Britisk hacker, der ramte Obama og Musks Twitter-konti bedt om at tilbagebetale 5,4 millioner dollars i Bitcoin

I juli 2020 holdt den digitale verden vejret, da et af de sociale mediers største sikkerhedsbrud udspillede sig i realtid.

Joseph James O'Connor, en Liverpool-født hacker, der opererer under aliaset "PlugwalkJoe", orkestrerede et forbløffende angreb på Twitter, der kompromitterede mere end 130 højt profilerede konti i løbet af få minutter.

Målene lyder som en hvem er hvem af global magt og indflydelse: Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos og endda Apple og Uber.

Ved hjælp af intet andet end social engineering og en falsk Bitcoin-giveaway lykkedes det O'Connor og hans medsammensvorne at narre tusindvis af intetanende Twitter-brugere til at sende kryptovaluta til tegnebøger, de kontrollerede.

Fidusen var bemærkelsesværdigt enkel, men alligevel ødelæggende effektiv. De falske tweets lovede at fordoble enhver Bitcoin, der sendes til specifikke adresser, indrammet som velgørenhed eller COVID-19-hjælpeindsats.

Inden for få timer havde hackerne stjålet omkring 794.000 dollars i kryptovaluta, før Twitter formåede at genvinde kontrollen over kontiene.

Nu, fem år senere, sørger de britiske myndigheder for, at O'Connor betaler prisen på mere end én måde.

Hvordan en social ingeniør overlistede Twitters forsvar

Twitter-hacket i 2020 afslørede en fejl, som næsten ingen vidste eksisterede dengang: omkring 1.500 Twitter-medarbejdere og partnere havde adgang til kraftfulde interne værktøjer.

O'Connor og hans hold brød ikke ind ved hjælp af elite-hacking-tricks eller banebrydende bedrifter. De brugte bare god gammeldags social engineering, dybest set, og talte sig forbi Twitters forsvar.

De ringede til en håndfuld Twitter-medarbejdere, fortalte en overbevisende historie og fik dem til at udlevere interne loginoplysninger. Det var alt, hvad de havde brug for.

Med disse legitimationsoplysninger havde gruppen pludselig adgang til Twitters admin-dashboard, stort set hovedkontrolpanelet. Når de først var inde, var ting som nulstilling af adgangskoder eller omgåelse af to-faktor-godkendelse ubesværede.

På det tidspunkt kunne de blot udskifte e-mailadresser, der er knyttet til højt profilerede konti, og udløse nulstilling af adgangskoder. Det gav dem fuld kontrol over nogle af de mest indflydelsesrige konti på planeten.

O'Connor blev senere anholdt i Spanien i juli 2021 og udleveret til USA. Han erklærede sig skyldig i flere anklager, herunder computerindtrængen, banksvindel, afpresning og hvidvaskning af penge.

I juni 2023 blev han idømt fem års føderalt fængsel.

Men hans straf stoppede ikke med fængselsstraf. Storbritanniens Crown Prosecution Service sikrede sig for nylig en civil inddrivelsesordre, der tvang ham til at udlevere 42 Bitcoin og andre kryptoaktiver til en værdi af omkring 4,1 millioner pund (ca. 5,4 millioner dollars).

En domstolsudpeget kurator vil nu sælge disse aktiver og sikre, at O'Connor ikke går derfra med et eneste pund fra det, han stjal.

Et globalt budskab: Cyberkriminelle kan ikke gemme sig

Det, der virkelig skiller sig ud i denne sag, er, hvad det siger om, hvordan lande nu arbejder sammen om at slå ned på cyberkriminalitet.

O'Connor blev ikke engang dømt i Storbritannien; forbrydelserne og anklagerne blev alle håndteret i USA. Men de britiske myndigheder var stadig i stand til at gå efter hans aktiver ved hjælp af deres civile inddrivelsesbeføjelser.

Denne sag viser, hvor tæt forskellige lande arbejder sammen om at spore digitale kriminelle, især dem, der flytter penge gennem kryptovaluta.

Storbritannien slog sig sammen med amerikanske og spanske efterforskere for at forhindre O'Connor i at flytte eller skjule sin krypto, før retskendelsen faldt.

Det er en af de største krypto-relaterede beslaglæggelser i Storbritanniens cyberkriminalitetshistorie, og det sender et ret klart budskab: Æraen med at udføre online-svindel til flere millioner dollars og gå uberørt derfra forsvinder hurtigt.

Retshåndhævelse på tværs af grænser bliver smartere, mere forbundet og langt mere aggressiv i at følge pengene, uanset hvor de rejser hen.