour imiter le chef de Tesla dans le cadre d’une nouvelle arnaque de bitcoin.

Les pirates ont compromis une série de comptes Twitter très en vue afin de monter arnaque au bitcoin dans laquelle ils se font passer pour le chef de la direction de Tesla, Elon Musk.

Les comptes Twitter vérifiés du producteur de films Pathe UK, du détaillant de mode britannique Matalan, de l’éditeur américain Pantheon Books et du label indépendant Marathon Artists font partie des comptes détournés par des attaquants.

Dans certains cas, les escrocs ont même utilisé des tweets promotionnels pour aider la campagne à toucher un plus grand nombre d’utilisateurs de Twitter. Les comptes Twitter sont vérifiés avec une puce bleue, aidant les utilisateurs à déterminer si les comptes de particuliers et d’entreprises bien connus sont authentiques, et les pirates informatiques semblent exploiter ce badge d’authenticité pour rendre les escroqueries plus efficaces.

« Pouvoir détourner des comptes vérifiés est une mine d’or potentielle pour les arnaques aux cryptomonnaies, qui misent sur la visibilité du PDG de Tesla », a déclaré à ZDNet Chris Boyd, responsable de l’intelligence des programmes malveillants chez Malwarebytes.

« Les comptes vérifiés n’ont pas besoin d’authentification supplémentaire pour modifier les détails de base du profil, tels que le nom ou l’avatar, et une fois le compte compromis, vous pouvez alors commencer à diffuser des annonces non autorisées en vous faisant passer pour Elon Musk », explique l’employé de MalwareBytes.

Les comptes piratés sont modifiés pour utiliser le nom et l’apparence du PDG de Tesla et prétendre qu’il donne de la cryptomonnaie. Les comptes retweetent également divers messages de Musk, Tesla et Space X, dans le but de ressembler davantage au compte réel Elon Musk.

Le compte pirate demande de contribuer une petite quantité de bitcoin en échange d’une plus grande quantité – mais les utilisateurs ne reçoivent rien de la somme promise.

Les portefeuilles bitcoins associés à l’arnaque suggèrent que la campagne a été un succès pour les attaquants : près de 400 utilisateurs ont contribué pour un total combiné de 28 bitcoins aux portefeuilles de cryptomonnaie utilisés par les cybercriminels, ce qui représente actuellement l’équivalent de 137 000 £ (157 525,34 euros)

Les escrocs ont souvent utilisé d’autres comptes compromis pour répondre à la publication initiale, affirmant qu’ils avaient reçu un paiement en bitcoins de manière à amener les utilisateurs à croire que l’offre était légitime.

Dans la plupart des cas, les comptes affectés ont été récupérés et les tweets en question supprimés en l’espace de quelques heures, mais dans certains cas, les comptes compromis ont continué d’afficher les publications des attaquants pendant une période prolongée.

Dans les deux cas, les escroqueries ont duré assez longtemps pour permettre aux attaquants de convaincre les utilisateurs de Twitter de leur verser des bitcoins. Mais la modération de Twitter indique qu’elle réagit à ces incidents aussi efficacement que possible.

« Emprunter l’identité d’une autre personne pour tromper les utilisateurs est une violation flagrante des règles de Twitter. Twitter a également considérablement amélioré la manière dont nous abordons les escroqueries par cryptomonnaie sur la plate-forme », a déclaré un porte-parole de Twitter à ZDNet. « Ces dernières semaines, le nombre d’usurpations des utilisateurs a été divisé par 10, alors que nous continuons d’investir dans des outils plus proactifs pour détecter les spams et les activités malveillantes. C’est une amélioration significative par rapport aux taux précédents », ont-ils ajouté.

Twitter n’oblige pas la mise en place de l’authentification à deux facteurs (2FA) sur les comptes vérifiés, mais la recommande par précaution aux utilisateurs. Cependant, la manière dont les comptes sont régulièrement compromis suggère que de nombreux utilisateurs n’adoptent pas cette couche de protection supplémentaire.

Certains utilisateurs sont prêts à sacrifier un peu plus de sécurité pour la facilité d’accès à leurs comptes estime Chris Boyd de Malwarebytes : « il n’y a pas de moyen facile de forcer les utilisateurs vérifiés à conserver les paramètres de sécurité, tels que l’authentification deux facteurs, et il suffit d’un phishing réussi pour déclencher une arnaque », a-t-il déclaré.

« De nombreux comptes vérifiés sont utilisés par plusieurs personnes, et je suppose que certains désactivent certaines des fonctionnalités de sécurité pour en faciliter l’utilisation. C’est là que les choses ont tendance à commencer à aller de travers » poursuit le chercheur.

Un porte-parole de Pathe UK a déclaré à ZDNet que la société avait été piratée par « une tierce partie inconnue », mais que le problème était « maintenant résolu ». Ils n’ont pas confirmé si le compte utilisait l’authentification à double facteur avant l’attaque.

Matalan a également repris le contrôle de son compte en a déclaré aux utilisateurs: « Nos excuses pour le bref interlude. Vous savez que vous êtes important lorsque quelqu’un prend le temps de pirater votre compte! »

ZDNet a contacté Matalan, mais n’a pas reçu de réponse au moment de la rédaction. Aucune des entreprises concernées n’a expliqué en détail comment elles ont été victimes de ces escroqueries, mais c’est probablement une attaque de phishing.

Ce type d’escroquerie sur Twitter a fait son apparition au début de l’année. Des comptes non vérifiés prétendaient être Elon Musk et réclamaient du bitcoin aux utilisateurs. Le même type de campagne a également vu des assaillants se faire passer pour d’autres personnes et entreprises de premier plan. Musk a déjà demandé à Jackson Palmer, co-créateur de Dogecoin, d’aider à résoudre ce problème de comptes frauduleux.