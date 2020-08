Když Kirk pomocí telefonického spear phishingu získal pěkně postaru (jako za dob Kevina Mitnicka) od naivních zaměstnanců Twitteru přístup k administračnímu panelu sociální sítě, zneužil nejprve svoje nové privilegium k získání přístupu a následnému přeprodeji „OG účtů“ (prestižních krátkých twitterových adres).

Kdyby zůstal jen u toho, mohl mít možná dodnes klid. Na celou záležitost by se totiž přišlo až mnohem později a firma by to nejspíš v zájmu pozitivního PR zametla pod koberec. Jenže jak se říká, s jídlem roste chuť, a tak netrvalo dlouho a Kirk se spolu s jedním z přeprodejců těchto účtů na fóru OGusers.com (online tržišti pro přeprodej „vanity social media účtů“) pustil do mnohem většího podvodu, kterým na sebe ke smůle všech tří zúčastněných strhl příliš velkou pozornost. Šlo o bitcoinový scam podle starého známého „giveaway“ modelu, jen běžící přímo na účtech prominentních uživatelů Twitteru.

V klasickém schématu zakládají podvodníci jen adresy, které jsou těm originálním podobné, zde tedy bylo poměrně rychle jasné, která bije a že jde ve skutečnosti o něco většího. Tato snaha monetizovat přístup k Admin panelu Twitteru se pro mladé podvodníky ukázala jako osudná, smyčka se totiž za celosvětové pozornosti médií začala rychle stahovat.

Přestože od zatčení podezřelých uplynulo už čtrnáct dní, informace o tom, co konkrétně Kirka prozradilo, zůstávají zatím stále utajené. Díky Chainalysis už alespoň víme, jak se podařilo pomocí blockchainové analýzy identifikovat jeho kumpány, tedy především Masona Shepparda (alias Chaewona).

K identifikaci posloužil Chainalysis Reactor, což je komerční produkt Chainalysis, který představuje vlastně takovou blockchainovou business inteligence. S jeho pomocí lze při troše štěstí, respektive nedůslednosti uživatelů, s poměrně velkou mírou úspěšnosti propojovat kryptoměnové transakce s entitami z reálného světa.

Chaewon si od Kirka za bitcoiny koupil vlastní vanity adresu na Twitteru a následně provedl sérii nákupů dalších adres pro své „klienty“, kteří si chtěli také užít vlastních prestižních jmen účtů. Reactor ukázal sérii transferů s celkovou hodnotou okolo 3,69 BTC z peněženky se základní adresou bc1qdme7m3zy450m5gl0w9n2m­rh8t8h6448×fzdlvv směrem k peněžence, která patřila právě Kirkovi.

Vyšetřující agenti byli schopní tuto peněženku přiřadit Chaewonovi mimo jiné i proto, že načasování transakcí směrem ke Kirkově peněžence se shodovalo s požadavky na platby, které Kirk zadával během komunikace obou útočníků na serveru Discord.

Další analýza ukázala, že větší množství příchozích transakcí odpovídá svým načasováním, zadanými částkami a v některých případech i doprovodnými poznámkami uživatelů u transakcí platbám za odcizené twitterové účty pro uživatele fóra OGusers.com.



Autor: Chainalysis

Jak se ale ukázalo, že adresa bc1qdme7m3zy450m5gl0w9n2m­rh8t8h6448×fzdlvv patří zrovna Chaewonovi?

Nikterak překvapivě, zradila jej transakční historie a ve finále jej pak „napráskaly“ centralizované burzy. Analýza ukázala, že transakční historie Chaewonovy peněženky zahrnuje i větší množství transakcí mezi centralizovanými burzami, jmenovitě dvěma účty na Binance. Agentům pak stačilo kontaktovat burzu a ukázalo se, že oba účty jsou vedeny na jméno Mason Sheppard s kontaktním emailem masonshppy@gmail.com.

Agenti zároveň využili toho, že databáze serveru uživatelů OGusers byla v minulosti hacknuta a databáze s uživatelskými kontakty a dalšími detaily tak byla veřejně k dispozici. Tak se jim podařilo zjistit, že IP adresa, která byla s Chaewonovým účtem spojená, je využívaná také dalším účtem pojmenovaným Mas. Oba účty navíc využívaly stejnou (výše uvedenou) e-mailovou adresu. Odtud vedla poměrně snadná cesta. Stačilo po burzách s KYC, na které mají američtí vyšetřovatelé dosah, rozeslat dotaz, zda stejnou emailovou adresu nevyužívají také některé u nich vedené účty. Ukázalo se, že takové účty existují a několik z nich bylo vedeno u kontroverzní americké burzy Coinbase.