Když Kirk pomocí telefonického spear phishingu získal pěkně postaru (jako za dob Kevina Mitnicka) od naivních zaměstnanců Twitteru přístup k administračnímu panelu sociální sítě, zneužil nejprve svoje nové privilegium k získání přístupu a následnému přeprodeji „OG účtů“ (prestižních krátkých twitterových adres).
Kdyby zůstal jen u toho, mohl mít možná dodnes klid. Na celou záležitost by se totiž přišlo až mnohem později a firma by to nejspíš v zájmu pozitivního PR zametla pod koberec. Jenže jak se říká, s jídlem roste chuť, a tak netrvalo dlouho a Kirk se spolu s jedním z přeprodejců těchto účtů na fóru OGusers.com (online tržišti pro přeprodej „vanity social media účtů“) pustil do mnohem většího podvodu, kterým na sebe ke smůle všech tří zúčastněných strhl příliš velkou pozornost. Šlo o bitcoinový scam podle starého známého „giveaway“ modelu, jen běžící přímo na účtech prominentních uživatelů Twitteru.
Podrobnosti: Musk, Bezos, Gates, Apple a další. Na účtech firem i celebrit se objevil podvodný tweet
V klasickém schématu zakládají podvodníci jen adresy, které jsou těm originálním podobné, zde tedy bylo poměrně rychle jasné, která bije a že jde ve skutečnosti o něco většího. Tato snaha monetizovat přístup k Admin panelu Twitteru se pro mladé podvodníky ukázala jako osudná, smyčka se totiž za celosvětové pozornosti médií začala rychle stahovat.
Přestože od zatčení podezřelých uplynulo už čtrnáct dní, informace o tom, co konkrétně Kirka prozradilo, zůstávají zatím stále utajené. Díky Chainalysis už alespoň víme, jak se podařilo pomocí blockchainové analýzy identifikovat jeho kumpány, tedy především Masona Shepparda (alias Chaewona).
K identifikaci posloužil Chainalysis Reactor, což je komerční produkt Chainalysis, který představuje vlastně takovou blockchainovou business inteligence. S jeho pomocí lze při troše štěstí, respektive nedůslednosti uživatelů, s poměrně velkou mírou úspěšnosti propojovat kryptoměnové transakce s entitami z reálného světa.
Chaewon si od Kirka za bitcoiny koupil vlastní vanity adresu na Twitteru a následně provedl sérii nákupů dalších adres pro své „klienty“, kteří si chtěli také užít vlastních prestižních jmen účtů. Reactor ukázal sérii transferů s celkovou hodnotou okolo 3,69 BTC z peněženky se základní adresou bc1qdme7m3zy450m5gl0w9n2mrh8t8h6448×fzdlvv směrem k peněžence, která patřila právě Kirkovi.
Vyšetřující agenti byli schopní tuto peněženku přiřadit Chaewonovi mimo jiné i proto, že načasování transakcí směrem ke Kirkově peněžence se shodovalo s požadavky na platby, které Kirk zadával během komunikace obou útočníků na serveru Discord.
Další analýza ukázala, že větší množství příchozích transakcí odpovídá svým načasováním, zadanými částkami a v některých případech i doprovodnými poznámkami uživatelů u transakcí platbám za odcizené twitterové účty pro uživatele fóra OGusers.com.
Jak se ale ukázalo, že adresa bc1qdme7m3zy450m5gl0w9n2mrh8t8h6448×fzdlvv patří zrovna Chaewonovi?
Nikterak překvapivě, zradila jej transakční historie a ve finále jej pak „napráskaly“ centralizované burzy. Analýza ukázala, že transakční historie Chaewonovy peněženky zahrnuje i větší množství transakcí mezi centralizovanými burzami, jmenovitě dvěma účty na Binance. Agentům pak stačilo kontaktovat burzu a ukázalo se, že oba účty jsou vedeny na jméno Mason Sheppard s kontaktním emailem masonshppy@gmail.com.
Agenti zároveň využili toho, že databáze serveru uživatelů OGusers byla v minulosti hacknuta a databáze s uživatelskými kontakty a dalšími detaily tak byla veřejně k dispozici. Tak se jim podařilo zjistit, že IP adresa, která byla s Chaewonovým účtem spojená, je využívaná také dalším účtem pojmenovaným Mas. Oba účty navíc využívaly stejnou (výše uvedenou) e-mailovou adresu. Odtud vedla poměrně snadná cesta. Stačilo po burzách s KYC, na které mají američtí vyšetřovatelé dosah, rozeslat dotaz, zda stejnou emailovou adresu nevyužívají také některé u nich vedené účty. Ukázalo se, že takové účty existují a několik z nich bylo vedeno u kontroverzní americké burzy Coinbase.
Zde již nabraly věci poměrně rychlý spád. Coinbase potvrdila existenci účtů, a protože jde o americkou burzu s poměrně přísným KYC, poskytla vyšetřovatelů detailní informace (včetně Sheppardova řidičáku, data narození a adresy trvalého bydliště) o hledané osobě.
Navíc hacknutá databáze OGusers odhalila ještě bitcoinovou adresu 188ZsdVPv9Rkdiqn4V4V1w6FDQVk7pDf4, z níž Chaewon v minulosti platil jinému uživateli za prodej videohry. Z blockchainové analýzy přitom vypadlo, že tato adresa v minulosti přijala platbu z peněženky, která byla Sheppardova. Pospojováním těchto střípků vzniklo dostatek důkazů proto, že Chaewon, který zprostředkovával přeprodej ukradených Twitter účtů pro Kirka a následně se s ním podílel na bitcoinovém scamu, je táž osoba jako reálný Mason Sheppard.
Jaké z toho plyne poučení
Přestože Mason Sheppard využíval na internetu různé identity při interakci s Kirkem a dalšími konspirátory a na veřejných platformách nikdy veřejně nezveřejnil nic, co by ho mohlo spojit s jeho skutečnou identitou, stačila ve finále maličkost – nedostatečná znalost, nebo ignorace toho, jak funguje pseudonymní bitcoinový blockchain.
Prostřednictvím analýzy transakcí na bitcoinových adresách, které Sheppard pod Chaewonem a dalšími svými identitami zveřejnil, mohli vyšetřující agenti poměrně pohodlně dosledovat trasu až ke dvěma ochotně spolupracujícím burzám (Coinbase a Binance), které vyzradily zbytek. Ironií je, že by vyšetřovatelé měli s celým případem mnohem více práce, kdyby se Sheppard chýlil k využití fiat měny. V případě použití hotovosti by mohla navíc stopa zmizet úplně.
Je s podivem, že když už si dá někdo na internetu takovou práci se skrýváním identity, a potažmo se navíc podílí na kriminální aktivitě, za kterou hrozí nemalé tresty, že si alespoň nezjistí základy o technologii, kterou používá. Kdyby Sheppard používal pouze jednorázové adresy a neexistovalo pojítko s KYC on-ramp/off-ramp službou (mohl například směňovat bitcoiny napřímo s jinými uživateli), mohli (pokud by se nenašly jiné důkazy) vyšetřovatelé možná tápat dodnes.
