Cibercriminosos de criptomoedas estão abusando de um “recurso” legítimo do Twitter para promover golpes, brindes falsos e canais fraudulentos do Telegram usados para roubar suas criptomoedas e NFTs. Os hackers estão usando a plataforma para se passar por contas de alto perfil
Roubo de criptomoedas sendo promovido no Twitter
No X, o URL de uma postagem consiste no nome da conta da pessoa que tuitou e um ID de status: https://twitter.com/[account_name]/status/[status_id]. O site usa o ID de status para determinar qual postagem deve ser carregada do banco de dados do site, sem se preocupar em verificar se o nome da conta é válido.
Isso permite que você pegue um URL para um Tweet e modifique o nome da conta para o que quiser, até mesmo para contas de alto perfil. Ao visitar o URL, o site simplesmente redireciona você para o URL correto associado ao ID. Por exemplo, https://twitter.com/BleepinComputer/status/1736650221243826564 parece uma postagem legítima de nossa conta @bleepincomputer X. No entanto, clicar nele leva você a uma postagem de Elon Musk, já que o ID está associado a um de seus tweets.
O BleepingComputer relatou anteriormente sobre esse recurso em 2019, quando o pesquisador de segurança Davy Wybiral expressou preocupação de que o recurso pudesse ser usado para phishing. Porém, época, não foi abusado em ataques de phishing.
Golpes de criptografia que abusam de “recurso”
O pesquisador de segurança MalwareHunterTeam disse ao BleepingComputer que os cibercriminosos começaram a usar esse mecanismo de redirecionamento do Twitter nas últimas duas semanas, se não mais, para criar URLs que parecem pertencer a organizações legítimas e conhecidas. Todas as organizações representadas vistas pelo site são contas relacionadas à criptografia, como Binance (11 milhões de seguidores), Ethereum Foundation (3 milhões), zkSync (1,3 milhão) e Chainlink (1 milhão).
Embora os itens acima pareçam tweets de Binance, Ethereum e zkSync, eles redirecionaram para tweets de um usuário X não relacionado promovendo fraudes de criptografia. O BleepingComputer observou tweets promovendo brindes falsos de criptografia, sites que utilizam drenadores de carteira e canais Discord promovendo pump-and-dumps.
O tweet falso do zkSync levou a uma página que se fazia passar pela empresa e promovia um site que a comunidade X diz ser um drenador de criptografia, o que significa que quando você conecta sua carteira, ela rouba automaticamente todos os ativos criptográficos e NFTs.
Quase todas as contas vistas pelo BleepingComputer que abusam desse recurso para promover postagens de fraudes criptográficas usam um nome de conta no formato nome + 5 dígitos, como @amanda_car16095.
É possível filtrar alguns desses tweets ativando o Filtro de qualidade em Configurações > Notificações > Filtros. No entanto, você corre o risco de os tweets que deseja ver serem filtrados incorretamente.
A maioria dos usuários deve ser capaz de identificar imediatamente um tweet fraudulento ao ver que a conta é diferente da que estava no URL. No entanto, alguns, como o URL zkSync, podem passar despercebidos porque o golpista criou uma conta na empresa com seu nome de usuário.